Microsoft Entra ID: 매핑 및 예에서 AD FS 보안 정책을 나타냅니다.
이 문서에서는 앱 인증을 이동할 때 권한 부여 및 다단계 인증 규칙을 AD FS에서 Microsoft Entra ID로 매핑하는 방법을 알아봅니다. 각 규칙의 매핑을 사용하여 앱 마이그레이션 프로세스를 간소화하면서 앱 소유자의 보안 요구 사항을 충족하는 방법을 확인하세요.
앱 인증을 Microsoft Entra ID로 이동할 때 기존 보안 정책에서 Microsoft Entra ID에서 사용할 수 있는 동등하거나 대체 변형에 대한 매핑을 만듭니다. 앱 소유자가 요구하는 보안 표준을 충족하면서 이러한 매핑을 수행하면 나머지 앱 마이그레이션을 더 수월하게 진행할 수 있습니다.
각 규칙 예에 대해 AD FS, AD FS 규칙 언어 해당 코드에서 규칙이 어떻게 보이는지, 그리고 이것이 Microsoft Entra ID에 어떻게 매핑되는지 보여 줍니다.
권한 부여 규칙 매핑
다음은 AD FS의 다양한 형식의 권한 부여 규칙 예와 이를 Microsoft Entra ID에 매핑하는 방법입니다.
예제 1: 모든 사용자에게 액세스 허용
AD FS에서 모든 사용자에게 액세스 허용:
이는 다음 방법 중 하나로 Microsoft Entra ID에 매핑됩니다.
할당 필요?를 아니요로 설정합니다.
참고 항목
할당 필요를 예로 설정하려면 애플리케이션에 사용자를 할당하여 액세스 권한을 얻어야 합니다. 아니요로 설정하면 모든 사용자가 액세스할 수 있습니다. 해당 스위치는 내 앱 환경에서 사용자에게 표시되는 항목을 제어하지 않습니다.
사용자 및 그룹 탭에서 애플리케이션을 모든 사용자 자동 그룹에 할당합니다. 기본 모든 사용자 그룹을 사용하려면 Microsoft Entra 테넌트에서 동적 그룹을 사용하도록 설정해야 합니다.
예제 2: 그룹을 명시적으로 허용
AD FS에서 명시적 그룹 권한 부여:
이 규칙을 Microsoft Entra ID에 매핑하려면:
Microsoft Entra 관리 센터에서 AD FS의 사용자 그룹에 해당하는 사용자 그룹을 만듭니다.
그룹에 앱 권한을 할당합니다.
예 3: 특정 사용자에게 권한 부여
AD FS에서 명시적 사용자 권한 부여:
이 규칙을 Microsoft Entra ID에 매핑하려면:
Microsoft Entra 관리 센터에서 아래와 같은 앱의 [할당 추가] 탭을 통해 앱에 사용자를 추가합니다.
다단계 인증 규칙 매핑
MFA(다단계 인증) 및 AD FS의 온-프레미스 배포는 AD FS와 페더레이션되기 때문에 마이그레이션한 후에도 계속 작동합니다. 그러나 Microsoft Entra 조건부 액세스 정책에 연결된 Azure의 기본 제공 MFA 기능으로 마이그레이션하는 것이 좋습니다.
다음은 AD FS의 MFA 규칙 형식에 대한 예와 이를 다양한 조건에 따라 Microsoft Entra ID에 매핑하는 방법입니다.
AD FS의 MFA 규칙 설정:
예제 1: 사용자/그룹에 따른 MFA 적용
사용자/그룹 선택기는 그룹별(그룹 SID) 또는 사용자별(기본 SID)로 MFA를 적용할 수 있는 규칙입니다. 사용자/그룹 할당 외에도 AD FS MFA 구성 UI의 다른 모든 확인란은 사용자/그룹 규칙이 적용된 후에 평가되는 추가 규칙으로 작동합니다.
일반 조건부 액세스 정책: 모든 사용자에 대해 MFA 필요
예제 2: 등록되지 않은 디바이스에 MFA 적용
Microsoft Entra에 등록되지 않은 디바이스에 대한 MFA 규칙을 지정합니다.
일반적인 조건부 액세스 정책: 모든 사용자에 대해 규격 디바이스, Microsoft Entra 하이브리드 조인 디바이스 또는 다단계 인증 필요
내보내기 특성을 클레임 규칙으로 매핑
AD FS에서 클레임 규칙으로서의 내보내기 특성:
규칙을 Microsoft Entra ID에 매핑하려면:
Microsoft Entra 관리 센터에서 엔터프라이즈 애플리케이션을 선택한 후 Single Sign-On을 선택하여 SAML 기반 로그온 구성을 확인합니다.
편집(강조 표시됨)을 선택하여 특성을 수정합니다.
기본 제공 액세스 제어 정책 매핑
AD FS 2016의 기본 제공 액세스 제어 정책:
Microsoft Entra ID에 기본 제공 정책을 구현하려면 새 조건부 액세스 정책을 사용하고 액세스 제어를 구성하거나 AD FS 2016의 사용자 지정 정책 디자이너를 사용하여 액세스 제어 정책을 구성합니다. 규칙 편집기에는 모든 종류의 순열을 만드는 데 도움이 되는 전체 허용 및 제외 옵션 목록이 있습니다.
이 표에는 몇 가지 유용한 허용 및 제외 옵션과 이러한 옵션이 Microsoft Entra ID에 매핑되는 방법이 나열되어 있습니다.
| 옵션 | Microsoft Entra ID에서 허용 옵션을 구성하는 방법은 무엇인가요? | Microsoft Entra ID에서 제외 옵션을 구성하는 방법은 무엇인가요? |
|---|---|---|
| 특정 네트워크 | Microsoft Entra의 이름이 지정된 위치에 매핑됩니다. | 신뢰할 수 있는 위치에 제외 옵션 사용 |
| 특정 그룹 | 사용자/그룹 할당 설정 | 사용자 및 그룹에서 제외 옵션 사용 |
| 특정 신뢰 수준이 있는 디바이스 | 할당 -> 조건에 있는 디바이스 상태에서 설정 | 디바이스 상태 조건에서 제외 옵션을 사용하고 모든 디바이스 포함 |
| 요청의 특정 클레임 | 해당 설정은 마이그레이션할 수 없음 | 해당 설정은 마이그레이션할 수 없음 |
Microsoft Entra 관리 포털에서 신뢰할 수 있는 위치에 대해 제외 옵션을 구성하는 방법의 예는 다음과 같습니다.
AD FS에서 Microsoft Entra ID로 사용자 전환
Microsoft Entra ID에서 AD FS 그룹 동기화
권한 부여 규칙을 매핑할 때 AD FS로 인증하는 앱은 권한에 대해 Active Directory 그룹을 사용할 수 있습니다. 이러한 경우 애플리케이션을 마이그레이션하기 전에 Microsoft Entra Connect를 사용하여 해당 그룹을 Microsoft Entra ID와 동기화합니다. 애플리케이션을 마이그레이션할 때 동일한 사용자에게 액세스 권한을 부여하도록 마이그레이션하기 전에 해당 그룹 및 멤버 자격을 확인해야 합니다.
자세한 내용은 Active Directory에서 동기화된 그룹 특성을 사용하기 위한 필수 조건을 참조하세요.
사용자 자동 프로비저닝 설정
일부 SaaS 애플리케이션은 사용자가 애플리케이션에 처음 로그인할 때 사용자를 JIT(Just-in-Time) 프로비전하는 기능을 지원합니다. Microsoft Entra ID에서 앱 프로비전은 사용자가 액세스해야 하는 클라우드(SaaS) 애플리케이션에서 사용자 ID와 역할을 자동으로 만드는 것을 의미합니다. 마이그레이션된 사용자는 이미 SaaS 애플리케이션에 계정이 있습니다. 마이그레이션 후에 추가된 새 사용자는 모두 프로비저닝해야 합니다. 애플리케이션이 마이그레이션되면 SaaS 앱 프로비저닝을 테스트합니다.
Microsoft Entra ID에서 외부 사용자 동기화
기존 외부 사용자는 AD FS에서 다음 두 가지 방법으로 설정할 수 있습니다.
- 조직 내 로컬 계정을 사용하는 외부 사용자 - 내부 사용자 계정이 작동하는 것과 같은 방식으로 해당 계정을 계속 사용할 수 있습니다. 해당 외부 사용자 계정에는 조직 내에 계정 이름이 있습니다. 단, 계정 메일은 외부를 가리킬 수 있습니다.
마이그레이션을 진행하면서 해당 ID를 사용할 수 있는 경우 해당 사용자가 자신의 회사 ID를 사용하도록 사용자를 마이그레이션하여 Microsoft Entra B2B에서 제공하는 이점을 활용할 수 있습니다. 이렇게 하면 해당 사용자가 자체 회사 로그인 정보를 사용해 로그인하는 경우가 많기 때문에 로그인 프로세스가 간소화됩니다. 외부 사용자에 대한 계정을 관리하지 않아도 되므로 조직의 관리도 더 쉬워집니다.
- 페더레이션된 외부 ID - 현재 외부 조직과 페더레이션하는 경우 다음과 같은 몇 가지 접근 방식을 사용할 수 있습니다.
- Microsoft Entra 관리 센터에서 Microsoft Entra B2B 협업 사용자를 추가합니다. 개별 구성원이 익숙한 앱과 자산을 계속 사용할 수 있도록 Microsoft Entra 관리 포털에서 파트너 조직으로 B2B 협업 초대를 사전에 보낼 수 있습니다.
- B2B 초대 API를 사용하여 파트너 조직의 개별 사용자에 대한 요청을 생성하는 셀프 서비스 B2B 등록 워크플로를 만듭니다.
기존 외부 사용자를 구성한 방법과 관계없이 그룹 멤버 자격 또는 특정 권한에서 해당 계정과 연결된 권한이 있을 수 있습니다. 해당 권한을 마이그레이션하거나 정리해야 하는지 평가합니다.
외부 사용자를 나타내는 조직 내의 계정은 사용자가 외부 ID로 마이그레이션된 후에 사용하지 않도록 설정해야 합니다. 마이그레이션 프로세스는 리소스에 연결하는 기능이 중단될 수 있으므로 비즈니스 파트너와 논의해야 합니다.
다음 단계
- Microsoft Entra ID로 애플리케이션 인증 마이그레이션을 참조하세요.
- 조건부 액세스 및 MFA를 설정합니다.
- 단계별 코드 샘플: 개발자를 위한 AD FS에서 Microsoft Entra 애플리케이션으로의 마이그레이션 플레이북을 사용해 보세요.