ADLAP와 SAML/SSO에 대한 기본

Source: Dev.to

등장인물 (용어)

• Principal – 로그인하려는 사용자.
• Identity Provider (IdP) – “진실의 원천”; 사용자의 비밀번호를 알고 사용자를 인증하는 시스템(예: Okta, Azure AD).
• Service Provider (SP) – 사용자가 사용하려는 애플리케이션(당신이 만들고 있는 앱).
• Digital Badge (Role) – 사용자에게 부여된 역할 또는 속성.

비유

• IdP = 여권 사무소 – 출생 증명서와 신분증을 확인해 당신이 당신임을 증명한 뒤 여권을 발급합니다.
• Assertion = 여권 – “우리는 이 사람이 Maggie Ma임을 신뢰합니다”라고 서명된 문서.
• SP = TSA / 탑승 게이트 – 출생 증명서를 확인하지 않고 여권만 봅니다. 여권에 유효한 디지털 서명이 있으면 입장시킵니다.

단계 (워크플로우 포함)

참고 사항

• Metadata는 로그인하기 전에 미리 설정되는(설명서와 같은) 정보입니다. 여기에는 SSO URL(앱 → Okta), ACS URL(Okta → 앱), Entity ID, 인증서 등이 포함됩니다.
• Assertion은 실행 시 사용되는 여권입니다. 사용자의 이름, 이메일, 타임스탬프 등을 포함한 XML 문서이며, 메타데이터에 명시된 키를 사용해 Okta가 서명합니다. Assertion은 ACS URL로 전송됩니다.
• 앱이 Assertion을 받으면 메타데이터에 있는 공개 키를 사용해 서명을 검증합니다.