연습 - Microsoft Entra ID 설정

  • 15분

이 연습에서는 Microsoft Entra 테넌트, 사용자 및 그룹을 포함하여 Microsoft Entra ID 관련 엔터티를 만들고 관리하는 프로세스를 안내합니다. 먼저 구독과 연결된 Microsoft Entra 테넌트에 사용자 계정 하나와 그룹 두 개를 만들고 첫 번째 그룹에 사용자를 추가합니다. 그런 다음, 이 테넌트에 또 다른 Microsoft Entra 테넌트와 사용자 계정을 만듭니다. 이 연습을 마치려면 두 번째 테넌트의 사용자 계정을 첫 번째 테넌트의 게스트 계정으로 추가합니다. 이 모듈의 후속 연습에서는 Azure Database for PostgreSQL 단일 서버 인스턴스와 첫 번째 Microsoft Entra 테넌트 간의 통합을 구현하고 이전에 만든 두 그룹에 해당 콘텐츠에 대한 액세스 권한을 부여합니다.

이 연습에서는 다음을 수행합니다.

  • Azure 구독과 연결된 Microsoft Entra 테넌트에 Microsoft Entra 사용자 및 그룹 개체를 만듭니다.
  • 추가 Microsoft Entra 테넌트 및 사용자 개체를 만듭니다.
  • Azure 구독과 연결된 Microsoft Entra 테넌트에서 Microsoft Entra 게스트 사용자를 만들고 구성합니다.

필수 조건

이 연습을 수행하려면 다음이 필요합니다.

  • 활성 구독이 있는 Azure 계정. Azure 계정이 없는 경우 시작하기 전에 체험 계정을 만듭니다. 이 모듈의 경우 무료 계정과 같은 테스트 환경을 사용하는 것이 좋습니다.
  • Azure 계정에는 애플리케이션을 관리할 수 있는 권한이 있어야 합니다. Entra 역할과 최소 권한 원칙 사용에 대한 자세한 내용은 Microsoft Entra 역할에 대한 모범 사례Microsoft Entra 기본 제공 역할을 참조하세요.
  • Azure 구독과 연결된 Microsoft Entra 테넌트의 전역 관리자 역할과 Azure 구독의 소유자 또는 기여자 역할이 있는 Microsoft 계정 또는 Microsoft Entra 계정.

Warning

이 모듈의 연습은 높은 관리자 권한이 필요한 중요한 작업을 수행하므로 테스트 환경을 사용합니다.

Azure 구독과 연결된 Microsoft Entra 테넌트에 Microsoft Entra 사용자 그룹 개체 만들기

먼저 Microsoft Entra 사용자 및 그룹 개체를 만듭니다. 개체를 만든 후에는 해당 그룹 멤버 자격을 구성합니다. 구성 작업의 속도를 높이려면 Azure CLI를 사용합니다. 이 모듈의 다음 연습에서는 Microsoft Entra 개체를 사용하여 Azure Database for PostgreSQL 단일 서버 인스턴스에 대한 인증을 받습니다.

  1. 웹 브라우저를 시작하고 Azure Portal로 이동하여 로그인하고 이 모듈에서 사용할 Azure 구독에 액세스합니다.

  2. Azure Portal에서 검색 텍스트 상자 옆에 있는 도구 모음에서 해당 아이콘을 선택하여 Cloud Shell을 엽니다.

  3. 필요한 경우 Bash를 선택합니다.

    참고

    Azure Cloud Shell을 처음 시작하는 경우 탑재된 스토리지가 없음 메시지가 표시되면 이 연습에서 사용 중인 구독을 선택한 후 스토리지 만들기를 선택합니다.

  4. Azure Cloud Shell 창의 Bash 세션 내에서 다음 명령을 실행하여 Azure 구독과 연결된 Microsoft Entra 테넌트의 기본 DNS 도메인 이름을 식별합니다.

    DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)

  5. 다음 명령을 실행하여 Azure 구독과 연결된 Microsoft Entra 테넌트에 Microsoft Entra 사용자를 만듭니다.

    ADMIN_NAME=adatumadmin1
ADMIN=$(az ad user create --display-name $ADMIN_NAME \
                  --password <enter your password> \
                  --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \
                  --force-change-password-next-sign-in false)

    참고 항목

    이 사용자 계정은 다음 연습에서 Azure Database for PostgreSQL 단일 서버 인스턴스의 Microsoft Entra 관리자로 구성합니다.

  6. 다음 명령을 실행하여 이전 단계에서 만든 Microsoft Entra 사용자의 userPrincipalName 특성 값을 식별합니다.

    echo $ADMIN | jq -r '.userPrincipalName'

    참고 항목

    이 값을 기록해 둡니다. 이 모듈의 다음 연습에서 필요합니다.

  7. 다음 명령을 실행하여 새로 만든 사용자에게 이 모듈의 연습에서 사용 중인 Azure 구독의 기여자 역할을 할당합니다.

    ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id')
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
az role assignment create --assignee "$ADMIN_OBJECT_ID" \
                          --role "Contributor" \
                          --scope "/subscriptions/$SUBSCRIPTION_ID"

    참고

    두 번째 명령은 기본 구독의 ID를 반환합니다. 다른 구독을 사용하려는 경우 그에 맞는 $SUBSCRIPTION_ID 변수 값을 설정해야 합니다.

  8. 다음 명령을 실행하여 Azure 구독과 연결된 Microsoft Entra 테넌트에 Microsoft Entra 사용자를 만듭니다.

    USER_NAME=adatumuser1
USER=$(az ad user create --display-name $USER_NAME \
                  --password <enter your password> \
                  --user-principal-name $USER_NAME@$DOMAIN_NAME \
                  --force-change-password-next-sign-in false)

    참고 항목

    이 사용자 계정은 다음 연습에서 Azure Database for PostgreSQL 단일 서버 인스턴스의 데이터베이스에 액세스할 수 있는 권한이 없는 Microsoft Entra 사용자로 구성합니다.

  9. 다음 명령을 실행하여 Azure 구독과 연결된 Microsoft Entra 테넌트에 Microsoft Entra 그룹을 만듭니다.

    GROUP_NAME=adatumgroup1
GROUP=$(az ad group create --display-name $GROUP_NAME \
                         --mail-nickname $GROUP_NAME \
                         --description $GROUP_NAME)

    참고 항목

    다음 연습에서는 이 그룹을 사용하여 Azure Database for PostgreSQL 단일 서버 인스턴스의 데이터베이스에 권한을 할당합니다.

  10. 다음 명령을 실행하여 사용자를 그룹에 추가합니다.

    USER_OBJECT_ID=$(echo $USER | jq -r '.id')
az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_ID

  11. 다음 명령을 실행하여 새로 만든 사용자에게 이 모듈의 연습에서 사용 중인 Azure 구독의 기여자 역할을 할당합니다.

    SUBSCRIPTION_ID=$(az account show --query id --output tsv)
az role assignment create --assignee "$USER_OBJECT_ID" \
                          --role "Contributor" \
                          --scope "/subscriptions/$SUBSCRIPTION_ID"

    참고

    이 모듈의 다음 연습에서는 이 역할 할당을 사용하게 됩니다.

  12. Cloud Shell 창을 닫습니다.

  13. 이 연습의 결과를 확인하려면 Azure Portal에서 Azure Portal 페이지의 시작 부분에 있는 리소스, 서비스 및 문서 검색 텍스트 상자를 사용하여 Microsoft Entra ID를 검색합니다.

  14. 결과 목록에서 Microsoft Entra ID를 선택합니다.

  15. Microsoft Entra 테넌트 속성을 표시하는 창의 세로 메뉴에 있는 관리 섹션에서 사용자를 선택합니다.

  16. 사용자 | 모든 사용자 블레이드에서 이전에 이 작업에서 만든 사용자 계정이 사용자 목록에 포함되어 있는지 확인합니다.

  17. Microsoft Entra 테넌트 속성을 표시하는 창으로 돌아가서 세로 메뉴의 관리 섹션에서 그룹을 선택합니다.

  18. 그룹 | 모든 그룹 블레이드에서 그룹 목록에 이 작업에서 이전에 만든 그룹 계정이 포함되어 있는지 확인합니다.

추가 Microsoft Entra 테넌트 및 사용자 개체 만들기

이 작업에서는 Azure Portal을 사용하여 새 테넌트에 Microsoft Entra 테넌트 및 사용자 계정을 만듭니다. 다음 작업에서는 이 사용자 계정을 첫 번째 테넌트의 게스트 사용자 계정으로 구성합니다.

  1. 웹 브라우저의 Microsoft Entra 테넌트 속성을 표시하는 Azure Portal 창에서 테넌트 관리를 선택한 다음, + 만들기를 선택합니다.

  2. 테넌트 만들기 창의 기본 탭에서 Microsoft Entra ID 옵션이 선택되어 있는지 확인하고 다음: 구성>을 선택합니다.

  3. 테넌트 만들기 창의 구성 탭에서 다음 설정을 지정합니다.

    설정
    조직 이름 Contoso
    초기 도메인 이름 소문자와 숫자로 구성되고 문자로 시작하는 유효한 DNS 이름
    국가/지역 국가 또는 지역의 이름

  4. 검토 + 만들기를 선택하고 테넌트 만들기 창의 검토 + 만들기 탭에서 만들기를 선택합니다.

  5. 메시지가 표시되면 귀하가 로봇이 아님을 증명하도록 도와주세요에 제공된 코드를 입력한 다음, 제출을 선택합니다.

  6. 프로비전이 완료되기를 기다린 다음, Contoso 링크를 선택하여 Contoso Microsoft Entra 테넌트의 속성이 표시된 창으로 이동합니다.

  7. 웹 브라우저에 있는 Contoso Microsoft Entra 테넌트의 Contoso | 개요 창이 표시된 Azure Portal 창에서 세로 메뉴의 관리 섹션에서 사용자선택합니다.

  8. Contoso - Microsoft Entra ID 테넌트의 사용자 | 모든 사용자 창에서 + 새 사용자를 선택한 다음, 새 사용자 만들기를 선택합니다.

  9. 새 사용자 만들기 블레이드에서 다음 설정을 지정하고 다른 설정은 기본값으로 둡니다.

    설정
    사용자 이름 contosouser1
    Name contosouser1
    암호 직접 만들기 사용
    초기 암호 <password> 입력

  10. 사용자 이름 드롭다운 목록 옆에 있는 클립보드에 복사 아이콘을 사용하여 contosouser1사용자 계정 이름 특성 값을 기록합니다. 이 연습과 이후 연습에서 나중에 필요합니다.

  11. 새 사용자 창에서 만들기를 선택합니다.

  12. Contoso - Microsoft Entra ID 테넌트의 사용자 | 모든 사용자 창에서 사용자 계정 목록을 검토하고 새 사용자 계정이 성공적으로 생성되었는지 확인합니다.

    참고 항목

    이 사용자 계정은 다음 연습에서 Azure Database for PostgreSQL 단일 서버 인스턴스의 데이터베이스에 액세스할 수 있는 권한이 없는 Microsoft Entra 사용자로 구성합니다.

Azure 구독과 연결된 Microsoft Entra 테넌트에서 Microsoft Entra 게스트 사용자 생성 및 구성

이 연습을 마치려면 Azure Portal을 사용하여 Contoso Microsoft Entra 테넌트의 사용자 계정을 Adatum Microsoft Entra 테넌트의 게스트 사용자로 구성하고, 이 테넌트에 새 그룹을 만들고, 이 그룹에 게스트 사용자를 추가합니다.

  1. 웹 브라우저에서 Contoso Microsoft Entra 테넌트의 Contoso | 개요 창이 표시된 Azure Portal 창의 도구 모음에서 오른쪽 위 모서리에 있는 Cloud Shell 아이콘 옆의 구독 아이콘을 선택한 다음, 디렉터리 전환 링크를 선택합니다.

  2. 디렉터리 + 구독 창에서 이 모듈 연습에서 사용 중인 Azure 구독과 연결된 Microsoft Entra 테넌트를 나타내는 항목을 선택한 다음, 전환을 선택합니다.

    참고 항목

    이렇게 하면 이 모듈의 연습에서 사용 중인 Azure 구독과 연결된 Microsoft Entra 테넌트로 세션이 자동으로 전환됩니다.

  3. Azure Portal에서 Azure Portal 페이지의 시작 부분에 있는 리소스, 서비스 및 문서 검색 텍스트 상자를 사용하여 Microsoft Entra ID를 검색하고 결과 목록에서 Microsoft Entra ID를 선택합니다.

  4. Microsoft Entra 테넌트 속성을 표시하는 창의 세로 메뉴에 있는 관리 섹션에서 사용자를 선택합니다.

  5. 사용자 | 모든 사용자 블레이드에서 + 새 사용자를 선택한 다음 외부 사용자 초대를 선택합니다.

  6. 외부 사용자 초대 블레이드에서 사용자 초대 옵션이 선택되어 있는지 확인하고, 다른 설정은 기본값으로 두고 다음 설정을 지정하고, 검토 + 초대를 선택한 다음 초대를 선택합니다.

    설정
    전자 메일 주소 이 작업의 앞부분에서 기록한 contosuser1의 사용자 주체 이름 특성 값
    표시 이름 contosouser1
    초대 메시지 Adatum 시작

  7. Microsoft Entra 테넌트 속성을 표시하는 창으로 돌아간 다음, 세로 메뉴의 관리 섹션에서 그룹을 선택합니다.

  8. 그룹 | 모든 그룹 블레이드에서 adatumgroup1을 선택합니다.

  9. adatumgroup1 창에서 멤버를 선택합니다.

  10. adatumgroup1 | 멤버 블레이드에서 + 멤버 추가를 선택합니다.

  11. 멤버 추가 창의 검색 텍스트 상자에 contosouser1을 입력합니다.

  12. 결과 목록에서 contosouser1 항목을 선택한 다음, 선택을 선택합니다.

결과

축하합니다! 이 모듈의 첫 번째 연습을 완료했습니다. 이 연습에서는 먼저 Azure 구독과 연결된 Microsoft Entra 테넌트에 사용자 및 그룹을 만든 다음, 그룹에 사용자를 추가했습니다. 다음으로, 다른 Microsoft Entra 테넌트와 해당 Microsoft Entra 테넌트에 사용자를 만들었습니다. 마지막으로, 이 사용자를 Azure 구독과 연결된 Microsoft Entra 테넌트의 게스트 사용자로 구성하고 이 테넌트에 또 다른 그룹을 만든 다음, 게스트 사용자를 추가했습니다.