SAML vs OAuth vs OIDC: 어떤 인증 프로토콜을 선택해야 하나

SAML, OAuth 2.0, OIDC는 이름이 비슷해 보여도 목적이 다릅니다. 무엇이 인증이고 무엇이 권한 위임인지 먼저 구분해야 설계가 흔들리지 않습니다.

SAML

SAML은 기업용 SSO에서 강력한 표준입니다. XML 기반이라 무겁지만 엔터프라이즈 디렉터리 연동에는 여전히 강합니다.

OAuth 2.0

OAuth는 인증이 아니라 권한 위임 프레임워크입니다. 제3자 앱이 사용자 비밀번호 없이 제한된 접근권을 얻도록 설계되었습니다.

OIDC

OIDC는 OAuth 위에 신원 계층을 추가한 프로토콜입니다. ID Token과 discovery 덕분에 현대 웹과 모바일 로그인에 잘 맞습니다.

선택 기준

• B2B 기업 SSO면 SAML
• API 접근 권한 위임이면 OAuth
• 현대적 로그인과 사용자 신원이면 OIDC