Korean Identity Management(KIM)

title; SAML, The Liberty Alliance, and Federation
link; http://www.xmlgrrl.com/publications/SAML-Liberty-IIWb-Dec2006.pdf

SAML의 가장 큰 단점이라면 Internet 스케일로 확장하기 어렵다는 것입니다. SAML은 enterprise 용으로, 미리 합의된 신뢰 관계를 기본 전제로 하고 있습니다. 물론 SAML을 이용하여 익명화된 ID 서비스를 제공할 수도 있지만, 익명화 서비스를 위해서 웹서비스와 높은 수준의 보안을 제공하기에는 타산이 맞지 않습니다.

이런 단점을 보완하기 위해서 OpenID와 SAML을 결합하려는 시도가 이루어지고 있습니다. 국내에서도 이니텍의 이창희님을 비롯한 몇몇 분들이 OpenID 공식 사이트(http://www.openid.co.kr)에서 관련 방안을 논의하시려고 하는데, 저도 가능하면 참석할 예정입니다.




YADIS를 이용하여 OpenID와 SAML을 연동하는 데모(http://blogs.sun.com/superpat/resource/OpenIDStyleSAML_viewlet_swf.html)를 방금 보았는데, 궁금한 점이 있더군요. OpenID와 Yadis의 특징이 해당 페이지의 소유자를 신뢰하는 방식입니다. 데모에서는 idp의 metadata descriptor를 단순히 웹페이지 가져오듯이 처리하여서 문제가 발생할 소지가 있다고 봅니다. 작년에 ms와 sun간의 metadata exchange 프로토콜을 만든 것처럼, metadata 교환에 대해서 구체적인 문제와 해결방안을 고려해봐야겠습니다.