SAML 2.0의 심장인 Assertion의 XML 구조부터 AuthnRequest/Response 흐름, SP-initiated vs IdP-initiated, HTTP-Redirect/POST/Artifact 바인딩, 메타데이터 교환, XML Signature와 암호화까지 실제 XML 예제와 함께 해부합니다. XML Signature Wrapping 공격과 방어, RelayState, 클럭 스큐 같은 운영 이슈, 그리고 SAML이 2026년에도 엔터프라이즈 B2B에서 살아있는 이유를 다룹니다.
SSO의 동작 원리(IdP/SP/RP)와 세션 vs 토큰의 차이부터 SAML, OAuth 2.0, OIDC 세 프로토콜의 역사와 역할 차이까지 한 번에 정리합니다. 프로토콜 선택 의사결정 트리, 비교 테이블, 실제 인증 흐름 시퀀스와 함께 OAuth 2.1과 passkeys가 주도하는 2026년의 관점에서 무엇을 언제 써야 하는지 다룹니다.
2026년 현재 OAuth 2.1이 RFC로 굳어졌고, FAPI 2.0이 금융권에 들어왔으며, Chrome과 Edge가 FedCM을 정식 출시했다. 패스키는 더 이상 신기술이 아니다. 이 글은 Keycloak 25, Authentik, Zitadel, Ory Hydra, Auth0, WorkOS, Okta를 프로토콜 / 아키텍처 / 운영 비용 / 규제 관점에서 비교하고, 한국 PASS와 일본 JPKI 같은 지역 요구사항도 함께 다룬다.
2026년의 SSO와 Identity Provider 풍경을 한 번에 정리한다. OAuth 2.1·OIDC·SAML·SCIM·WebAuthn 같은 표준의 본질, Keycloak 26·Authentik·Authelia·Casdoor 같은 오픈소스 IdP, Auth0·Okta·AWS Cognito·Microsoft Entra ID·Google Cloud Identity 같은 매니지드 SaaS, Auth.js·Lucia·better-auth·Clerk 같은 라이브러리 진영, Ory·OPA·OpenFGA·SpiceDB로 이어지는 인가(Authorization)의 새 시대, 한국과 일본의 SSO 현실, ForgeRock·Cognito 같은 마이그레이션 이슈까지 — 22개 챕터로 펼친다.