온-프레미스 인증을 사용하여 단일 포리스트 하이브리드 환경에 대한 ID 관리
이 가이드의 활용 방법
기업 사용자는 어디서든 모든 장치에서 클라우드에 있는 응용 프로그램을 사용하고자 하지만 인증할 방법이 없기 때문에 그렇게 할 수 없습니다. 기업 IT는 사용자가 이러한 클라우드 응용 프로그램에 인증할 수 있도록 허용할 수 있었으면 하고 이러한 응용 프로그램에 액세스할 수 있는 사용자를 실시간으로 제어할 수 있는 기능도 필요합니다.
이 가이드에서는 어디서든 모든 장치에서 클라우드에 있는 응용 프로그램에 쉽게 액세스할 수 있도록 온-프레미스 디렉터리와 클라우드 디렉터리를 통합하는 방법에 대한 규범적인 지침을 제공합니다. 여기서는 온-프레미스 인증을 사용하여 목표를 달성합니다. 클라우드 인증을 사용하는 예는 클라우드 인증을 사용하여 단일 포리스트 하이브리드 환경에 대한 ID 관리를 참조하세요.
.jpeg "온-프레미스 문제")
이 솔루션 가이드의 내용:
시나리오, 문제 설명 및 목표
이 솔루션의 권장 계획 및 디자인 접근 방식
이 디자인을 권장하는 이유
이 솔루션을 구현하는 개략적인 단계
시나리오, 문제 설명 및 목표
이 섹션에서는 예제 조직에 대한 시나리오, 문제 설명 및 목표에 대해 설명합니다.
시나리오
여러분의 조직은 북미, 남미, 유럽, 아시아를 비롯해 전 세계에 지사가 있는 대기업입니다. R&D(연구 및 개발) 팀은 주로 북미와 유럽에서 일합니다. 이 팀은 주로 아시아에 있는 제조 센터에서 사용할 화학식을 개발합니다.
R&D 팀은 긴밀한 협력을 통해 새 화학식을 개발하거나 기존 화학식을 개선합니다. 이를 위해 북미와 유럽에 있는 시설에서 유사한 표준화된 테스트를 실행한 후 결과를 공유합니다. 결과에 따라 최종안이 확정되고 새 화학식이 개발됩니다. 이러한 화학식은 영업 비밀로 간주되며 특허를 받습니다. 이 프로세스가 완료되면 화학식을 제조 시설로 보내 생산을 시작합니다.
현재 R&D 팀 구성원이 회사의 타 부서 동료와 결과를 공유하거나 아시아의 공장 중 하나로 화학식을 보내려면 EFS(파일 시스템 암호화)를 사용하여 파일을 암호화한 다음 전자 메일로 보냅니다. 그리고 받는 쪽은 파일의 암호를 해독합니다.
조직의 현재 프로세스에는 여러 가지 문제가 있습니다.
개인 정보: 전자 메일을 통해 데이터를 전송하므로, 암호화되어 있더라도 인터넷을 통한 해킹에 여전히 취약합니다. 또한 많은 직원이 자신의 장치에서 전자 메일에 액세스하며 이러한 장치가 안전하지 않을 수도 있습니다.
무결성: 파일을 암호화하는 데 사용되는 EFS 인증서를 내보내 대상으로 전송해야 합니다. 사용자가 전자 메일을 사용하여 이러한 인증서를 보내므로, 인증서의 무결성을 위반할 수 있습니다.
기밀성: 동일한 인증서를 사용하여 테스트 결과와 화학식을 암호화하는 경우가 많습니다. 제조 공장의 직원이 이러한 결과의 복사본을 우연히 얻게 되는 경우 결과의 암호를 해독할 수 있습니다.
이러한 문제를 해결하기 위해 조직에서는 클라우드에 Office 365 SharePoint를 설치하고 이를 테스트 결과와 화학식을 공유하는 포털로 사용하기로 결정했습니다. 그러나 조직에서는 온-프레미스 Active Directory를 인증 공급자로 사용하고 클라우드 인증은 사용하지 않으려고 합니다.
문제 설명
조직에는 현재 인증 공급자인 온-프레미스 Active Directory가 있지만, 현재 이 공급자는 Azure에 호스트될 새 Office 365 SharePoint 사이트에 직원을 인증할 수 없습니다.
조직에서 해결하려고 하는 전반적인 문제는 다음과 같습니다.
시스템 설계자나 IT 관리자가 온-프레미스 리소스 및 클라우드 기반 리소스에 액세스하는 사용자에게 공용 ID를 제공하려면 어떻게 하나요? 그리고 과도한 IT 리소스를 사용하지 않고 이러한 ID를 관리하고 여러 환경 간에 정보를 동기화된 상태로 유지하는 방법은 무엇인가요?
조직의 SharePoint 사이트에 대한 액세스를 제공하려면 인증 공급자인 Active Directory의 온-프레미스 인스턴스를 사용하여 직원을 인증할 수 있어야 합니다. 또한 조직에서는 사이트에 액세스해야 하는 R&D 및 제조 직원으로만 액세스를 제한하려고 합니다. 현재 이들만 사이트에 액세스하면 됩니다.
옵션을 알아보니, Azure에서 온-프레미스 인증을 사용하기 위해 AD FS(Active Directory Federation Services)의 기존 인스턴스를 활용할 수 있음을 확인했습니다. 조직에서는 몇 년 전에 AD FS를 설정했습니다. 따라서 IT 직원이 AD FS 사용에 이미 익숙하므로 시간과 비용이 절약됩니다.
경영진이 Office 365 및 Azure 구독 구입을 승인했습니다. 이제 Azure AD 인스턴스를 설정하고 온-프레미스 Active Directory와 페더레이션하는 일은 Active Directory 관리자의 몫입니다.
Active Directory 관리자는 온-프레미스 Active Directory를 활용하여 Azure AD 인스턴스를 채울 수 있어야 합니다. Active Directory 관리자는 이 작업을 빠르게 수행할 수 있어야 합니다. 다음으로 Active Directory 관리자는 Active Directory의 온-프레미스 인스턴스를 Azure AD와 페더레이션해야 합니다. 또한 조직에서는 SharePoint 사이트에 액세스할 직원이 실질적인 Single Sign-On 환경을 사용하고 회사 네트워크에 로그온한 경우에만 사이트에 액세스할 수 있도록 하려고 합니다. 외부 컴퓨터나 장치에서 이러한 사이트에 액세스하면 안 됩니다. 조직은 분리 이벤트 시 신속하게 사용자를 사용하지 않도록 설정하여 계정을 사용할 수 없게 된 사용자가 SharePoint 사이트에 액세스하지 못하도록 할 수 있는 기능이 필요합니다. 마지막으로 조직은 사용자가 회사 사이트에 로그인하는 것을 사용자가 알도록 로그인 페이지를 사용자 지정할 수 있어야 합니다.
조직 목표
조직의 하이브리드 ID 솔루션에 대한 목표는 다음과 같습니다.
Active Directory의 온-프레미스 인스턴스와의 동기화를 빠르게 설정할 수 있는 기능
Azure AD에 동기화되는 사용자 및 정보를 제어할 수 있는 기능
SSO(Single Sign-On)를 제공할 수 있는 기능. 동기화 또는 SSO가 작동하지 않는 경우 경고 수신
온-프레미스 보안 위치에서 로그인하는 R&D 및 제조 사용자로만 액세스를 제한할 수 있는 경우
분리 이벤트 시 클라우드 리소스에 대한 실시간 사용자 액세스를 방지할 수 있는 기능
온-프레미스 ID 시스템을 Azure AD의 원본이 될 수 있도록 빠르게 정리하고 잘 관리되는 상태로 전환할 수 있는 기능
회사 ID를 표시하도록 로그인 페이지를 사용자 지정할 수 있는 기능
이 솔루션의 권장 계획 및 디자인 접근 방식
이 섹션에서는 이전 섹션에서 설명한 문제를 해결하는 솔루션 디자인에 대해 설명하고 이 디자인에 대한 계획 고려 사항을 개략적으로 설명합니다.
조직은 Azure AD를 사용하여 온-프레미스 Active Directory 인스턴스를 Azure AD 인스턴스와 통합할 수 있습니다. 그런 다음 이 인스턴스를 사용하여 사용자를 AD FS 로그인 페이지로 리디렉션하며, 이 페이지에서 사용자에게 Azure AD에 제공하는 토큰이 발급되고 인증이 부여됩니다.
.jpeg "온-프레미스 솔루션")
다음 표에서는 이 솔루션 디자인에 포함된 요소를 보여 주고 설계를 선택한 이유를 설명합니다.
솔루션 디자인 요소 |
이 솔루션에 포함된 이유 |
|---|---|
Azure Active Directory 동기화 도구 |
온-프레미스 디렉터리 개체를 Azure AD와 동기화하는 데 사용됩니다. 이 기술의 개요는 디렉터리 동기화 로드맵을 참조하세요. |
Active Directory Federation Services |
Windows Server 2012 R2의 기능으로, Active Directory를 ID 저장소로 사용하는 STS(보안 토큰 서비스)입니다. AD FS의 STS에서는 OAuth, WS-Trust, WS-Federation 및 SAML(Security Assertion Markup Language) 2.0과 같은 다양한 프로토콜을 사용하여 호출자에게 보안 토큰을 발급합니다. 이 기술의 개요는 Active Directory Federation Services 개요를 참조하세요. |
IdFix 디렉터리 동기화 오류 수정 도구 |
고객에게 Active Directory 포리스트에서 대부분의 개체 동기화 오류를 식별하고 수정할 수 있는 기능을 제공합니다. 이 기술의 개요는 IdFix 디렉터리 동기화 오류 수정 도구를 참조하세요. |
AD FS는 온-프레미스 Active Directory와 Azure AD 사이의 페더레이션을 지원하는 Windows Server 2012 R2의 기능입니다. 이 기능을 통해 사용자는 SSO 환경을 사용하여 Office 365, Intune, CRM Online 등과 같은 Azure AD 서비스에 로그인할 수 있습니다. 따라서 사용자는 SSO에서 온-프레미스 Active Directory 인스턴스를 인증 공급자로 사용할 수 있습니다.
IdFix 디렉터리 동기화 오류 수정 도구를 사용하면 마이그레이션을 준비하기 위해 온-프레미스 Active Directory 환경에서 ID 개체 및 해당 특성을 검색하고 수정할 수 있습니다. 따라서 동기화를 시작하기 전에 동기화에서 발생할 수 있는 문제를 빠르게 식별할 수 있습니다. 이 정보를 활용하여 환경을 변경할 수 있으므로 이러한 오류를 방지할 수 있습니다.
이 디자인을 권장하는 이유
조직의 디자인 목표를 해결하므로 이 디자인을 사용하는 것이 좋습니다. 즉, Azure 기반 리소스에 인증을 제공하려면 클라우드 인증을 통하거나 STS를 사용한 온-프레미스 인증을 통하는 두 가지 방법이 있습니다.
조직의 주요 문제 중 하나는 회사에서 분리되었을 수 있는 사용자가 클라우드 기반 리소스에 액세스하지 못하도록 실시간으로 막을 수 있는 기능이 있다는 점입니다. Azure Active Directory 동기화 도구 및 클라우드 인증 사용과 관련하여 최대 3시간의 지연 시간이 발생합니다. 즉, 사용자 계정을 온-프레미스로 사용하지 않도록 설정하는 경우 해당 변경 사항이 Azure에 표시되는 데 최대 3시간이 걸릴 수 있습니다. 사용자가 온-프레미스 환경으로 돌아와 인증해야 하는 경우에는 이 문제가 발생하지 않습니다. 사용자 계정을 온-프레미스로 사용하지 않도록 설정한 경우 해당 사용자는 토큰을 받을 수 없고 클라우드 리소스에 액세스할 권한이 없습니다.
조직에는 SSO를 제공할 수 있는 기능이 필요합니다. 이를 위해서는 Active Directory의 온-프레미스 인스턴스를 Azure AD와 페더레이션해야만 합니다.
로그인 페이지를 사용자 지정하는 기능은 AD FS 및 AD FS 사용자 지정을 사용해야만 사용 가능합니다.
이 솔루션을 구현하는 개략적인 단계
이 섹션의 단계에 따라 솔루션을 구현할 수 있습니다. 각 단계가 올바로 배포되었는지 확인한 후 다음 단계로 진행하세요.
SSO(Single Sign-On) 준비
준비하려면 환경이 SSO에 대한 요구 사항을 충족하는지 확인하고 Active Directory 및 Azure AD 테넌트가 SSO 요구 사항과 호환되는 방식으로 설정되어 있는지 확인해야 합니다. 자세한 내용은 Single Sign-On 준비를 참조하세요.
온-프레미스 보안 토큰 서비스 AD FS 설정
SSO에 대한 환경을 준비했으면 새 온-프레미스 AD FS 인프라를 설정하여 로컬 및 원격 Active Directory 사용자가 클라우드 서비스에 SSO를 통해 액세스할 수 있게 해야 합니다. 현재 프로덕션 환경에 AD FS가 있고 이 서비스가 Azure AD에서 지원되는 경우 새 인프라를 설정하지 않고 이 AD FS를 SSO 배포에 사용할 수 있습니다. AD FS STS 설정을 시작하는 방법에 대한 자세한 내용은 검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리에 나온 단계를 따르세요.
AD FS를 사용하는 Single Sign-On을 위한 Windows PowerShell 설치
Windows PowerShell용 Azure AD 모듈은 Azure AD에서 조직의 데이터를 관리하기 위한 다운로드입니다. 이 모듈은 Azure AD 및 구독하는 모든 클라우드 서비스에 대한 SSO 액세스를 설정하기 위해 실행하는 Windows PowerShell의 cmdlet 집합을 설치합니다. 자세한 내용은 AD FS를 사용하는 Single Sign-On을 위한 Windows PowerShell 설치를 참조하세요.
AD FS와 Azure AD 간 트러스트 설정
Azure AD와 온-프레미스 Active Directory 간 트러스트를 설정해야 합니다. 페더레이션할 각 도메인을 Single Sign-On 도메인으로 추가하거나 표준 도메인에서 Single Sign-On 도메인으로 변환해야 합니다. 도메인을 추가하거나 변환하면 AD FS와 Azure AD 간의 트러스트가 설정됩니다. 자세한 내용은 AD FS와 Azure AD 간의 트러스트 설정을 참조하세요.
디렉터리 동기화 준비
시스템 요구 사항을 확인하고 올바른 권한을 작성하며 성능 고려 사항을 허용합니다. 자세한 내용은 디렉터리 동기화 준비를 참조하세요. 이 단계를 완료한 후 선택한 솔루션 디자인 옵션을 표시하는 전체 워크시트를 확인합니다.
디렉터리 동기화 활성화
회사의 디렉터리 동기화를 활성화합니다. 자세한 내용은 디렉터리 동기화 활성화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
디렉터리 동기화 컴퓨터 설정
Azure AD 동기화 도구를 설치합니다. 이미 설치했다면 업그레이드, 제거 또는 다른 컴퓨터로 이동하는 방법을 알아봅니다. 자세한 내용은 디렉터리 동기화 컴퓨터 설정을 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
디렉터리 동기화
초기 동기화를 수행하고 데이터가 동기화되었는지 확인합니다. 또한 Azure AD 동기화 도구를 구성하여 반복 동기화를 설정하는 방법과 디렉터리 동기화를 강제로 수행하는 방법도 알아봅니다. 자세한 내용은 구성 마법사를 사용하여 디렉터리 동기화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
동기화된 사용자 활성화
Office 365 포털에서 사용자를 활성화해야만 구독한 서비스를 사용자가 사용할 수 있습니다. 이를 위해서는 사용자에게 Office 365를 사용할 수 있는 라이선스를 할당해야 합니다. 이 작업은 개별적으로 또는 일괄적으로 수행할 수 있습니다. 자세한 내용은 동기화된 사용자 활성화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다. 이 단계는 선택 사항이며 Office 365를 사용하는 경우에만 필요합니다.
솔루션을 확인합니다.
사용자가 동기화되고 나면 https://myapps.microsoft.com으로 로그인을 테스트합니다. AD FS 로그인 페이지로 리디렉션되어야 합니다. 로그인하고 AD FS에서 사용자를 인증하면 사용자가 다시 https://myapps.microsoft.com으로 리디렉션됩니다. Office 365 응용 프로그램이 있는 경우 여기에 표시됩니다. 일반 사용자는 Azure 구독 없이도 여기에 로그인할 수 있습니다.
참고 항목
콘텐츠 유형 |
참조 |
제품 평가/시작 |
테스트 랩 가이드: 암호 동기화와 함께 DirSync를 사용하여 Azure AD 및 Windows Server AD 환경 만들기 테스트 랩 가이드: 페더레이션(SSO)을 사용하여 Azure AD 및 Windows Server AD 환경 만들기 |
계획 및 디자인 |
|
배포 |
|
작업 |
|
Support(지원) |
|
참조 |
|
커뮤니티 리소스 |
|
관련 솔루션 |
Windows Intune에서 Configuration Manager로 마이그레이션하여 모바일 장치 및 PC 관리 |
관련 기술 |