Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft Security

SAML이란?

업계의 표준 프로토콜인 SAML(Security Assertion Markup Language)이 보안 조치를 강화하고 로그인 환경을 개선하는 방식을 알아보세요.

SAML의 정의

SAML은 하나의 자격 증명으로 한 번만 로그인하여 여러 앱에 액세스할 수 있도록 해 주는 기술입니다. 사용자가 로그인하면 Microsoft Entra ID와 같은 ID 공급자가 사용자를 확인한 후 사용자가 액세스하려는 사이트, 서비스 또는 앱의 서비스 공급자 측으로 인증 데이터를 전달합니다.

SAML의 용도는?

SAML은 비즈니스의 보안을 강화하고 직원, 파트너, 고객의 로그인 프로세스를 간소화합니다. 조직에서는 SAML을 사용하여 하나의 사용자 이름과 암호로 여러 사이트, 서비스, 앱에 액세스하는  Single Sign-On, 을 설정할 수 있습니다. 기억해야 하는 암호의 개수를 줄이면 사용자가 더욱 쉽게 사용할 수 있을 뿐 아니라 암호가 분실될 위험도 줄어듭니다. 조직에서는 SAML이 설정된 앱에서  인증 을 위한 보안 표준을 설정할 수도 있습니다. 예를 들어, 사용자가 Salesforce, Concur, Adobe와 같은 온-프레미스 네트워크 및 앱에 액세스하려면  다단계 인증 을 사용하도록 요구할 수 있습니다. 

조직에서는 다음과 같은 사용 사례에서 SAML을 사용할 수 있습니다.

ID 및 액세스 관리 통합:

인증과 권한 부여를 하나의 시스템으로 관리하면 IT 팀이 사용자 프로비전 및 ID 권한 확인에 투입하는 시간을 대폭 줄일 수 있습니다.

제로 트러스트 지원:

 제로 트러스트 보안 전략 에서는 모든 액세스 요청을 확인하고, 중요한 정보에 대한 액세스를 꼭 필요한 사람들로만 제한해야 합니다. 기술 팀은 SAML을 사용하여 모든 앱에서 다단계 인증, 조건부 액세스와 같은 정책을 설정할 수 있습니다. 또한 사용자의 행동, 디바이스 또는 위치를 기반으로 위험이 상승했다고 판단되는 경우 암호 재설정을 강제하는 등 보다 엄격한 보안 조치를 설정할 수 있습니다.

직원 경험 개선:

직원들의 액세스를 간소화하는 것 외에도, IT 팀이 로그인 페이지에 브랜드를 적용하여 모든 앱에서 일관된 경험을 제공할 수 있습니다. 직원들은 손쉽게 암호를 재설정할 수 있는 셀프 서비스 환경을 통해 시간을 절약할 수 있습니다.

SAML 공급자란?

SAML 공급자는 다른 공급자에게 ID 인증 및 권한 부여 데이터를 공유하는 시스템입니다. SAML 공급자에는 두 가지 유형이 있습니다.

  • ID 공급자 는 사용자를 인증하고 권한을 부여합니다. 사용자가 자격 증명을 입력하면 로그인 페이지를 표시합니다. 다단계 인증이나 암호 재설정을 요구하는 등의 보안 정책을 적용합니다. 사용자에게 권한이 부여되면 ID 공급자가 데이터를 서비스 공급자 측으로 전달합니다. 

  • 서비스 공급자 는 사용자가 액세스하려는 앱 및 웹 사이트입니다. 서비스 공급자는 사용자가 각 앱에 매번 따로 로그인하도록 요구하는 대신 솔루션이 SAML 인증을 신뢰하도록 구성하고, ID 확인 및 액세스 권한 부여는 ID 공급자에 일임합니다. 

SAML 인증의 작동 방식은?

SAML 인증에서는 서비스 공급자와 ID 공급자가 로그인 및 사용자 데이터를 공유하여 액세스를 요청하는 각 사용자에게 권한을 부여합니다. SAML 인증은 보통 다음과 같은 단계로 이루어집니다.

  1. 직원이 ID 공급자가 제공하는 로그인 페이지에서 로그인하여 업무를 시작합니다.

  2. ID 공급자가 사용자 이름, 암호, PIN, 디바이스, 생체 인식 데이터와 같은 인증 세부 정보의 조합을 확인하여 해당 직원이 실제 사용자가 맞는지 확인합니다.

  3. 직원이 Microsoft Word나 Workday와 같은 서비스 공급자 앱을 실행합니다. 

  4. 서비스 공급자가 ID 공급자와 통신하여 해당 직원에게 앱에 액세스할 권한이 부여되었는지 확인합니다.

  5. ID 공급자가 인증 및 권한 부여 정보를 전달합니다.

  6. 직원이 또다시 로그인할 필요 없이 앱에 액세스합니다.

SAML 어설션이란?

SAML 어설션은 서비스 공급자에게 로그인하는 직원이 인증되었음을 알려 주는 데이터를 포함하는 XML 문서입니다.

세 가지 유형이 있습니다.

  • 인증 어설션 은 사용자를 식별하며, 사용자가 로그인한 시간과 사용자가 사용한 인증의 유형(암호, 다단계 인증 등)을 포함합니다.

  • 속성 어설션 은 SAML 토큰을 공급자에게 전달합니다. 이 어설션은 사용자에 관한 특정 데이터를 포함합니다.

  • 권한 부여 결정 어설션 은 서비스 공급자에게 사용자가 인증되었는지 아니면 자격 증명에 문제가 있거나 해당 서비스를 사용할 권한이 없어서 액세스가 거부되었는지 알려줍니다. 

SAML과 OAuth

SAML과 OAuth는 사용자가 여러 서비스에 개별적으로 로그인할 필요가 없도록 간편한 환경을 지원한다는 점에서는 동일하지만, 사용하는 기술과 프로세스는 저마다 다릅니다. SAML은 사용자가 동일한 자격 증명을 사용하여 여러 서비스에 액세스하도록 지원하기 위해 XML을 사용하는 반면 OAuth는 JWT 또는 JavaScript Object Notation을 사용하여 권한 부여 데이터를 전달합니다.


OAuth에서는 사용자가 해당 서비스를 위한 새로운 사용자 이름과 암호를 만드는 대신 Google, Facebook 계정과 같은 타사 권한 부여를 사용하여 서비스에 로그인합니다. 이 과정에서  사용자의 암호는 보호되면서 권한 부여 정보가 전달됩니다.

비즈니스에서 SAML이 수행하는 역할

비즈니스는 하이브리드 작업 공간에서 SAML을 사용하여 생산성을 높이고 보안을 강화할 수 있습니다. 점점 더 많은 사람들이 원격으로 근무하고 있는 지금, 어디서나 쉽게 회사 리소스에 액세스할 수 있도록 지원하는 것이 중요해졌습니다. 그러나 적절한 보안 컨트롤이 없으면 간편한 액세스는 보안 침해의 위험을 유발할 수 있습니다. SAML을 사용하면 직원들의 로그인 프로세스를 간소화하는 동시에 직원들이 사용하는 모든 앱에 다단계 인증, 조건부 액세스와 같은 강력한 정책을 적용할 수 있습니다.
SAML을 시작하려면 Microsoft Entra ID와 같은 ID 공급자 솔루션을 도입해야 합니다. Microsoft Entra ID는 기본 제공되는 보안으로 사용자 및 데이터를 보호하며, ID 관리 기능을 하나의 솔루션으로 통합해 줍니다. 셀프 서비스와 Single Sign-On은 직원들이 쉽고 편리하게 생산성을 유지할 수 있도록 도와줍니다. 게다가 Microsoft Entra ID는 Zoom, DocuSign, SAP Concur, Workday, AWS(Amazon Web Services)와 같은 미리 빌드된 SAML 통합을 지원합니다.

Microsoft Security에 대한 자세한 정보

Microsoft ID 및 액세스

Microsoft의 종합적인 ID 및 액세스 솔루션에 대해 알아보세요.

자세한 정보

Microsoft Entra ID

원활한 ID 솔루션으로 조직을 보호하세요.

자세한 정보

Single Sign-On

SaaS(Software as a Service) 앱, 클라우드 앱과 온-프레미스 앱에 대한 액세스를 간소화하세요.

자세한 정보

다단계 인증

분실 또는 도난된 자격 증명으로 인해 발생하는 보안 침해로부터 조직을 보호하세요.

자세한 정보

조건부 액세스

실시간 적응형 정책을 사용하여 세분화된 액세스 제어를 적용하세요.

자세한 정보

미리 빌드된 앱 통합

사용자를 앱에 더 안전하게 연결하려면 미리 빌드된 통합을 사용하세요.

자세한 정보

ID 및 액세스 블로그

ID 및 액세스 관리 분야의 최신 사고 리더십을 살펴보고 최신 정보를 확인하세요.

자세한 정보

자주 묻는 질문

  • SAML에는 다음과 같은 구성 요소가 있습니다.

    • ID 서비스 공급자 는 사용자를 인증하고 권한을 부여합니다. 사용자가 자격 증명을 입력하는 로그인 페이지를 제공하고, 다단계 인증이나 암호 재설정을 요구하는 등의 보안 정책을 적용합니다. 사용자에게 권한이 부여되면 ID 공급자가 데이터를 서비스 공급자 측으로 전달합니다.

    • 서비스 공급자 는 사용자가 액세스하려는 앱 및 웹 사이트입니다. 서비스 공급자는 사용자가 각 앱에 매번 따로 로그인하도록 요구하는 대신 솔루션이 SAML 인증을 신뢰하도록 구성하고, ID 확인 및 액세스 권한 부여는 ID 공급자에 일임합니다.

    • 메타데이터 는 ID 공급자와 서비스 공급자가 엔드포인트 및 기술을 비롯한 어설션을 교환하는 방식을 기술합니다.

    • 어설션 은 서비스 공급자에게 로그인하는 사용자가 인증되었음을 알려 주는 인증 데이터입니다.

    • 서명 인증서 는 어설션이 ID 공급자와 서비스 공급자 간에 이동하는 과정에서 조작되지 않았음을 확인함으로써 두 공급자 사이에 신뢰를 형성합니다.

    • 시스템 클록 은 서비스 공급자와 ID 공급자가 리플레이 공격을 막아낼 수 있도록 똑같은 시간으로 작동하도록 해 줍니다.

  • SAML은 조직, 직원 및 파트너에게 다음과 같은 이점을 제공합니다.

    • 향상된 사용자 환경입니다. SAML은 조직에서 Single Sign-On 환경을 구성하여 직원과 파트너가 한 번만 로그인하면 모든 앱에 액세스할 수 있도록 지원합니다. 기억해야 하는 암호의 개수가 줄어들고 다른 도구를 사용할 때마다 로그인할 필요가 없어 직원들의 편의성이 향상됩니다.

    • 보안이 향상되었습니다. 암호의 개수가 줄어들면 계정 보안 침해의 위험도 낮아집니다. 보안 팀은 SAML을 사용하여 모든 앱에 강력한 보안 정책을 적용할 수 있습니다. 예를 들어, 로그인할 때 다단계 인증을 요구하거나, 조건부 액세스를 적용하여 사용자가 액세스 가능한 앱과 데이터를 제한할 수 있습니다.

    • 통합 관리입니다. SAML을 사용하면 기술 팀이 앱마다 서로 다른 관리 콘솔을 사용하는 대신 하나의 솔루션으로 ID와 보안 정책을 관리할 수 있습니다. 이에 따라 사용자 프로비저닝이 크게 간소화됩니다.

  • SAML은 Microsoft Entra ID와 같은 ID 공급자가 Software as a Service 앱과 같은 서비스 공급자에게 인증 데이터를 전달하도록 지원하는 개방형 표준 XML 기술입니다.
    Single Sign-On은 사용자가 한 번만 로그인하면 여러 웹 사이트와 앱에 액세스할 수 있도록 지원합니다. SAML을 사용하여 Single Sign-On을 설정할 수 있지만, 그 밖에 다른 기술을 사용하여 Single Sign-On을 배포할 수도 있습니다.

  • LDAP(Lightweight Directory Access Protocol)는 사용자 ID의 인증 및 권한 부여에 사용되는 ID 관리 프로토콜입니다. LDAP는 여러 서비스 공급자가 지원하므로 Single Sign-On을 사용하기 위한 좋은 솔루션이 되지만, 오래된 기술이기 때문에 웹앱에서는 호환성이 떨어집니다.

    SAML은 대부분의 웹 및 클라우드 앱에서 사용할 수 있는 최신 기술로, 일원화된 ID 관리를 위해 널리 사용되는 솔루션입니다.

  • 다단계 인증은 사용자에게 두 가지 이상의 수단을 사용하여 ID를 증명하도록 요구하는 보안 수단입니다. 보통 디바이스와 같이 사용자가 가지고 있는 것과 암호나 PIN과 같이 사용자가 알고 있는 정보를 요구합니다. SAML은 기술 팀이 여러 웹 사이트와 앱에 다단계 인증을 적용할 수 있도록 지원합니다. SAML이 통합된 모든 앱에 이와 같은 수준의 인증을 적용할 수도 있고, 일부 앱에만 다단계 인증을 적용할 수도 있습니다. 

Microsoft 팔로우