티스토리 뷰

MS

MS Windows PC의 간이 SSO 방안

wizmusa 2014.12.09 21:09

 Windows Credential을 병용하여 돈을 덜 들이고 Single Sign On(SSO)을 구현하는 방안을 생각해 보았다. 보안을 생각하면 기본 중에 기본이 SSO 솔루션 도입이다. 그런데 과거의 잘못된 유산을 어쩌지 못해 여전히 그룹웨어에서 접속할 다른 웹 어플리케이션에 매개변수를 넘기는 방식으로 SSO 흉내를 내는 곳이 좀 된다.[각주:1] 만약 MS Active Directory(AD)를 도입했고 PC의 운영체제는 Windows가 태반인 곳이라면 Windows Credential을 병용한 SSO를 생각해 볼 만하다.


 그냥 Windows Credential을 쓰면 되지 않냐는 반문은 당연하다. 굳이 병용을 이야기 하는 이유는, SSO 솔루션을 도입하지 못할 정도로 잘못된 유산을 치우지 못하는 곳이 태반이라, 대체로 PC에 공용계정을 써서 접속하거나 아예 도메인에 가입하지 않은 PC도 상당수 운용 중일 것이기 때문이다. 이런 저런 경우의 수를 감안하면 다음과 같은 절차로써 조악하지만 무리는 적은 SSO의 구현이 가능하다.


  1. 그룹웨어에 접속
  2. 다른 웹 어플리케이션에 접속할 때에는 별도로 마련한 접속 페이지로 이동
  3. 그룹웨어의 로그온 세션과 Windows Credential의 인증정보를 비교
    1. 같으면 해당 어플리케이션의 Windows Credential 기반 인증 페이지로 이동
    2. 다르면 해당 어플리케이션의 사용자 인증[각주:2] 페이지(AD 기반)로 이동


 JSP 개발자에게 당혹스럽기는 하겠지만[각주:3] 해볼 만하다고 감히 말하겠다. 더불어 이 체계는 매개변수로 뭔가를 넘기는 방식은 포기한다는 것이 전제이다. 그만 할 때도 됐다.

  1. 개발자의 장인정신에 힘입어 POST 방식의 매개변수 전달에 쿠키를 병용하는 곳도 있다. [본문으로]
  2. 일반적인 사용자 로그온 화면 [본문으로]
  3. 방법은 있는데 하려다 보면 ASP.NET보다 작업할 게 많다. [본문으로]
댓글
댓글쓰기 폼