SAML 2.0 웹 브라우저 싱글 사인온
SAML 웹 브라우저 싱글 사인온(SSO)을 사용하여 웹 애플리케이션은 구성된 사용자 레지스트리 대신 SAML ID 제공자에 사용자 인증을 위임할 수 있습니다.
SAML(Security Assertion Markup Language)은 사용자 ID, 인증 및 속성 정보를 표시하고 교환하기 위한 OASIS 개방형 표준입니다. SAML 어설션은 싱글 사인온 요청을 완료하는 일부로서 사용자 ID 및 속성 정보를 사용자의 ID 제공자로부터 신뢰 서비스 제공자로 전송하기 위해 사용되는 XML 형식화된 토큰입니다. SAML 어설션은 연합 비즈니스 파트너 간에 정보를 전송하는 벤더 중립적인 수단을 제공합니다. SAML을 사용하여 엔터프라이즈 서비스 제공자는 별도의 엔터프라이즈 ID 제공자에 접속하여 보안 컨텐츠에 액세스를 시도 중인 사용자를 인증할 수 있습니다.
WebSphere® Application Server Liberty는 HTTP 포스트 바인딩의 SAML 웹 브라우저 싱글 사인온 프로파일을 지원하며, SAML 서비스 제공자의 역할을 수행합니다. 웹 사용자는 SAML ID 제공자에 대해 인증하며, 이는 SAML 어설션을 생성합니다. 그리고 WebSphere SAML 서비스 제공자는 SAML 어설션을 사용하여 웹 사용자에 대한 보안 컨텍스트를 설정합니다.
SAML 웹 SSO 플로우에는 일반 사용자, ID 제공자(IdP) 및 서비스 제공자(SP) 등 3개의 액터가 포함됩니다. 사용자는 항상 IdP에 대해 인증하며, SP는 IdP 어설션에 의존하여 사용자를 식별합니다.

Liberty SAML 웹 브라우저 SSO 시나리오

- 일반 사용자가 SP를 방문합니다.
- SP가 사용자를 IdP에 경로 재지정합니다.
- 일반 사용자가 IdP에 대해 인증합니다.
- IdP가 SAML 응답 및 어설션을 SP에 전송합니다.
- SP가 SAML 응답을 확인하고 사용자 요청을 권한 부여합니다.

- 사용자 에이전트가 SAML IdP에 액세스합니다.
- IdP가 사용자를 인증하고 SAML 어설션을 발행합니다.
- IdP가 사용자를 SAMLResponse로 SP에 경로 재지정합니다.
- SP가 SAML 응답을 확인하고 사용자의 요청을 권한 부여합니다.

- 일반 사용자가 OpenID Connect RP(Relying Party)를 방문합니다.
- RP가 일반 사용자를 OpenID Connect 제공자(OP)에 경로 재지정합니다.
- OP(또한 SAML SP)가 일반 사용자를 SAML IdP에 경로 재지정합니다.
- 일반 사용자가 SAML IdP에 대해 인증합니다.
- IdP가 일반 사용자를 SAMLResponse와 함께 OP 또는 SP에 경로 재지정합니다.
- OP/SP가 SAML을 확인하고 권한 부여 코드를 RP에 전송합니다.
- RP가 id_token 및 access_token에 대한 코드를 교환합니다.
- RP가 id_token을 확인하고 일반 사용자를 권한 부여합니다.