Single Sign-On 개요
SSO(Single Sign-On)는 플랫폼, 기술 또는 도메인에 관계없이 하나의 자격 증명 세트를 사용하여 기업 전체의 여러 응용 프로그램에 액세스할 수 있는 세션 및 사용자 인증 메커니즘입니다. SSO 지원 응용 프로그램에 로그인하면 적절한 권한이 있는 다른 모든 응용 프로그램에 자동으로 로그인됩니다. PTC는 인증 방법으로 SSO를 권장합니다.
 |
응용 프로그램이 SSO로 구성되어 있을 때 ID 공급자(IdP)에서 다단계 인증(MFA)를 지원하는 경우 IdP를 통해 MFA를 구성할 수 있습니다. PTC 응용 프로그램에서는 MFA를 관리하지 않으며 IdP를 통해 구성됩니다.
|
SSO 정보 프로세스 흐름은 인증 및 승인 데이터의 교환으로 구성됩니다. 아래 표에 나열된 각 구성 요소는 두 교환 중 하나 또는 두 가지 역할을 수행할 수 있습니다.
|
용어
|
정의
|
||
|---|---|---|---|
|
CAS(중앙 승인 서버)
|
SSO 페더레이션에서 사용자의 인증 및 승인을 관리하는 타사 도구입니다. 이렇게 하면 사용자가 위임된 권한을 통해 여러 리소스 서버의 데이터에 액세스할 수 있습니다.
PTC는 다음과 같은 중앙 승인 서버를 지원합니다.
• PingFederate
• Microsoft Entra ID
◦ ThingWorx 9.2.0 이상, 9.1.4 이상 및 9.0.9 이상에만 해당
◦ ThingWorx Navigate 9.5.0 이상에만 해당
◦ Windchill 12.0.2.2 이상에만 해당
• Azure AD B2C
◦ ThingWorx 버전 9.6.0 이상
• AD FS
◦ ThingWorx 9.2.0 이상, 9.1.4 이상 및 9.0.9 이상 버전에만 해당
|
||
|
OAuth(Open Authorization)
|
OAuth는 액세스 토큰을 사용하여 응용 프로그램에서 사용자를 다른 응용 프로그램으로 인증하고 사용자가 소유한 데이터를 읽어들일 수 있도록 하는 산업 표준입니다.
PTC SSO 프레임워크는 OAuth 2.0을 사용합니다.
|
||
|
SAML(Security Assertion Markup Language)
|
SAML은 응용 프로그램별 암호가 필요 없는 XML 기반 인증 산업 표준입니다. SAML은 단일 사용 및 만료 방식의 디지털 토큰을 사용하여 신뢰 관계가 설정된 ID 공급자와 서비스 공급자 간에 인증 및 승인 데이터를 교환합니다.
PTC SSO 프레임워크는 SAML 2.0을 사용합니다.
|
||
|
OpenID Connect(OIDC)
|
OpenID Connect(OIDC)는 OAuth 2.0 프레임워크 위에 빌드된 ID 레이어입니다. 이를 통해 타사 응용 프로그램에서 최종 사용자의 ID를 확인하고 기본 사용자 프로파일 정보를 얻을 수 있습니다. OIDC는 OAuth 2.0 사양을 준수하는 흐름을 사용하여 얻을 수 있는 JSON 웹 토큰(JWT)을 사용합니다.
|
||
|
액세스 토큰
|
승인 서버로부터 받는 불투명 문자열 또는 JWT 토큰으로서 응용 프로그램이 리소스 소유자 데이터에 액세스하려면 다른 응용 프로그램에 이를 제공해야 합니다.
|
||
|
페더레이션
|
CAS를 사용하여 Single Sign-On을 활성화하도록 구성된 엔터프라이즈의 소프트웨어 응용 프로그램 네트워크입니다.
|
||
|
IdP(ID 공급자)
|
사용자 ID 데이터를 관리하는 타사 도구입니다. 사용자 관리 시스템 또는 Active Directory는 사용자 이름, 암호 및 기타 자격 증명을 저장합니다. CAS는 사용자를 인증할 때 IdP를 참조합니다.
|
||
|
RS(리소스 서버)
|
보호된 데이터를 포함하는 SSO 페더레이션 내의 응용 프로그램입니다.
|
||
|
SP(서비스 공급자)
|
사용자가 정보에 액세스하는 웹 서버입니다. 또한 SAML 프로토콜을 사용하여 SSO 페더레이션 내의 사용자 로그인을 인증합니다. 또한 SP는 인증된 사용자 대신 RP에서 보호된 데이터에 대한 액세스를 요청합니다.
|
||
|
범위
|
CAS, SP 및 RP에 등록하는 문자열 값입니다. 이는 리소스 서버에서 사용할 수 있는 리소스 소유자의 데이터에 대한 추가 액세스 제어를 제공합니다. SP에게 보호된 리소스와 연관된 범위에 대한 승인이 부여되면 유효한 액세스 토큰을 제공하는 경우에만 해당 데이터를 SP에 사용할 수 있습니다.
|
||
|
사용자 에이전트
|
사용자(리소스 소유자)가 정보에 액세스하는 데 사용하는 웹 브라우저입니다. 사용자 에이전트는 사용자를 대신하여 SP 및 CAS의 요청을 수행합니다.
|