IAM(ID 및 액세스 관리)은 ID 관리와 액세스할 수 있는 항목을 다루는 프로세스, 정책, 기술 프레임워크입니다. IAM에는 시스템의 사용자 및 기타 계정의 인증 및 권한 부여를 지원하는 구성 요소가 포함되어 있습니다.
IAM 시스템의 모든 구성 요소는 중단을 일으킬 수 있습니다. IAM 복원력은 IAM 시스템 구성 요소의 중단을 견디고 비즈니스, 사용자, 고객, 운영에 미치는 영향을 최소화하면서 복구할 수 있는 기능입니다. 이 가이드에서는 복원력 있는 IAM 시스템을 빌드하는 방법을 설명합니다.
IAM 복원력을 승격하려면 다음을 수행합니다.
- 중단이 발생한다고 가정하고 이를 계획합니다.
- 종속성, 복잡성, 단일 실패 지점을 줄입니다.
- 포괄적인 오류 처리를 보장합니다.
만일의 사태를 인지하고 계획하는 것이 중요합니다. 그러나 종속성과 복잡성을 사용하여 더 많은 ID 시스템을 추가하면 복원력을 높이는 대신 줄일 수 있습니다.
개발자는 가능한 경우 Microsoft Entra 관리 ID를 사용하여 애플리케이션에서 IAM 복원력을 관리할 수 있습니다. 자세한 내용은 개발하는 인증 및 권한 부여 애플리케이션의 복원력 향상을 참조하세요.
IAM 솔루션의 복원력을 계획할 때 다음 요소를 고려하세요.
- IAM 시스템에 의존하는 애플리케이션입니다.
- 인증에서 호출하는 공용 인프라는 다음을 포함하여 사용합니다.
- 통신 회사.
- 인터넷 서비스 공급자.
- 퍼블릭 키 공급자.
- 클라우드 및 온-프레미스 ID 공급자.
- IAM에 의존하는 기타 서비스 및 서비스를 연결하는 API입니다.
- 시스템의 다른 온-프레미스 구성 요소입니다.
아키텍처
이 다이어그램은 IAM 복원력을 높이는 여러 가지 방법을 보여 줍니다. 연결된 문서에서는 메서드를 자세히 설명합니다.
종속성 관리 및 인증 호출 감소
호출의 구성 요소 중 하나라도 실패하면 모든 인증 호출이 중단될 수 있습니다. 기본 구성 요소 오류로 인해 인증이 중단되면 사용자는 애플리케이션에 액세스하지 못하게 됩니다. 따라서 인증 호출의 수와 해당 호출의 종속성 수를 줄이는 것은 복원력을 위해 필수적입니다.
- 종속성을 관리합니다. 자격 증명 관리를 사용하여 복원력 빌드.
- 인증 호출을 줄입니다. 디바이스 상태를 사용하여 복원력 빌드.
- 외부 API 종속성을 줄입니다.
수명이 긴 취소 가능 토큰 사용
Microsoft Entra ID와 같은 토큰 기반 인증 시스템에서 사용자의 클라이언트 애플리케이션은 ID 시스템에서 보안 토큰을 획득해야 애플리케이션 또는 다른 리소스에 액세스할 수 있습니다. 토큰 유효 기간 동안 클라이언트는 애플리케이션에 액세스하기 위해 동일한 토큰을 여러 번 제공할 수 있습니다.
사용자 세션 중에 유효 기간이 만료되면 애플리케이션은 토큰을 거부하고 클라이언트는 Microsoft Entra ID에서 새 토큰을 획득해야 합니다. 새 토큰을 획득하려면 자격 증명 프롬프트 또는 다른 요구 사항과 같은 사용자 조작이 필요합니다. 수명이 긴 토큰을 사용하여 인증 호출 빈도를 줄이면 불필요한 조작이 감소합니다. 그러나 토큰 수명과 정책 평가를 줄임으로써 야기되는 위험을 적절히 고려해야 합니다.
- 수명이 긴 취소 가능한 토큰을 사용합니다.
- CAE(지속적인 액세스 권한 평가)를 사용하여 복원력 빌드.
토큰 수명 관리에 대한 자세한 내용은 Microsoft Entra 다단계 인증에 대한 재인증 프롬프트 최적화 및 세션 수명 이해를 참조하세요.
하이브리드 및 온-프레미스 복원력
- 하이브리드 아키텍처에서 복원력을 구축하여 온-프레미스 Active Directory 또는 다른 IdP(ID 공급자)의 복원력 있는 인증을 정의합니다.
- 외부 ID를 관리하려면 외부 사용자 인증에서 복원력을 빌드합니다.
- 온-프레미스 앱에 액세스하려면 애플리케이션 프록시를 사용하여 애플리케이션 액세스에서 복원력을 빌드합니다.
다음 단계
- 개발하는 인증 및 권한 부여 애플리케이션의 복원력 향상
- IAM 인프라에서 복원력 빌드
- Azure Active Directory B2C를 사용하여 CIAM(고객 연결 애플리케이션) 시스템에서 복원력 빌드