작성자: Salah Machani, RSA, Dell Technologies Business; FIDO 기업채택그룹(FIDO Enterprise Adoption Group) 공동의장
FIDO Alliance는 사용 및 배포가 쉬운 강력한 다단계 인증(MFA)을 위한 프레임워크를 개발했습니다. 많은 기업에서 온-프레미스 또는 클라우드 응용 프로그램에서 SSO(Single Sign-On)를 사용하도록 설정하기 위해 페더레이션을 배포했습니다. 기업은 더 강력한 인증을 위해 FIDO를 배포하고 활용하는 것을 고려할 때 FIDO가 기존 페더레이션 프로토콜을 대체하기 위한 것인지 또는 FIDO를 기존 프로토콜과 통합하기 위해 완전한 점검이 필요한지 여부에 대해 의문을 제기합니다. 대답은 ‘아니오’입니다: FIDO와 연합 프로토콜은 상호 보완적일 뿐만 아니라 함께 최적으로 작동합니다.
FIDO Alliance는 FIDO가 페더레이션 프로토콜을 보완하는 방법을 자세히 설명하고 FIDO 기반 MFA에 대한 지원을 추가하고 페더레이션 환경에서 기존 인증 방법을 대체하거나 보완하기 위해 두 프로토콜을 통합하는 방법에 대한 지침을 제공하는 백서를 게시했습니다.
FIDO의 주요 목표는 여러 암호를 기억하거나 개별 애플리케이션에 대해 다양한 2단계 인증 폼 팩터를 보유해야 하는 부담을 줄이는 것입니다. 사용자가 FIDO 사용 장치(예: 보안 키 또는 모바일 장치)를 애플리케이션 공급자에 등록하면 고유한 자격 증명이 생성되어 해당 특정 애플리케이션 공급자의 사용자 계정에 바인딩됩니다. 사용자는 동일한 FIDO 사용 디바이스를 사용하고 프로세스를 반복하여 추가 디바이스를 휴대할 필요 없이 다른 애플리케이션 공급자와 함께 사용자에 대한 추가 고유 자격 증명을 생성할 수 있습니다. 사용자 디바이스의 자격 증명은 일반적으로 동일한 로컬 PIN 또는 생체 인식으로 잠기므로 사용자가 간단한 단일 제스처를 사용하여 여러 애플리케이션에서 인증할 수 있습니다.
SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect)와 같은 페더레이션 프로토콜은 사용자 ID를 애플리케이션 및 서비스 공급자로부터 신뢰할 수 있는 타사 인증 기관으로 이동하도록 설계되었습니다. 사용자가 일반적으로 암호를 사용하여 신뢰할 수 있는 인증 기관에 인증하면 해당 사용자가 하나 이상의 애플리케이션 공급자에게 제공할 수 있도록 시간 제한 어설션 또는 토큰이 발행됩니다. 사용자는 인증 기관 또는 모든 응용 프로그램 공급자(SSO의 정의)에 대해 다시 인증할 필요가 없습니다.
FIDO 인증자는 기업에서 애플리케이션에 대한 ‘로그인’ 요청을 시작할 때 사용자를 인증하거나 사용자 세션에 대한 인증을 ‘강화’하는 데 사용됩니다. 페더레이션 환경에서는 다음
초기 로그인 시나리오에서 애플리케이션 제공자는 사용자를 애플리케이션 기관(이
그림 1: FIDO 기반 인증을 사용한 초기 ‘로그인’
스텝업 시나리오에서는 인증 기관이 특정 인증 메커니즘을 사용하여 초기 사용자 인증을 수행하고 해당 사실에 대한 어설션과 함께 애플리케이션 공급자로 리디렉션된 후. 이 어설션은 이후에 응용 프로그램 공급자에 의해 결정되어 특정 리소스 요청에 대한 신뢰도가 불충분합니다. 따라서 애플리케이션 공급자는 FIDO 기반 메커니즘을 사용하여 추가 인증을 수행하거나, 이전의 비 FIDO 기반 인증을 보완하기 위해 FIDO 기반 인증으로 사용자를 다시 인증하도록 요청하거나, 이전의 낮은 보증 FIDO 기반 인증을 보완하기 위해 더 높은 보증 FIDO 기반 인증이 필요합니다. 그림 2는 페더레이션 환경에서 FIDO를 사용한 단계별 인증을 위한 일반적인 워크플로우를 보여줍니다.
그림 2: FIDO 기반 인증을 통한 ‘스텝업’
두 시나리오의 통합에 대한 전체 가치는 기존 애플리케이션이 인증 기관에 FIDO 기반 인증을 요청하거나 특정 FIDO 인증자를 사용할 수 있다고 가정합니다. FIDO 기반 인증에 대한 요청은 FIDO 인증자가 필요한 정책 이름 또는 보증 수준을 표시하여 명시적 또는 암시적일 수 있습니다. 또는 인증 기관은 기본적으로 모든 사용자, 사용자 그룹 또는 애플리케이션 공급자가 미리 정의한 특정 조건에서 FIDO 기반 인증을 적용할 수 있습니다.
사용자가 신뢰할 수 있는 인증 기관에 FIDO 인증자를 등록한 다음 각 인증 기관에 직접 등록할 필요 없이 애플리케이션 전체에서 해당 FIDO 인증자를 활용할 수 있도록 함으로써 페더레이션은 사용자 환경을 개선하고 보안을 개선하며 FIDO 배포를 “증폭”합니다.
FIDO와 페더레이션 프로토콜의 신뢰 모델은 서로 다르다는 점에 유의해야 합니다.
- FIDO를 사용하면 사용자와 애플리케이션 공급자 간에 직접적인 신뢰가 있습니다. 애플리케이션 공급자는 인프라에 FIDO 서버를 배포하여 사용자의 공개 자격 증명을 저장하고 사용자를 직접 인증합니다. 응용 프로그램 공급자를 FIDO RP(신뢰 당사자)라고 합니다.
- 페더레이션 프로토콜을 사용하면 사용자와 응용 프로그램 공급자 간의 신뢰가 간접적으로 이루어집니다. 신뢰는 사용자와 인증 기관 간, 인증 기관과 응용 프로그램 공급자 간에 설정됩니다. 사용자는 인증 기관에 인증하고 인증 기관은 사용자의 ID에 대한 어설션을 애플리케이션 공급자에게 발급합니다.
결합된 FIDO 및 페더레이션 환경에서 인증 기관은 FIDO RP 역할을 합니다.
FIDO는 빠르게 변화하는 엔터프라이즈 환경에 대한 새로운 요구 사항에 부응할 뿐만 아니라 페더레이션 프로토콜과 같은 레거시 프로토콜을 확장 및 구축하여 기존 기능과 워크플로우를 보존합니다. 이를 통해 기업은 가장 비용 효율적인 방식으로 FIDO 보안 및 사용성 이점을 활용할 수 있습니다. 자세히 알아보려면 백서를 다운로드하여 읽어보십시오.
이 백서에서는 FIDO를 SAML, OIDC 및 OAuth와 같은 주요 페더레이션 프로토콜과 통합하는 방법에 대한 자세한 정보를 확인할 수 있습니다.
- SAML SP(서비스 공급자)는 SAML ID 공급자(IDP)에 사용자 인증이 FIDO 기반임을 요청합니다.
- SAML IDP는 FIDO를 사용하여 사용자 인증이 수행되었음을 나타내는 SAML Assertion을 SP에 반환합니다.
- OIDC RP는 OIDC 공급자에게 FIDO 기반 인증을 요청합니다.
- OIDC 공급자는 FIDO를 사용하여 사용자 인증이 수행되었음을 나타내는 토큰을 RP에 반환합니다.
- FIDO는 보호된 리소스에 액세스하기 위한 사용자 동의 및 권한 부여 전에 사용자 인증을 위해 OAuth2 환경에서 활용될 수 있습니다.
FIDO TechNotes는 실무자가 이해해야 할 중요한 FIDO 사양의 측면을 강조합니다. TechNotes는 아키텍처 선택에 대해 조명하고, 모범 사례를 설명하고, 기술 배포자에게 지침을 제공합니다. TechNotes는 FIDO Alliance의 기술과 진화를 특징으로 하는 지속적인 FIDO 시리즈의 일부입니다.
