2026년 IAM 지형은 passwordless의 기본값화, AI 에이전트라는 non-human identity의 폭증, 그리고 MCP의 OAuth 2.1 기반 인증 표준화로 요동치고 있습니다. on-behalf-of 위임 체인과 token exchange, Keycloak 26.6의 CIMD 실험 지원, W3C VC 2.0과 eIDAS 2.0까지 — 실무자가 지금 준비해야 할 것들을 정리합니다.
레거시 WebSSO에서 모던 IAM으로의 전환기는 수년간 지속됩니다. 프로토콜 브리지, 리버스 프록시 헤더 주입, identity orchestration, strangler fig — 네 가지 공존 패턴과 세션/로그아웃 동기화, 보안 리스크, 전환 완료 기준을 은행 인트라넷 200개 앱 가상 사례와 함께 정리합니다.
OIDC가 OAuth 2.0 위에 어떻게 인증 레이어를 쌓는지, ID Token/Access Token/Refresh Token의 역할 차이, Authorization Code + PKCE의 상세 흐름을 실제 HTTP 요청/응답 예제와 함께 해부합니다. Discovery와 JWKS 키 회전, UserInfo, 클레임과 스코프, nonce/state를 통한 CSRF 방어, 그리고 실무에서 바로 쓰는 토큰 검증 체크리스트까지 OAuth 2.1 시대의 관점으로 정리합니다.
SAML 2.0의 심장인 Assertion의 XML 구조부터 AuthnRequest/Response 흐름, SP-initiated vs IdP-initiated, HTTP-Redirect/POST/Artifact 바인딩, 메타데이터 교환, XML Signature와 암호화까지 실제 XML 예제와 함께 해부합니다. XML Signature Wrapping 공격과 방어, RelayState, 클럭 스큐 같은 운영 이슈, 그리고 SAML이 2026년에도 엔터프라이즈 B2B에서 살아있는 이유를 다룹니다.
SSO만으로는 계정 수명주기를 관리할 수 없습니다. SCIM 2.0의 스펙 구조(RFC 7642/7643/7644), User/Group 스키마, REST 엔드포인트와 PATCH 연산, Okta/Entra/Keycloak 지원 현황, 그리고 SCIM 서버 구현 시 빠지기 쉬운 함정까지 실무 관점에서 깊이 있게 정리합니다.
20년 넘게 엔터프라이즈 WebSSO 시장을 지배해 온 SiteMinder의 아키텍처를 해부합니다. Policy Server, Web Agent, SMSESSION 쿠키, realm/rule/policy 객체 모델, 헤더 기반 사용자 전달의 보안 함의까지 — 레거시 IAM을 이해해야 모던 IAM으로 갈 수 있습니다.
SSO의 동작 원리(IdP/SP/RP)와 세션 vs 토큰의 차이부터 SAML, OAuth 2.0, OIDC 세 프로토콜의 역사와 역할 차이까지 한 번에 정리합니다. 프로토콜 선택 의사결정 트리, 비교 테이블, 실제 인증 흐름 시퀀스와 함께 OAuth 2.1과 passkeys가 주도하는 2026년의 관점에서 무엇을 언제 써야 하는지 다룹니다.
2026년의 SSO와 Identity Provider 풍경을 한 번에 정리한다. OAuth 2.1·OIDC·SAML·SCIM·WebAuthn 같은 표준의 본질, Keycloak 26·Authentik·Authelia·Casdoor 같은 오픈소스 IdP, Auth0·Okta·AWS Cognito·Microsoft Entra ID·Google Cloud Identity 같은 매니지드 SaaS, Auth.js·Lucia·better-auth·Clerk 같은 라이브러리 진영, Ory·OPA·OpenFGA·SpiceDB로 이어지는 인가(Authorization)의 새 시대, 한국과 일본의 SSO 현실, ForgeRock·Cognito 같은 마이그레이션 이슈까지 — 22개 챕터로 펼친다.
직접 인증을 만들지 말고 Keycloak을 쓰자. 이 글은 따라 하는 핸즈온이다 — Docker로 Keycloak 26을 띄우고, Realm·Client·User·Role을 설정하고, OIDC 엔드포인트를 curl로 찔러보고, Spring Boot Resource Server와 Node.js·Next.js를 연동한다. Authorization Code + PKCE 토큰 흐름 전체, 프로덕션 체크리스트, 그리고 redirect_uri mismatch·CORS·issuer 불일치 같은 자주 막히는 곳 트러블슈팅까지.