소규모부터 대규모까지, 기업을 위한 SSO 도입 가이드
SSO가 왜 필요한지, OIDC와 SAML은 어떻게 다른지, 그리고 중소·중견 기업이 무리 없이 SSO를 도입하기 위한 단계와 준비 체크리스트를 정리했습니다.
직원이 매일 대여섯 개의 업무 앱에 각각 로그인하고, 담당자는 입·퇴사 때마다 그 앱들의 계정을 하나씩 만들고 지웁니다. 회사가 50명을 넘어가면 이 방식은 눈에 띄게 삐걱대기 시작합니다. SSO(싱글사인온)는 이 반복을 없애는 가장 확실한 방법이지만, "어디서부터 손대야 하는지" 막막해 미루게 되는 주제이기도 합니다.
SSO가 실제로 바꾸는 것
SSO는 한 번의 로그인으로 여러 앱에 접근하게 해 줍니다. 하지만 진짜 가치는 편의성보다 관리의 중앙화에 있습니다.
계정이 한곳에서 관리되면, 비밀번호 정책·MFA 강제·접근 권한을 앱마다 따로 설정하지 않아도 됩니다. 퇴사자 계정을 한 번에 차단할 수 있고, 누가 언제 어떤 앱에 접근했는지도 한곳에서 봅니다. 대기업 고객이 보안 심사에서 SSO를 요구하는 이유도 여기에 있습니다. 개별 앱의 로그인은 통제하기 어렵지만, 중앙 IdP를 거치는 로그인은 통제와 감사가 가능하기 때문입니다.
OIDC와 SAML, 무엇이 다른가
SSO를 구현하는 표준 프로토콜은 크게 둘입니다.
SAML 2.0은 기업용 앱에서 오래 쓰여 온 표준으로, XML 기반이며 특히 전통적인 B2B SaaS와 온프레미스 앱에서 지원 범위가 넓습니다. OIDC(OpenID Connect)는 OAuth 2.0 위에 세워진 비교적 현대적인 표준으로, 모바일·API 친화적이고 최근 앱들이 우선 지원하는 경우가 많습니다.
실무에서는 둘 중 하나를 고르는 문제가 아니라, 연동하려는 앱이 무엇을 지원하는지를 따라가게 됩니다. 그래서 IdP는 두 프로토콜을 모두 제공하는 편이 안전합니다. 어떤 앱은 SAML로, 어떤 앱은 OIDC로 붙게 되기 때문입니다.
도입 단계
무리 없는 도입은 대체로 이런 순서를 따릅니다.
- 앱 목록 정리 — 회사가 쓰는 앱을 모두 적고, 각각의 SSO 지원 방식(SAML/OIDC/미지원)을 표시합니다.
- IdP 선정 — 계정의 중심이 될 IdP를 정합니다. 이 단계에서 감사로그·MFA·프로비저닝 지원 여부를 함께 봅니다.
- 파일럿 연동 — 사용자가 많고 중요한 앱 한두 개를 먼저 붙여 흐름을 검증합니다.
- 점진적 확대 — 나머지 앱을 순차로 연동하고, SSO를 지원하지 않는 앱은 별도 방식을 정합니다.
- 정책 적용 — MFA 강제, 그룹별 접근 정책, 로그인 감사를 켜서 운영 상태로 만듭니다.
준비 체크리스트
- 계정의 진실의 원천을 어디에 둘지 정했는가
- MFA를 전사 강제할지, 특정 그룹에만 강제할지 정했는가
- 그룹·역할 구조가 접근 정책과 맞물려 설계되었는가
- 로그인·권한 변경이 감사로그로 남는가
- SSO 미지원 앱에 대한 대안이 있는가
AxiPass는 이 과정을 함께합니다
AxiPass는 OIDC와 SAML 2.0을 모두 IdP로 제공하므로, 앱이 어느 쪽을 지원하든 하나의 중심에서 연동할 수 있습니다. 여기에 TOTP 기반 MFA(전사 강제 또는 그룹 단위 강제와 재인증 주기 설정), 그룹 단위 접근 정책, 로그인·권한 변경 감사로그가 함께 제공됩니다. SSO를 지원하지 않는 앱은 뒤에서 다룰 자동 로그인 방식으로 보완할 수 있어, 사내 앱을 하나의 정책 아래로 모을 수 있습니다.
작은 규모로 먼저 시험해 보고 싶다면 무료로 시작하기에서 Free 플랜으로 확인하실 수 있고, 회사 앱 구성에 맞는 도입 순서가 궁금하다면 도입 상담으로 문의해 주세요.
