싱글 사인온이란 무엇인가요?

SSO는 Okta, Azure AD, Google Workspace 같은 신원 제공자(IdP)에서 인증을 중앙화함으로써 작동한다. 사용자가 애플리케이션(서비스 제공자)에 접근하려 하면 애플리케이션은 사용자를 IdP로 리디렉션한다. 사용자가 이미 IdP에서 인증돼 있으면 신원을 확인하는 토큰이나 어서션이 애플리케이션으로 다시 전송되고, 비밀번호 입력 없이 접근이 허용된다. SAML 2.0, OpenID Connect, OAuth 2.0 같은 프로토콜이 이 교환을 표준화한다.

보안 관점에서 SSO는 양날의 검이다. 긍정적 측면에서는 비밀번호 피로와 사용자가 관리해야 하는 자격 증명 수를 줄여 비밀번호 재사용 가능성을 낮춘다. 인증 정책 시행을 중앙화한다. MFA, 비밀번호 복잡성, 세션 관리를 IdP에서 한 번 구성한다. 그리고 해지를 단순화한다. IdP에서 사용자를 비활성화하면 연결된 모든 애플리케이션에 대한 접근이 즉시 취소된다.

SSO의 위험은 집중이다. IdP가 유출되면 공격자는 모든 것에 대한 접근을 얻는다. 이 때문에 IdP는 가장 강력한 보호가 필요한 핵심 자산이 된다. 관리자를 위한 하드웨어 MFA, 견고한 모니터링, 엄격한 사고 대응이 필요하다. 세션 토큰 탈취는 또 다른 위험인데, 도난당한 SSO 세션 쿠키가 동시에 여러 서비스에 대한 접근을 줄 수 있기 때문이다.

Vaulted가 싱글 사인온을 사용하는 방법

Vaulted는 의도적으로 사용자 계정이나 SSO 통합 없이 작동한다. 이는 제로 지식 비밀 공유 도구를 위한 의식적인 설계 결정이다. 계정이 없다는 것은 유출될 자격 증명 데이터베이스가 없고, 도난당할 세션 토큰이 없으며, 신원 제공자에 대한 의존이 없다는 뜻이다. 링크를 가진 누구나 암호화된 비밀에 접근할 수 있고, 접근은 신원 기반 인증이 아니라 링크 자체, 선택적 패스프레이즈 보호, 조회 제한, 만료 시간으로 통제된다.