Single Sign-On에서 DirSync
업데이트: 2015년 6월 25일
적용 대상: Azure, Office 365, Power BI, Windows Intune
ID 페더레이션이라고도 하는 Single Sign-On은 기존 Active Directory 회사 자격 증명을 사용하여 Office 365 또는 Microsoft Intune 같은 클라우드 서비스에 원활하게 액세스하는 사용자의 기능을 간소화하려는 경우 구현할 수 있는 Azure Active Directory 하이브리드 기반 디렉터리 통합 시나리오입니다. Single Sign-On을 사용하지 않는 경우 온라인 및 온-프레미스 계정의 사용자 이름과 암호를 별도로 유지 관리해야 합니다.
STS를 사용하면 ID 페더레이션이 가능해지므로 경계 네트워크, 파트너 네트워크, 클라우드 등 사실상 모든 위치의 웹 응용 프로그램과 서비스로 중앙 집중식 인증, 권한 부여 및 SSO 개념을 확장할 수 있습니다. Microsoft 클라우드 서비스를 사용하여 Single Sign-On 액세스를 제공하도록 STS를 구성하면 Azure AD 테넌트에 지정한 온-프레미스 STS과 페더레이션된 도메인 간에 페더레이션된 트러스트를 만듭니다.
Azure AD에서는 다음 보안 토큰 서비스 중 하나를 사용하는 Single Sign-On 시나리오를 지원합니다.
AD FS(Active Directory Federation Services)
Shibboleth ID 공급자
타사 ID 공급자
다음 그림에서는 온-프레미스 Active Directory와 STS 서버 팜이 Azure AD 인증 시스템과 상호 작용하여 하나 이상의 클라우드 서비스에 대한 액세스를 제공하는 방법을 보여 줍니다. Single Sign-On을 설정할 때는 STS 및 Azure AD 인증 시스템 간에 페더레이션 트러스트를 설정합니다. 로컬 Active Directory 사용자는 페더레이션 트러스트를 통해 사용자 요청을 리디렉션하는 인증 토큰을 온-프레미스 STS에서 가져옵니다. 따라서 사용자는 다른 자격 증명을 사용해 로그인하지 않고도 구독한 클라우드 서비스에 원활하게 액세스할 수 있습니다.
.jpg "Directory sync with single sign-on scenario")
이 시나리오를 구현하는 경우의 이점
Single Sign-On을 구현할 때 사용자에게 분명한 이점이 있습니다. 이를 통해 사용자가 회사 자격 증명을 사용하여 회사가 구독한 클라우드 서비스에 액세스할 수 있습니다. 사용자는 다시 로그인할 필요가 없으며 암호를 여러 개 기억할 필요도 없습니다.
사용자뿐 아니라 관리자도 다음과 같은 많은 이점을 누릴 수 있습니다.
정책 제어: 관리자는 Active Directory를 통해 계정 정책을 제어할 수 있습니다. 그러면 관리자가 클라우드에서 추가 작업을 수행할 필요 없이 암호 정책, 워크스테이션 제한, 잠금 제어 등을 관리할 수 있습니다.
액세스 제어: 관리자는 클라우드 서비스에 대한 액세스를 제한하여 회사 환경, 온라인 서버 또는 둘 다를 통해 서비스에 액세스할 수 있습니다.
지원 호출 감소: 잊어버린 암호는 모든 회사에서 지원 호출의 일반적인 소스입니다. 사용자가 기억할 암호 수가 줄면 분실할 가능성이 줄어듭니다.
보안: Single Sign-On에 사용되는 모든 서버와 서비스가 온-프레미스에서 마스터되고 제어되므로 사용자 ID 및 정보가 보호됩니다.
강력한 인증 지원: 클라우드 서비스에서 강력한 인증(2단계 인증이라고도 함)을 사용할 수 있습니다. 그러나 강력한 인증을 사용하는 경우 Single Sign-On을 사용해야 합니다. 강력한 인증 사용에는 제한 사항이 있습니다. STS에 AD FS를 사용하려는 경우 자세한 내용은 AD FS 2.0에 대한 고급 옵션 구성 을 참조하세요.
이 시나리오가 사용자의 클라우드 기반 로그온 환경에 영향을 주는 방식
Single Sign-On이 적용된 사용자 환경은 사용자 컴퓨터가 회사 네트워크에 연결되는 방식, 사용자 컴퓨터에서 실행 중인 운영 체제, 그리고 관리자가 STS 인프라와 Azure AD의 상호 작용을 구성한 방식에 따라 달라집니다.
다음 목록에서는 네트워크 내에서 Single Sign-On 사용 시의 사용자 환경에 대해 설명합니다.
- 회사 네트워크의 회사 컴퓨터: 사용자가 직장에 있고 회사 네트워크에 로그인할 때 Single Sign-On을 사용하면 다시 로그인하지 않고 클라우드 서비스에 액세스할 수 있습니다.
사용자가 회사 네트워크 외부에서 연결하거나 다음 시나리오에서와 같이 특정 장치/응용 프로그램에서 서비스에 액세스하는 경우에는 STS 프록시를 배포해야 합니다. STS에 AD FS를 사용하려는 경우 검사 목록을 참조하세요. AD FS를 사용하여 AD FS 프록시를 설정하는 방법에 대한 자세한 내용은 Single Sign-On을 구현하고 관리합니다.
작업 컴퓨터, 로밍: 회사 자격 증명을 사용하여 도메인에 가입된 컴퓨터에 로그온하지만 회사 네트워크(예: 집 또는 호텔의 회사 컴퓨터)에 연결되지 않은 사용자는 클라우드 서비스에 액세스할 수 있습니다.
가정용 또는 공용 컴퓨터: 사용자가 회사 도메인에 가입되지 않은 컴퓨터를 사용하는 경우 사용자는 클라우드 서비스에 액세스하려면 회사 자격 증명으로 로그인해야 합니다.
스마트폰: 스마트폰에서 Microsoft Exchange ActiveSync 사용하여 Microsoft Exchange Online 같은 클라우드 서비스에 액세스하려면 사용자가 회사 자격 증명으로 로그인해야 합니다.
Microsoft Outlook 또는 다른 전자 메일 클라이언트: 사용자가 Outlook 사용하거나 Office 일부가 아닌 전자 메일 클라이언트(예: IMAP 또는 POP 클라이언트)를 사용하는 경우 회사 자격 증명으로 로그인하여 전자 메일에 액세스해야 합니다.
Shibboleth를 STS로 사용 중인 경우 스마트폰, Microsoft Outlook 또는 기타 클라이언트에서 Single Sign-On을 사용하려면 Shibboleth ID 공급자 ECP 확장을 설치해야 합니다. 자세한 내용은 Single Sign-On과 함께 사용할 Shibboleth 구성을 참조하세요.
조직에 대해 이 시나리오를 구현하도록 준비
그렇다면 Single Sign-On 로드맵에 제공된 단계를 따라 시작하는 것이 좋습니다.