Security Assertion Markup LanguageSAML (보안 주장 마크업 언어)

1. 사용자 → SP 접근
2. SP → SAML AuthnRequest 생성 → IdP로 리다이렉트
3. IdP → 사용자 인증 (로그인 화면)
4. IdP → SAML Assertion(XML) 생성 → SP로 POST
5. SP → Assertion 서명 검증 → 세션 생성
6. 사용자 → SP 서비스 이용

AuthnRequest 예시:
<samlp:AuthnRequest
  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
  ID="_abc123"
  Version="2.0"
  IssueInstant="2024-01-01T00:00:00Z"
  Destination="https://idp.example.com/sso"
  AssertionConsumerServiceURL="https://sp.example.com/acs">
  <saml:Issuer>https://sp.example.com</saml:Issuer>
</samlp:AuthnRequest>

<saml:Assertion>
  <saml:Issuer>https://idp.example.com</saml:Issuer>
  <!-- XML 디지털 서명 (RSA-SHA256) -->
  <ds:Signature>...</ds:Signature>
  <saml:Subject>
    <saml:NameID Format="emailAddress">user@example.com</saml:NameID>
  </saml:Subject>
  <saml:Conditions
    NotBefore="2024-01-01T00:00:00Z"
    NotOnOrAfter="2024-01-01T01:00:00Z">
    <saml:AudienceRestriction>
      <saml:Audience>https://sp.example.com</saml:Audience>
    </saml:AudienceRestriction>
  </saml:Conditions>
  <saml:AttributeStatement>
    <saml:Attribute Name="email">
      <saml:AttributeValue>user@example.com</saml:AttributeValue>
    </saml:Attribute>
  </saml:AttributeStatement>
</saml:Assertion>

- XML Signature Wrapping(XSW) 공격 방어: Assertion ID 검증 필수
- Replay Attack 방어: NotOnOrAfter, InResponseTo 필드 검증
- Man-in-the-Middle: HTTPS 필수, 인증서 핀닝 고려
- 서명 알고리즘: SHA-1 → SHA-256 이상으로 업그레이드