Microsoft Entra ID를 사용하여 계정 공유
개요
Microsoft Entra의 일부인 Microsoft Entra ID에서 조직은 여러 사용자에 대해 단일 사용자 이름과 암호를 사용해야 하는 경우가 있으며, 이는 종종 다음과 같은 경우에 발생합니다.
- 온-프레미스 앱이나 소비자 클라우드 서비스 등, 각 사용자에 대한 고유의 로그인과 암호가 필요한 애플리케이션을 액세스할 때(예: 기업 소셜 미디어 계정)
- 다중 사용자 환경을 만들 때. 상승된 권한이 있고 핵심 설정, 관리 및 복구 작업에 사용되는 단일 로컬 계정을 가지고 있습니다. 예를 들어 Microsoft 365의 애플리케이션 관리자 계정 또는 Salesforce의 루트 계정입니다.
일반적으로 이러한 계정은 자격 증명(사용자 이름 및 암호)을 적합한 개인에게 배포하거나 신뢰할 수 있는 여러 에이전트가 액세스할 수 있는 공유 위치에 저장하여 공유합니다.
전통적인 공유 모델에는 몇 가지 단점이 있습니다.
- 새 애플리케이션에 대한 액세스를 활성화하려면 액세스가 필요한 모든 사용자에게 자격 증명을 배포해야 합니다.
- 각 공유 애플리케이션에는 고유한 공유 자격 증명 집합이 필요할 수 있으므로 사용자는 여러 자격 증명 집합을 기억해야 합니다. 사용자가 여러 자격 증명을 기억해야 한다면, 편의를 위해 위험한 행동을 할 가능성이 높아집니다 (예: 암호 기록).
- 애플리케이션에 누가 액세스 권한이 있는지 알 수 없습니다.
- 누가 애플리케이션에 액세스했는지 알 수 없습니다.
- 애플리케이션에 대한 액세스를 제거하려 할 때 자격 증명을 업데이트하고 다시 해당 애플리케이션에 액세스가 필요한 모든 사용자에게 배포해야 합니다.
Microsoft Entra 계정 공유
Microsoft Entra ID는 이러한 단점을 제거하는 새로운 방법의 공유 계정 사용을 제공합니다.
Microsoft Entra 관리자는 해당 애플리케이션에 대해 액세스 패널을 사용하고 가장 적합한 Single Sign On 형식을 선택하여 액세스할 수 있는 애플리케이션을 구성합니다. 이러한 유형 중 하나인 암호 기반 Single Sign-on을 통해 Microsoft Entra ID는 해당 앱의 로그온 프로세스 중에 일종의 "broker"로 작동합니다.
사용자가 조직 계정으로 한 번 로그인합니다. 정기적으로 데스크톱 또는 이메일에 액세스하는 데 사용하는 것과 동일한 계정입니다. 사용자는 자신에게 할당된 애플리케이션만 검색하고 액세스할 수 있습니다. 공유 계정을 사용하면 이 애플리케이션 목록이 수에 관계없이 공유 자격 증명을 포함할 수 있습니다. 최종 사용자는 자신이 사용하는 다양한 계정을 기억하거나 기록해 둘 필요가 없습니다.
공유 계정은 감독을 강화하고 유용성을 개선하며 보안을 강화합니다. 자격 증명을 사용할 권한이 있는 사용자는 공유 암호를 보는 것이 아니라 조정된 인증 흐름의 일환으로 암호를 사용할 권한을 받는 것입니다. 또한 일부 암호 SSO 애플리케이션에는 Microsoft Entra ID를 사용하여 정기적으로 암호를 롤오버(업데이트)하는 옵션이 있습니다. 시스템은 계정 보안을 강화하는 길고 복잡한 암호를 사용합니다. 관리자는 애플리케이션에 대한 액세스 권한을 쉽게 부여 또는 철회할 수 있으며, 계정에 대한 액세스 권한이 있는 사용자와 과거에 액세스한 사용자가 누구인지 알 수 있습니다.
Microsoft Entra ID는 모든 유형의 암호 Single Sign-on 애플리케이션 전체에서 EMS(Enterprise Mobility Suite) 또는 Microsoft Entra ID P1 또는 P2 라이선스 계획의 공유 계정을 지원합니다. 애플리케이션 갤러리에서 수천 개의 사전 통합된 애플리케이션에 대한 계정을 공유할 수 있으며 사용자 지정 SSO 앱을 사용하여 자체 암호 인증 애플리케이션을 추가할 수 있습니다.
계정에 공유를 사용하는 Microsoft Entra 기능은 다음과 같습니다.
- 암호 SSO(Single sign-on)
- 암호 SSO(Single sign-on) 에이전트
- 그룹 할당
- 사용자 지정 암호 앱
- 앱 사용 대시보드/보고서
- 최종 사용자 액세스 포털
- 앱 프록시
- Azure Marketplace
계정 공유
Microsoft Entra ID를 사용하여 계정을 공유하려면 다음을 수행해야 합니다.
- 애플리케이션 앱 갤러리나 사용자 지정 애플리케이션 추가
- 암호 SSO(Single Sign-On)를 위한 애플리케이션 구성
- 그룹 기반 할당을 사용하고 옵션을 선택하여 공유 자격 증명 입력
MFA(다단계 인증)를 사용하여 공유 계정을 더욱 안전하게 만들 수도 있습니다(Microsoft Entra ID를 사용하여 애플리케이션 보호에 대한 자세한 정보). Microsoft Entra 셀프 서비스 그룹 관리를 사용하여 애플리케이션에 대한 액세스 권한이 있는 사용자를 관리하는 기능을 위임할 수 있습니다.