CrossDomainSsoUser
일반 사용자용 Cross-Domain SSO — auth.codebase.how broker 경유 voca↔academy↔exam 등 다도메인 SSO + B2B SAML/OIDC + Social OAuth 통합
상태
| 항목 | 값 |
|---|---|
| Layer | core |
| Tier | L1 |
| Status | wip |
| Version | 0.3.0 |
| 가격 | Free (free) |
| **카� | |
| �고리** | Security & Auth |
개요
개요
CrossDomainSsoUser 는 multi-saas-kit 의 일반 사용자용 Cross-Domain SSO Plugin �
니다 (ADR-042). ExternalSsoModule (외부 OSS 통합) 및 ADR-040 의 Platform Admin SSO 와 별개의 시나리오를 다룹니다.
시나리오
사용자가 voca.how 에서 로그인 후 academy.how 로 이동 시 자동 인증 — 같은 운영 주체의 여러 SaaS 간 SSO 흐름을 표준화합니다.
아키�
�처
- Broker:
auth.codebase.how(별도 � 립 프로젝트, ADR-042) - 추상화:
Core/Base/Auth/Identity/의IdentityProviderInterface+SsoTokenServiceInterface - 데이터 분리:
- 사용자 마스터 풀 = 각 client SaaS 자체 보유 (기존 ADR-022/027/029 유지)
- SSO 운영 데이터 (
sso_clients,sso_login_events,sso_user_sessions) = auth.codebase.how broker DB external_identities(sub ↔ local user_id) = 각 client SaaS DB
Phase 별 IdP 지원
- Phase 1 (MVP):
InternalSsoProvider— msk-internal pool (voca↔academy↔exam) - Phase 2:
SamlProvider,OidcProvider— B2B 고객사 IdP - Phase 3:
GoogleProvider,KakaoProvider,AppleProvider— Social Login
보안 원칙
- 256-bit nonce + cache lookup (JWT 회피, ADR-042 Q6.6)
- 1회용 authorization code (TTL 60s, max 300s)
- return_url allowlist 검증
- state 파라미터 CSRF 방어
- back-channel logout (Phase 1.2)
- audit log: issued / consumed / failed / replay_attempt
의존성
core: >=1.27.0(Identity Interface + ADR-040 리팩토링 후)auth.codebase.how프로젝트 (broker)
활성화 정�
SaaS 별 토글 (기본 OFF) — 신규 SaaS 가 자동 SSO 풀에 합류 X. SaaS Admin (Level 1) 이 � 시 ON 후 활성화.
관련 ADR
- ADR-042 User SSO Identity Hub
- ADR-040 Platform Admin Cross-Domain SSO (재사용 대상)
- work/formal/260502-2105 spec/plan/tasks
라이선스
MIT
데모
🛒 Plugin Store에서 보기: store.codebase.how/plugins/cross-domain-sso-user