[DevOps] OIDC, SSO, OAuth2, IdP

SSO (Single Sign-On)

SSO는 사용자가 한 번 로그인하면 여러 애플리케이션이나 서비스에 별도의 로그인 없이 접근할 수 있도록 해주는 시스템.

일상속에서의 SSO는

• 구글 계정 하나로 Gmail, Google Drive, Youtube에 별도 로그인 없이 모든 서비스를 사용 할 수 있음

작동 방식:

• 사용자가 한 번 로그인하면 인증 토큰이 생성되고, 이 토큰을 신뢰하는 다른 서비스들이 사용자를 확인함.
• 주로 기업 내부에서 또는 여러 서비스 간 통합된 사용자 경험을 제공하기 위해 사용.

OIDC (OpenID Connect)

OIDC는 OAuth 2.0을 기반으로 한 인증 프로토콜로, 사용자를 확인하고 사용자 정보를 반환하는 데 초점이 맞춰져 있음

일상속에서의 OIDC는

• "Google 계정을 사용하여 로그인" 버튼을 눌렀을 때 사용자 인증을 처리하는 방식

작동 방식:

• OAuth 2.0의 흐름을 확장하여 사용자를 인증한 후 ID 토큰을 반환. 즉, OAuth2에 인증개념을 추가하면 OIDC가 됨.
• ID 토큰에는 사용자의 정보(예: 이름, 이메일)가 포함되어 있어 애플리케이션이 사용자를 식별할 수 있음.

OAuth2 (Open Authorization)

OAuth2는 사용자가 자신의 자격 증명을 공유하지 않고도, 애플리케이션이 사용자의 데이터를 특정 범위 안에서 접근하도록 허용하는 권한 부여 프로토콜.

일상속의 OAuth2는

• 페이스북 계정을 이용해 타사 앱에서 로그인하거나 데이터를 가져오는 경우
• "이 앱이 내 Google Drive 파일에 접근하도록 허용" 같은 동의 화면

OAuth보다 구현 복잡도가 낮고 더 높은 보안성을 요구하고 확장성 또한 좋아졌음.

작동 방식:

• 사용자는 OAuth2 제공자(예: Google, Facebook)에서 애플리케이션이 특정 데이터에 접근하도록 동의.
• 애플리케이션은 사용자의 비밀번호를 몰라도, 액세스 토큰을 이용해 데이터를 가져옴.

IdP (Identity Provider)

만일 Google OIDC를 이용하여 로그인을 구현했다고 하면, 사용자 인증은 Google IdP가 담당을 하는 개념. 인증을 제공하는 Provider.