콘텐츠로 바로가기
HY_TECH_BASE

SSO & User Lifecycle

한 번의 인증으로 모든 하드웨어 자원에 접근하는 SSO 환경을 구축하고, 계정의 생성부터 파기까지의 전체 생애 주기를 수리적으로 제어하는 ID 거버넌스 물리학을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts7 min read

1. Overview

SSO 및 사용자 생애주기 관리(SSO & User Lifecycle, SUL)는 "한 사람이 한 개의 열쇠만 갖게 한다"는 관리의 단순성과 보안의 집중을 동시에 달성하고, 조직의 구성원 변화에 맞춰 하드웨어 권한이 수리적으로 즉각 동기화되게 만드는 'ID 계통 공학'입니다.

학습자는 여러 독립된 서비스들을 하나의 신뢰망으로 묶는 **단일 로그인(SSO)**의 물리적 가교 원리와, 입사 시 권한을 주고 퇴사 시 즉시 회수하는 **프로비저닝(Provisioning)**의 수리적 수순을 배웁니다. 특히, 수천 대의 하드웨어와 계정 정보가 얽히는 환경에서 신뢰의 SSOT(Single Source of Truth)를 유지하는 법을 익힙니다. 이를 통해 '유령 계정'으로 인한 보안 구멍을 수치적으로 제로화하고, 운영 효율을 극대화하는 하이엔드 기업 보안 아키텍처 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • SSO Architecture: Centralized, Decentralized, Federation 기반의 물리적 인증 통합
  • User Lifecycle stages: Identity Creation, Roles Assignment, Attestation, Disposal의 수리 공정
  • Directory Services: LDAP, Active Directory 등 하드웨어 ID 저장소의 물리적 구조
  • SCIM (System for Cross-domain Identity Management): 서비스 간 ID 정보를 수치적으로 동기화하는 표준 규격
  • CIAM (Customer IAM): 수백만 명의 일반 고객 ID를 물리적으로 대량 관리하는 특수 기제

Out-of-Scope

  • 개별 로그인 페이지의 자바스크립트 구현 및 디자인 (Front-end 영역으로 위임)
  • 로그인 시 사용되는 MFA 하드웨어 기기 자체의 설계 (10-04-01 AMN 영역에서 분담)

Boundaries

  • SUL vs. IDP: IDP(10-04-03)가 '토큰을 어떻게 주고받는가'라는 통신 규약에 집중한다면, SUL은 '그 규약을 활용해 조직의 인사 시스템과 하드웨어 권한을 어떻게 하나의 일관된 생애주기로 엮을 것인가'라는 운영의 물리학에 집중하여 구분합니다.

3. Counterexample

  • 단순히 "로그인 통합"이라 설명하는 것은 SUL 학습이 아닙니다. 왜 SSO 환경에서 마스터 아이디가 털렸을 때 '단일 실패 지점(SPOF)'이 되어 회사 전체 하드웨어가 물리적으로 도미노처럼 무너지는지 수리적으로 증명할 수 있어야 하며, 퇴사자 처리 지연으로 인해 전직 직원이 내부 망에 물리적으로 남아있는 'Stale Account'가 보안 사고로 이어지는 수치적 빈도를 논증하지 못한다면 SUL의 정수를 이해하지 못한 것입니다.

4. Prerequisites

  • Identity Protocols (Basic): 10-04-03의 OAuth2, SAML, OIDC 이해가 필수입니다.
  • Service Architecture & Distributed Systems (Recommended): 07-XX-XX의 분산 시스템 간 상태 정합성 이해가 권장됩니다.

5. Learning Map

  1. The Universal Key: 백 개의 서비스를 하나의 아이디로 통과하는 물리적 관문(SSO)을 설계합니다.
  2. Identity SSOT: 파편화된 ID 정보를 한 곳으로 모으는 중앙 저장소(Directory)의 물리학을 배웁니다.
  3. Birth to Death: 조직원이 입사하여(Provision) 퇴사할 때까지(Disposal) 바뀌는 수리적 자격을 자동 추적합니다.
  4. Autonomous IAM: 사람이 개입하지 않아도 인사 발령 한 번에 모든 시스템의 하드웨어 권한이 수치적으로 재배열되는 하이엔드 거버넌스를 완성합니다.

6. Learning Topics

Basic

Core: SSO의 원리와 인증 세션 통합 (Single Sign-On Physics)

  • Why to Learn: 사용자가 매번 로그인하는 물리적 피로도를 줄이고, 보안 통제점을 하나로 모아 하드웨어 관리를 단순화하기 위해서입니다.
  • What to Learn:
    • Web SSO (Cookies/Domain): 브라우저의 도메인 제약을 수리적으로 넘나드는 법
    • Identity Federation: 서로 다른 회사 하드웨어끼리 신뢰를 나누는 물리 공식
    • Session Management: 중앙에서 만료시키면 모든 연결된 앱의 세션이 물리 차단되는 기제
  • How to Learn:
    • Keycloak이나 Auth0를 설치하고, 두 개의 독립된 웹사이트가 하나의 로그인 창을 공유하는 물리적 동작 확인 실습
    • SSO 서버의 세션을 종료했을 때, 연결된 하드웨어 서비스들에서 즉각 로그아웃이 수리 반영되는지 테스트
  • Implement: 현재 로그인 상태를 쿠키 기반으로 하위 서비스에 전파하는 기초 PortalManager

Core: 디렉토리 서비스와 ID 저장소 (Directory Physics)

  • Why to Learn: 수만 명의 사용자 정보와 하드웨어 계정 권한을 계층 구조로 일목요연하게 수치 관리하기 위함입니다.
  • What to Learn:
    • LDAP (Lightweight Directory Access Protocol): 트리 구조로 데이터를 빠르게 찾는 물리 규약
    • Active Directory (AD): 윈도우 하드웨어 생태계의 신원 및 정책 SSOT
    • Directory Sync: 로컬 하드웨어 ID를 클라우드(Azure AD 등)와 수리적으로 동기화하는 수순
  • How to Learn:
    • Apache Directory Studio로 LDAP 서버의 계층도(OU, CN)를 직접 그려보고 쿼리를 쏘아보는 물리 실습
    • 사용자 부서가 바뀌었을 때, LDAP 노드를 이동시키는 일만으로 수리적 권한 그룹이 자동 업데이트되는 현상 관찰
  • Implement: 특정 필터 조건으로 사용자 정보를 검색하는 기초 LDAP_QueryBot

Practical

Core: 자동화된 프로비저닝과 SCIM (Lifecycle Automation)

  • Why to Learn: 신규 입사자 100명의 계정을 수동으로 만들다 발생하는 수리적 실수와 시간 낭비를 물리적으로 제거하기 위해서입니다.
  • What to Learn:
    • JIT (Just-In-Time) Provisioning: 첫 로그인 시점에 계정을 수리적으로 즉석 생성하는 법
    • SCIM Protocol: 클라우드 서비스 간의 계정 정보를 JSON으로 주고받는 물리적 약속
    • Deprovisioning Lifecycle: 퇴사 처리 시 즉각적으로 모든 하드웨어 접근을 수치 차단하는 수순
  • How to Learn:
    • 인사 시스템(HRIS) 데이터와 보안 시스템(IDP)을 SCIM API로 연동하여, 명단 추가 시 계정이 자동 생성되는 환경 구축 실습
    • '중단된 전파' 사고 시나리오에서, 일부 하드웨어에만 권한이 남았을 때 이를 수리적으로 검출하는 오딧 훈련
  • Implement: SCIM 규격에 맞춰 계정 생성 요청을 보내는 ProvisioningAgent

Advanced

Core: ID 거버넌스와 권한 검토 (Access Management Governance)

  • Why to Learn: "회사에 한 번 들어오면 영원히 권한을 갖는" 수리적 관성을 깨고, 상시 최소 권한을 유지하기 위함입니다.
  • What to Learn:
    • Access Review (Attestation): 관리자가 팀원의 권한 수치를 3개월마다 "아직 필요함"이라고 물리 확증하는 절차
    • Role Mining: 실제 업무 데이터 수치를 분석하여 최적의 '역할(Role)'을 수리적으로 도출하는 법
    • CIAM Analytics: 대규모 고객인증 데이터에서 '계정 탈취'나 '허위 가입'을 수치적으로 잡아내는 물리 지능
  • How to Learn:
    • 권한 검토 수락 과정에서 "왜 이 권한이 필요한가"에 대한 수리적 근거(ReasoningReasoning)가 누락되었을 때 거부되는 워크플로우 설계 실습
    • 100만 명의 고객 로그에서 '동일 물리 위치에서 발생한 수천 개의 신규 가입'을 수치적으로 식별하는 리서치
  • Implement: 최근 6개월간 사용하지 않은 권한 리스트를 뽑아 정리를 제안하는 GovernanceAuditor

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
SSO 한 번의 물리적 인증으로 신뢰 관계에 있는 여러 하드웨어 시스템에 수리적 접근 권한을 얻는 기술입니다. 기본 사용자 경험 Portal / Login Federation 보안 집중화 수반됨 P3:CyBOK core
Provisioning 조직 내의 정보 시스템 자원을 사용자에게 배정하고 수리적 권한을 활성화하는 준비 과정입니다. 추천 권한 할당 IAM / SCIM Deployment 생성뿐 아니라 '부여' 포함 P5:SFIA core
SCIM 클라우드 환경에서 도메인 간의 ID 관리 및 수리적 교환을 자동화하기 위해 설계된 오픈 표준입니다. 실무 동기화 표준 JSON / REST LDAP ID 데이터의 '언어'임 Industry core
IdP 사용자 정보를 관리하고 인증 서비스를 수리적으로 제공하는 중앙 집중식 물리 시스템입니다. 추천 신뢰 근원 SSOT / Auth SP 구글/옥타/AD 등이 해당 P3:CyBOK core

8. References

Primary

Secondary

  • [Identity Management with Active Directory] — For enterprise directory physics.
  • [SCIM 2.0 Specification (RFC 7643/7644)] — The technical data model.

Industry

  • [Gartner: Identity Governance and Administration (IGA) Guide] — Enterprise strategy.
  • [Google Cloud: Patterns for federating identity providers] — Reference architecture.

9. Final Checklist

Primary

  • 'SSO'가 개별 로그인을 쓰는 환경보다 '보안 가시성' 측면에서 수리적으로 왜 강력한지 설명 가능한가? (P3)
  • '사용자 생애주기 관리' 누락이 하드웨어 보안 오딧(AuditAudit)에서 왜 가장 결정적인 결함으로 수치 지목되는지 기술할 수 있는 가? (P5)

Secondary

  • 'JIT 프로비저닝'이 시스템의 '저장 용량 물리 부하'를 어떻게 수리적으로 최적화해 주는지 소통 가능한가?
  • LDAP의 'Base DN' 설정이 검색 물리 성능(LatencyLatency)에 미치는 수치적 영향을 논증할 수 있는 가?

Industry

  • 실무 환경에서 'AD'와 '클라우드 ID' 간의 동기화 실패(SyncSync ErrorError) 시 발생하는 물리적 업무 중단 시나리오를 분석할 수 있는 가? (SFIA)
  • Access Review 프로세스를 자동화하여 보안 담당자의 수치적 인지 부하를 줄이는 거버넌스 체계를 제안할 수 있는 가?

Concepts & Tags

#sso#user-lifecycle#iam#provisioning#deprovisioning#directory-services#customer-identity