클라우드 인증을 사용하여 단일 포리스트 하이브리드 환경의 ID 관리
이 가이드의 활용 방법
기업 사용자는 어디서든 모든 장치에서 클라우드에 있는 응용 프로그램을 사용하고자 하지만 인증할 방법이 없기 때문에 그렇게 할 수 없습니다.
이 가이드에서는 어디서든 모든 장치에서 클라우드에 있는 응용 프로그램에 쉽게 액세스할 수 있도록 온-프레미스 디렉터리와 클라우드 디렉터리를 통합하는 방법에 대한 규범적인 테스트된 설계를 제공합니다. 이 액세스는 클라우드 인증을 사용하여 수행됩니다. 온-프레미스 인증을 사용하는 예제는 온-프레미스 인증을 사용하여 단일 포리스트 하이브리드 환경에 대한 ID 관리을 참조하세요.
.jpeg "클라우드 인증 문제")
이 솔루션 가이드의 내용:
시나리오, 문제 설명 및 목표
이 솔루션의 권장 계획 및 디자인 접근 방식
이 디자인을 권장하는 이유
이 솔루션을 구현하는 개략적인 단계
시나리오, 문제 설명 및 목표
이 섹션에서는 이 가이드의 예제로 사용할 수 있는 시나리오, 문제 설명 및 조직 목표에 대해 설명합니다.
시나리오
조직이 중간 규모의 기업입니다. 조직의 영업 직원이 도처에서 업무를 수행합니다. 판매 시 허브 위치 또는 VPN에서 회사 네트워크에 연결된 컴퓨터에 액세스하여 회사 네트워크에서 실행되는 사용자 지정 응용 프로그램에 판매 내용을 입력해야 합니다.
이러한 판매는 실시간으로 기록되지 않는 경우가 있으므로 인벤토리를 관리하기가 어렵습니다. 결과적으로 이월 주문이 발생하여 지연이 됩니다. 또한 영업 직원들은 고객의 사업장에 있을 때 회사 네트워크에 액세스할 수 없음을 불평하고 자신들의 태블릿이나 스마트폰을 통해 정보를 입력할 수 있기를 바란다고 토로해 왔습니다.
최근에 조직의 개발자는 현장 영업 담당자가 인터넷에 액세스할 수 있는 모든 장치에서 더 쉽게 주문을 제출할 수 있게 하는 새로운 고객 관계 관리 응용 프로그램을 개발했습니다.
조직에서는 이 응용 프로그램을 클라우드에서 호스트하기로 결정했습니다. 따라서 영업 직원이 회사 네트워크에 먼저 연결할 필요없이 판매 시 태블릿이나 스마트폰에서 신속하게 판매 내용을 입력할 수 있습니다. 조직에서는 이 응용 프로그램을 통해 인벤토리 관리가 상당히 개선될 것으로 기대합니다.
문제 설명
조직은 응용 프로그램을 Microsoft Azure에서 호스트하기로 결정했습니다. 그러나 현재 조직에는 Azure에서 호스트될 새 응용 프로그램에 대해 영업 직원을 인증할 수 있는 인증 공급자가 없습니다.
해결하고자 하는 전체적인 문제는 다음과 같습니다.
시스템 설계자나 IT 관리자가 온-프레미스 리소스 및 클라우드 기반 리소스에 액세스하는 사용자에게 공용 ID를 제공하려면 어떻게 하나요? 과도한 IT 자원을 사용하지 않고 이러한 ID를 관리하고 여러 환경에 걸쳐 정보를 동기화한 상태로 유지하는 방법.
이 응용 프로그램에 대한 액세스를 제공하려면 인증 공급자를 통해 영업 직원을 인증할 수 있어야 합니다. 조직은 CRM 응용 프로그램에 대한 액세스를 영업 직원으로 한정하고자 합니다. 현재로서는 이러한 직원에게만 액세스 권한이 필요하기 때문입니다.
조직에서 옵션을 살펴보고 Azure AD의 인스턴스에 대해 클라우드 인증을 허용하도록 동의합니다. 조직에서는 현재 AD FS(Active Directory Federation Services) 온 프레미스의 인스턴스가 없으므로 이 방법이 설정하기가 더 쉽고 비용이 덜 든다고 판단했습니다. 또한 전 세계에 영업 직원이 있으므로 클라우드 인증을 사용하면 대역폭이 낮은 지역의 경우 특히 더 우수한 환경이 제공됩니다. 조직에서는 Active Directory 관리자가 한 명 뿐이며 관리자가 신속하게 이 솔루션을 시작하여 실행해야 하므로 이러한 ID를 관리하는 데 필요한 자원에 대해 우려하고 있습니다.
조직의 개발자가 이를 수행하기 위한 코드를 추가했습니다. 이제 Azure AD 설정 인스턴스를 가져오는 것은 Active Directory 관리자에게 달려 있습니다. Active Directory 관리자는 온-프레미스 Active Directory를 활용하여 Azure AD의 인스턴스를 채울 수 있어야 합니다. Active Directory 관리자는 이 작업을 신속하게 수행할 수 있어야 합니다. 현재 Active Directory 환경을 정리하거나 Azure의 모든 사용자 계정을 다시 작성할 시간이 없습니다. 또한 조직에서는 영업 직원이 회사 네트워크에 로그온할 때와 동일한 암호를 사용할 수 있기를 원합니다. 조직은 영업 직원이 암호를 여러 개 기억하지 않아도 되기를 원합니다.
조직 목표
조직의 하이브리드 ID 솔루션에 대한 목표는 다음과 같습니다.
온-프레미스 디렉터리 및 클라우드에서 ID를 관리할 수 있는 기능
온-프레미스 단일 포리스트 디렉터리와의 동기화를 빠르게 설정할 수 있는 기능
클라우드 인증 공급자를 제공할 수 있는 기능
온-프레미스 디렉터리와의 동기화를 신속하게 설정할 수 있는 기능
클라우드에 동기화되는 사용자 및 정보를 제어할 수 있는 기능
현재의 환경과 똑같은 안전한 로그인 환경을 제공하는 능력.
온-프레미스 ID 시스템을 클라우드의 원본이 될 수 있도록 빠르게 정리하고 잘 관리되는 상태로 전환할 수 있는 기능
이 솔루션의 권장 계획 및 디자인 접근 방식
이 섹션에서는 이전 섹션에서 설명한 문제를 해결하는 솔루션 디자인에 대해 설명하고 이 디자인에 대한 계획 고려 사항을 개략적으로 설명합니다.
조직은 Azure AD를 사용하여 온-프레미스 Active Directory 인스턴스를 Azure AD 인스턴스와 통합할 수 있습니다. 그런 다음 이 인스턴스를 사용하여 다음 다이어그램에 표시된 대로 클라우드 인증을 제공합니다.
.jpeg "클라우드 인증 솔루션")
다음 표에서는 이 솔루션 설계에 포함된 요소를 나열하고 각 설계 선택 사항에 대한 이유를 설명합니다.
솔루션 디자인 요소 |
이 솔루션에 포함된 이유 |
|---|---|
Azure Active Directory 동기화 도구 |
온-프레미스 디렉터리 개체를 Azure AD와 동기화하는 데 사용됩니다. 이 기술의 개요는 디렉터리 동기화 로드맵을 참조하세요. |
암호 동기화 |
온-프레미스 Active Directory의 사용자 암호를 Auzre AD로 동기화하는 Azure Active Directory 동기화 도구의 기능입니다. 이 기술의 개요는 암호 동기화 구현을 참조하세요. |
IdFix 디렉터리 동기화 오류 수정 도구 |
고객에게 Active Directory 포리스트에서 대부분의 개체 동기화 오류를 식별하고 업데이트를 관리하는 기능을 제공합니다. 이 기술의 개요는 IdFix 디렉터리 동기화 오류 수정 도구를 참조하세요. |
암호 동기화는 온-프레미스 Active Directory에서 Azure AD로 사용자 암호를 동기화하는 Azure Active Directory 동기화 도구의 기능입니다. 이 기능을 사용하면 온-프레미스 네트워크에 로그인할 때와 동일한 암호를 사용하여 Azure AD 서비스(예: Office 365, Intune 및 CRM Online)에 로그인할 수 있습니다. 그러면 회사 네트워크에 로그인할 때와 동일한 보안 로그인 기능을 제공합니다.
IdFix 디렉터리 동기화 오류 수정 도구를 사용하면 마이그레이션을 준비하기 위해 온-프레미스 Active Directory 환경에서 ID 개체 및 해당 특성을 검색하고 수정할 수 있습니다. 따라서 동기화를 시작하기 전에 동기화에서 발생할 수 있는 문제를 빠르게 식별할 수 있습니다. 이 정보를 활용하여 환경을 변경할 수 있으므로 이러한 오류를 방지할 수 있습니다.
이 디자인을 권장하는 이유
조직의 디자인 목표를 해결하므로 이 디자인을 사용하는 것이 좋습니다. 즉, Azure 기반 자원에 인증을 제공하는 방법은 두 가지 방법, 즉 클라우드 인증을 통한 방법과 STS(보안 토큰 서비스)를 사용하는 온-프레미스 인증을 통한 방법이 있습니다.
조직의 첫 번째 디자인 목표는 온-프레미스 Active Directory.인스턴스와 신속하게 동기화를 설정할 수 있는 것입니다. 이 설계는 온-프레미스 Active Directory와 Azure AD를 동기화하는 가장 빠른 방법을 제시합니다.
두 번째로 조직은 현재의 로그인 환경과 동일한 보안 로그인 환경을 제공할 수 있기를 원합니다. 이 디자인을 사용하면 현재 사용하는 것과 동일한 사용자 이름 및 암호를 사용하여 로그인하고 환경에도 차이가 없습니다.
이 솔루션을 구현하는 개략적인 단계
이 섹션의 단계에 따라 솔루션을 구현할 수 있습니다. 각 단계가 올바로 배포되었는지 확인한 후 다음 단계로 진행하세요.
디렉터리 동기화 준비
시스템 요구 사항을 확인하고 올바른 권한을 작성하며 성능 고려 사항을 허용합니다. 자세한 내용은 디렉터리 동기화 준비를 참조하세요. 이 단계를 완료한 후 선택한 솔루션 디자인 옵션을 표시하는 전체 워크시트를 확인합니다.
디렉터리 동기화를 활성화합니다.
회사의 디렉터리 동기화를 활성화합니다. 자세한 내용은 디렉터리 동기화 활성화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
디렉터리 동기화 컴퓨터를 설정합니다.
Microsoft Azure AD 동기화 도구를 설치합니다. 이미 설치했다면 업그레이드, 제거 또는 다른 컴퓨터로 이동하는 방법을 알아봅니다. 자세한 내용은 디렉터리 동기화 컴퓨터 설정을 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
디렉터리를 동기화합니다.
초기 동기화를 수행하고 데이터가 동기화되었는지 확인합니다. 또한 Azure AD 동기화 도구를 구성하여 반복 동기화를 설정하는 방법과 디렉터리 동기화를 강제로 수행하는 방법도 알아봅니다. 자세한 내용은 구성 마법사를 사용하여 디렉터리 동기화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다.
동기화된 사용자를 활성화합니다.
Office 365 포털에서 사용자를 활성화해야만 구독한 서비스를 사용자가 사용할 수 있습니다. 이를 위해서는 사용자에게 Office 365를 사용할 수 있는 라이선스를 할당해야 합니다. 이 작업은 개별적으로 또는 일괄적으로 수행할 수 있습니다. 자세한 내용은 동기화된 사용자 활성화를 참조하세요. 이 단계를 완료한 후 기능이 구성되었는지 확인합니다. 이 단계는 선택 사항이며 Office 365를 사용하는 경우에만 필요합니다.
솔루션을 확인합니다.
사용자가 동기화되고 나면 https://myapps.microsoft.com으로 로그인을 테스트합니다. Office 365 응용 프로그램이 있는 경우 여기에 표시됩니다. 일반 사용자는 Azure 구독 없이도 여기에 로그인할 수 있습니다.
참고 항목
콘텐츠 유형 |
참조 |
제품 평가/시작 |
테스트 랩 가이드: 암호 동기화와 함께 DirSync를 사용하여 Microsoft Azure AD 및 Windows Server AD 환경 작성 테스트 랩 가이드: 페더레이션(SSO)을 사용하여 Microsoft Azure AD 및 Windows Server AD 환경 작성 |
계획 및 디자인 |
|
배포 |
|
작업 |
|
Support(지원) |
|
참조 |
|
커뮤니티 리소스 |
|
관련 솔루션 |
Windows Intune에서 Configuration Manager로 마이그레이션하여 모바일 장치 및 PC 관리 |
관련 기술 |