SSO: ADFS vs. LDAP - 주요 액세스 프로토콜의 차이

전 세계 수천 곳의 기업이 Okta를 통해 시간과 비용을 절감하고 있습니다. 아이덴티티가 기업에게 어떤 영향을 미칠 수 있는지 알아보세요.

SSO: ADFS vs. LDAP - 주요 액세스 프로토콜의 차이

업계 최고의 분석가들이 Okta와 Auth0를 아이덴티티 분야의 리더로 연속 선정하고 있는 이유를 알아보세요.

최근에 비행기를 타본 적이 있으신가요? 탑승전, 탑승권과 신분증을 승무원에게 건네주면 항공사는 자사 데이터베이스에서 이름과 여권 번호를 확인하여 탑승 권한 유무를 알아냅니다. 이때 항공사가 티켓을 구매한 탑승자의 데이터가 담긴 디렉토리에 액세스하지 못한다면 어떻게 될까요? 탑승자 데이터가 없으면 대조할 정보가 사라져 개인 정보를 확인할 수 없게 되며, 결국 시스템이 중단되게 됩니다.

SSO(Single Sign-On)도 마찬가지입니다. 저장된 사용자 데이터에 안전하게 액세스하지 못하면 사용자가 권한 인증을 위해 제출하는 정보를 대조할 수 없게 되므로 아이덴티티를 확인할 길이 없어 결국 액세스를 허용할 수 없게 됩니다. 안정적인 디렉토리 서비스는 SSO를 위한 필수 전제 조건입니다. 오늘날 두 가지 주요 액세스 프로토콜로 ADFS(Active Directory Federation Services)와 LDAP(Lightweight Directory Access Protocol)가 있습니다. 이제부터 이 두 프로토콜의 원리와 차이점에 대해 자세히 알아보겠습니다.

ADFS(Active Directory Federation Services)

Microsoft는 방화벽을 넘어 기업 아이덴티티를 확장하기 위해 ADFS를 개발했습니다. 따라서 ADFS는 오프프레미스 (Off-premise) 환경의 서버에 대한 SSO 액세스를 제공합니다. 또한 클레임 기반의 액세스 제어 권한 인증 모델을 사용합니다. 이러한 프로세스에서는 사용자 인증이 쿠키와 SAML(Security Assertion Markup Language)을 통해 이루어집니다.

이는 ADFS가 일종의 보안 토큰 서비스, 즉 STS (Security Token Service) 라는 것을 의미합니다. STS를 구성하면 OpenID 계정까지 허용하는 신뢰 관계를 형성할 수 있습니다. 따라서 회사는 새로운 사용자를 추가할 때 등록 자격 증명과 사용자 자격 증명을 따로 설정할 필요가 없어서 기존의 OpenID 자격 증명을 그대로 사용할 수 있습니다.

이렇듯, ADFS는 업무 효율성을 위해 중요한 툴이지만 다음과 같은 몇 가지 단점이 있습니다.

  • 클라우드 애플리케이션이나 Microsoft가 아닌 모바일 애플리케이션을 통합할 때 사용이 번거롭습니다.
  • 설치, 구성 및 유지보수에 IT 리소스가 필요합니다.
  • 확장이 쉽지 않으며 애플리케이션 설치 시간이 오래 걸립니다.

ADFS를 사용할 경우 유지보수 비용을 포함해 미처 알지 못했던 비용 문제가 불거질 수 있습니다.

LDAP

LDAP는 X.500 Directory Access Protocol을 간소화한 프로토콜로, 1990년대 초에 보급되었습니다. 처음에는 미시건 대학에서 AD 네트워크에 접속하는 사용자의 인증을 위한 소프트웨어 프로토콜로 개발한 것으로 현재는 인터넷 또는 기업 인트라넷에서 리소스를 찾는 용도로 누구나 사용하고 있습니다. LDAP SSO 역시 시스템 관리자가 여러 권한을 설정하여 LDAP 데이터베이스에 대한 액세스를 제어할 목적으로 사용됩니다. 이러한 방식으로 데이터를 비공개 상태로 유지할 수 있습니다.

ADFS가 Windows 환경에 초점을 맞춘 반면 LDAP는 유연성이 높아 Linux, Unix 등 다른 유형의 컴퓨팅 환경에서도 사용할 수 있습니다.

LDAP는 데이터에 액세스하는 횟수는 많지만 추가하거나 수정할 일이 적을 때 적합합니다. 이 말은 특히 비밀번호를 사용할 때 효율적이라는 것을 의미합니다. 사용자가 액세스에 여러 번 실패했을 때 비밀번호 만료, 비밀번호 품질 검증, 계정 잠금을 처리할 수 있기 때문입니다. LDAP 에이전트는 사용자를 실시간으로 인증할 수 있습니다. 제출된 데이터를 LDAP 데이터베이스에 저장된 데이터와 즉시 대조하기 때문에 중요한 사용자 데이터를 클라우드에 저장할 필요가 없습니다.

Okta가 LDAP를 선호하는 이유는 이 외에도 많습니다. Okta의 LDAP Single Sign-On 솔루션은 Active Directory의 정책과 사용자 상태에 연결하여 효율적이고 안전한 인증을 제공한다는 점에서 사용자 인증이 더욱 간편합니다.