AxiPassAxiPass
Back to blog
Basics·About 3 min

OIDC와 SAML의 차이, 무엇을 선택할까

SSO를 구현하는 두 표준 프로토콜 OIDC와 SAML의 차이를 정리합니다. XML 기반의 SAML과 OAuth 2.0 위에 세워진 OIDC의 특성과 선택 기준을 설명합니다.

OIDC와 SAML은 모두 SSO를 구현하는 표준 인증 프로토콜입니다. IdP와 앱이 인증 결과를 안전하게 주고받는 규약이라는 점은 같지만, 기반 기술과 사용 형태가 다릅니다. SAML은 XML 기반이고, OIDC는 OAuth 2.0 위에 세워진 인증 계층입니다.

SAML이란

SAML(Security Assertion Markup Language)은 XML 형식으로 인증 정보를 주고받는 표준입니다. IdP가 발급한 서명된 Assertion(단언) 을 SP가 검증해 로그인을 처리합니다. 기업용 앱과 온프레미스 시스템에서 오래 쓰여 왔고, 전통적인 B2B SaaS에서 지원 범위가 넓은 편입니다.

OIDC란

OIDC(OpenID Connect)는 OAuth 2.0 위에 인증 계층을 더한 표준입니다. 인증 결과를 ID 토큰이라는 형태로 전달하며, JSON과 REST 방식을 사용해 모바일 앱이나 API 친화적인 환경에 잘 맞습니다. 비교적 최근에 만들어진 앱들이 우선 지원하는 경우가 많습니다.

무엇을 선택할까

실무에서는 둘 중 하나를 미리 고르기보다, 연동하려는 앱이 무엇을 지원하는지를 따라가게 됩니다. 어떤 앱은 SAML만, 어떤 앱은 OIDC만 지원하기 때문입니다. 그래서 회사가 여러 앱을 연결하려면 IdP가 두 프로토콜을 모두 제공하는 편이 안전합니다.

정리하면, 두 프로토콜은 경쟁 관계라기보다 서로 다른 앱 생태계를 커버하는 상호 보완적인 표준에 가깝습니다. 새로 도입하는 앱이라면 OIDC를 먼저 확인하고, 기존 기업용 앱이라면 SAML 지원 여부를 살피는 식으로 접근하면 됩니다. 어느 쪽을 쓰든 핵심 원리는 같습니다. 앱이 비밀번호를 직접 다루지 않고 신뢰하는 IdP의 인증 결과만 확인한다는 점입니다.

프로토콜 선택을 포함한 도입 단계는 소규모부터 대규모까지, 기업을 위한 SSO 도입 가이드에서 이어집니다. AxiPass는 OIDC와 SAML 2.0을 모두 IdP로 제공하므로, 무료로 시작해 앱에 맞는 방식으로 연동할 수 있습니다.

Get to know AxiPass

Start AxiPass for free

Try SSO, SCIM, MFA, and audit logs yourself on the Free plan. No credit card required.

Start free

Need help planning your rollout?

Tell us about your environment and the features you need, and our team will help you plan the adoption.

Talk to us
Back to blog