ID 의사 결정 가이드
온-프레미스, 하이브리드 또는 클라우드 전용인 모든 환경에서 IT는 리소스에 액세스할 수 있는 관리자, 사용자 및 그룹을 제어해야 합니다. IAM(ID 및 액세스 관리) 서비스를 사용하면 클라우드에서 액세스 제어를 관리할 수 있습니다.
이동: ID 통합 요구 사항 확인 | 클라우드 기준 | 디렉터리 동기화 | 클라우드에 호스트된 도메인 서비스 | Active Directory Federation Services | 자세한 정보
클라우드 환경에서 ID를 관리하는 데 사용할 수 있는 몇 가지 옵션이 있습니다. 이러한 옵션은 비용과 복잡도에 따라 다릅니다. 클라우드 기반 ID 서비스를 구조화하는 핵심 요소는 기존 온-프레미스 ID 인프라와 필요한 통합 수준입니다.
Microsoft Entra ID는 Azure 리소스에 대한 액세스 제어 및 ID 관리의 기본 수준을 제공합니다. 조직의 온-프레미스 Active Directory 인프라에 복잡한 포리스트 구조 또는 사용자 지정된 OU(조직 구성 단위)가 있는 경우 클라우드 기반 워크로드는 온-프레미스와 클라우드 환경 간의 일관된 ID, 그룹 및 역할 집합을 위해 Microsoft Entra ID와 디렉터리 동기화가 필요할 수 있습니다. 또한 레거시 인증 메커니즘에 의존하는 애플리케이션을 지원하려면 클라우드에서 AD DS(Active Directory 도메인 Services)를 배포해야 할 수 있습니다.
클라우드 기반 ID 관리는 반복적인 프로세스입니다. 작은 사용자 집합과 초기 배포에 해당하는 역할로 클라우드 네이티브 솔루션으로 시작할 수 있습니다. 마이그레이션이 완성되면 디렉터리 동기화를 사용하여 ID 솔루션을 통합하거나 클라우드 배포의 일부로 do기본s 서비스를 추가해야 할 수 있습니다. 마이그레이션 프로세스를 반복할 때마다 ID 전략을 다시 확인합니다.
ID 통합 요구 사항 확인
질문 | 클라우드 기준 | 디렉터리 동기화 | 클라우드 호스팅 도메인 서비스 | ADFS(Active Directory Federation Services) |
---|---|---|---|---|
현재 온-프레미스 디렉터리 서비스가 부족합니까? | 예 | 아니요 | 없음 | 아니요 |
워크로드가 클라우드와 온-프레미스 환경 간에 공통 사용자 및 그룹 집합을 사용해야 하나요? | 예 | 예 | 아니요 | 아니요 |
워크로드가 Kerberos 또는 NTLM과 같은 레거시 인증 메커니즘에 종속되어 있습니까? | 아니요 | 아니요 | 예 | 예 |
여러 ID 공급자에서 Single Sign-On이 필요한가요? | 아니요 | 없음 | 아니요 | 예 |
Azure로 마이그레이션을 계획하는 과정의 일환으로 기존 ID 관리 및 클라우드 ID 서비스를 통합하는 최선의 방법을 결정해야 합니다. 다음은 일반적인 통합 시나리오입니다.
클라우드 기준
Microsoft Entra ID는 사용자 및 그룹에 Azure 플랫폼의 관리 기능에 대한 액세스 권한을 부여하기 위한 기본 IAM(ID 및 액세스 관리) 시스템입니다. 조직에 중요한 온-프레미스 ID 솔루션이 부족하고 클라우드 기반 인증 메커니즘과 호환되도록 워크로드를 마이그레이션하려는 경우 Microsoft Entra ID를 기본으로 사용하여 ID 인프라 개발을 시작해야 합니다.
클라우드 기준 가정: 순수 클라우드 네이티브 ID 인프라를 사용하는 경우 다음을 가정합니다.
- 클라우드 기반 리소스는 온-프레미스 디렉터리 서비스 또는 Active Directory 서버에 종속되지 않으며, 이러한 종속성을 제거하기 위해 워크로드를 수정할 수 있습니다.
- 마이그레이션되는 애플리케이션 또는 서비스 워크로드는 Microsoft Entra ID와 호환되는 인증 메커니즘을 지원하거나 쉽게 수정하여 지원할 수 있습니다. Microsoft Entra ID는 SAML, OAuth 및 OpenID 커넥트 같은 인터넷 지원 인증 메커니즘을 사용합니다. Kerberos 또는 NTLM과 같은 프로토콜을 사용하는 레거시 인증 방법을 사용하는 기존 워크로드는 클라우드로 마이그레이션하기 전에 클라우드 기준 패턴을 사용하여 리팩터링해야 할 수 있습니다.
팁
ID 서비스를 Microsoft Entra ID로 완전히 마이그레이션하면 사용자 고유의 ID 인프라를 기본 필요가 없어 IT 관리가 크게 간소화됩니다.
그러나 Microsoft Entra ID는 기존 온-프레미스 Active Directory 인프라를 완전히 대체하는 것은 아닙니다. 클라우드에 추가 도구 또는 서비스를 배포하지 않고는 레거시 인증 방법, 컴퓨터 관리 또는 그룹 정책과 같은 디렉터리 기능을 사용할 수 없습니다.
온-프레미스 ID를 통합하거나 기본 서비스를 클라우드 배포와 통합해야 하는 시나리오는 아래에 설명된 디렉터리 동기화 및 클라우드 호스팅 do기본 서비스 패턴을 참조하세요.
디렉터리 동기화
기존 온-프레미스 Active Directory 인프라가 있는 조직의 경우 디렉터리 동기화는 클라우드 리소스를 관리하는 데 필요한 IAM 기능을 제공하면서 기존 사용자 및 액세스 관리를 유지하는 데 가장 적합한 솔루션입니다. 이 프로세스는 Microsoft Entra ID와 온-프레미스 디렉터리 서비스 간에 디렉터리 정보를 지속적으로 복제본(replica) 사용자에 대한 일반적인 자격 증명과 전체 조직 전체에서 일관된 ID, 역할 및 권한 시스템을 허용합니다.
참고 항목
Microsoft 365를 채택한 조직은 온-프레미스 Active Directory 인프라와 Microsoft Entra ID 간에 디렉터리 동기화를 이미 구현했을 수 있습니다.
디렉터리 동기화 가정: 동기화된 ID 솔루션을 사용하면 다음을 가정합니다.
- 클라우드 및 온-프레미스 IT 인프라에서 공통 사용자 계정 및 그룹 집합을 기본 확인해야 합니다.
- 온-프레미스 ID 서비스는 Microsoft Entra ID를 사용하여 복제본(replica)tion을 지원합니다.
팁
온-프레미스 Active Directory 서버에서 제공하는 레거시 인증 메커니즘에 의존하며 Microsoft Entra ID에서 지원되지 않는 클라우드 기반 워크로드는 여전히 온-프레미스 do기본 서비스 또는 이러한 서비스를 제공하는 클라우드 환경의 가상 서버에 대한 연결이 필요합니다. 또한 온-프레미스 ID 서비스를 사용하면 클라우드와 온-프레미스 네트워크 간의 연결에 대한 종속성이 도입됩니다.
클라우드 호스팅 도메인 서비스
Kerberos 또는 NTLM과 같은 레거시 프로토콜을 사용하는 클레임 기반 인증에 의존하는 워크로드가 있고 SAML 또는 OAuth 및 OpenID 커넥트 같은 최신 인증 프로토콜을 허용하도록 해당 워크로드를 리팩터링할 수 없는 경우 클라우드 배포의 일부로 일부 기본 서비스를 클라우드로 마이그레이션해야 할 수 있습니다.
이러한 패턴에서는 Active Directory를 실행하는 가상 머신을 클라우드 기반 가상 네트워크에 배포하여 클라우드의 리소스에 Active Directory Domain Services(AD DS)를 제공해야 합니다. 클라우드 네트워크로 마이그레이션하는 기존 애플리케이션 및 서비스는 약간의 수정만으로 이러한 클라우드 호스팅 디렉터리 서버를 사용할 수 있어야 합니다.
기존 디렉터리 및 도메인 서비스는 온-프레미스 환경에서 계속 사용될 가능성이 높습니다. 이 시나리오에서는 디렉터리 동기화를 사용하여 클라우드 및 온-프레미스 환경 모두에서 공통 사용자 및 역할 집합을 제공해야 합니다.
클라우드 호스팅 do기본 서비스 가정: 디렉터리 마이그레이션을 수행하는 경우 다음을 가정합니다.
- 워크로드는 Kerberos 또는 NTLM과 같은 프로토콜을 사용하는 클레임 기반 인증에 따라 달라집니다.
- 워크로드 가상 머신은 Active Directory 그룹 정책을 관리하거나 적용하기 위해 도메인에 조인해야 합니다.
팁
클라우드 호스팅 do기본 서비스와 결합된 디렉터리 마이그레이션은 기존 워크로드를 마이그레이션할 때 뛰어난 유연성을 제공하지만, 이러한 서비스를 제공하기 위해 클라우드 가상 네트워크 내에서 가상 머신을 호스팅하면 IT 관리 작업의 복잡성이 증가합니다. 클라우드 마이그레이션 환경이 성숙함에 따라 이러한 서버를 호스트하는 장기 기본 테넌트 요구 사항을 검토합니다. Microsoft Entra ID와 같은 클라우드 ID 공급자와의 호환성을 위해 기존 워크로드를 리팩터링하면 이러한 클라우드 호스팅 서버에 대한 필요성을 줄일 수 있는지 여부를 고려합니다.
ADFS(Active Directory Federation Services)
ID 페더레이션은 여러 ID 관리 시스템에서 트러스트 관계를 설정하여 일반적인 인증 및 권한 부여 기능을 허용합니다. 그런 다음, 조직 내의 여러 도메인 또는 고객 또는 비즈니스 파트너가 관리하는 ID 시스템에서 Single Sign-On 기능을 지원할 수 있습니다.
Microsoft Entra ID는 AD FS(Active Directory Federation Services)를 사용하는 온-프레미스 Active Directory 기본 페더레이션을 지원합니다. Azure에서 이를 구현하는 방법에 대한 자세한 내용은 Azure로 AD FS 확장을 참조하세요.
자세한 정보
Azure의 ID 서비스에 대한 자세한 내용은 다음을 참조하세요.
- Microsoft Entra ID입니다. Microsoft Entra ID는 클라우드 기반 ID 서비스를 제공합니다. 이를 통해 Azure 리소스에 대한 액세스를 관리하고 ID 관리, 디바이스 등록, 사용자 프로비저닝, 애플리케이션 액세스 제어 및 데이터 보호를 제어할 수 있습니다.
- Microsoft Entra 커넥트. Microsoft Entra 커넥트 도구를 사용하면 Microsoft Entra 인스턴스를 기존 ID 관리 솔루션과 연결하여 클라우드에서 기존 디렉터리를 동기화할 수 있습니다.
- Azure RBAC(Azure 역할 기반 액세스 제어). Azure RBAC는 관리 평면의 리소스에 대한 액세스를 효율적이고 안전하게 관리합니다. 작업 및 책임은 역할로 구성되며 사용자는 이러한 역할에 할당됩니다. Azure RBAC를 사용하면 사용자가 해당 리소스에 대해 수행할 수 있는 작업과 함께 리소스에 대한 액세스 권한이 있는 사용자를 제어할 수 있습니다.
- Microsoft Entra PIM(Privileged Identity Management). PIM은 리소스 액세스 권한의 노출 시간을 낮추고 보고서 및 경고를 통해 사용 가시성을 높입니다. 사용자를 Just-In-Time 권한으로 제한하고 제한된 기간에 대한 권한을 할당한 다음, 해당 권한을 자동으로 해지합니다.
- 온-프레미스 Active Directory do기본를 Microsoft Entra ID와 통합합니다. 이 참조 아키텍처는 온-프레미스 Active Directory do기본와 Microsoft Entra ID 간의 디렉터리 동기화 예제를 제공합니다.
- AD DS(Active Directory Domain Services)를 Azure로 확장. 이 참조 아키텍처는 클라우드 기반 리소스로 do기본 서비스를 확장하기 위해 AD DS 서버를 배포하는 예제를 제공합니다.
- AD FS(Active Directory Federation Services)를 Azure로 확장합니다. 이 참조 아키텍처는 Microsoft Entra 디렉터리로 페더레이션 인증 및 권한 부여를 수행하도록 AD FS(Active Directory Federation Services)를 구성합니다.
다음 단계
ID는 클라우드 채택 프로세스 중에 아키텍처를 결정해야 하는 핵심 인프라 구성 요소 중 하나일 뿐입니다. 다른 유형의 인프라에 대한 디자인 결정을 내릴 때 사용되는 대체 패턴 또는 모델에 대해 알아보려면 아키텍처 의사 결정 가이드 개요를 참조하세요.