인증과 권한의 차이에 대해 알고
아래 나오는 Azure AD의 경우에는 시험에 많이 나오므로 특징들에 확실히 아는게 좋습니다
인증과 권한 부여 비교
인증(AuthN), Authentication
- 리소스에 액세스하려는 사람 또는 서비스의 ID를 설정하는 프로세스
- 당사자에게 합법적인 자격 증명을 요구하는 행동이 포함
- 사용자가 본인인지 확인(verify user's credentials) ⇒ 시스템에 대한 액세스 제어
- 보통 비밀번호를 입력하여 수행되며 이때 암호를 지식 인증 요소(knowledge authentication factor)라고 한다
권한 부여(AuthZ), Authorization
- 컴퓨터 프로그램, 파일, 서비스, 데이터 및 APP 기능을 포함하여 시스템 리소스와 관련된 사용자/클라이언트 권한 또는 액세스 수준을 결정하는데 사용되는 보안 매커니즘
- 일반적으로 사용자 신원 확인을 위한 Authentication이 선행 됨.
- 인증된 사용자 또는 서비스에 부여되는 액세스 수준을 설정하는 프로세스
- 액세스할 수 있는 데이터와 해당 데이터로 할 수 있는 작업 지정
Azure app Service sms buit-in authentication을 지원 함
인증 및 인증 미들웨어 구성 요소는 애플리케이션과 동일한 VM에서 실행되는 플랫폼의 기능
이 옵션을 선택하면 수신되는 모든 HTTP요청이 프로그램에 의해 처리되기 전에 해당 요청을 통과
Azure Active Directory
학습 목표
- Microsoft 클라우드 애플리케이션 및 자체 개발한 클라우드 애플리케이션에 사용자가 로그인하고 액세스할 수 있도록 하는 ID 서비스를 제공하는 방법 알아보기
- Azure AD가 SSO(Single Sign-On)를 어떻게 지원하는지 알아보기
Azure AD와 Active Directory의 차이
- Active Directory: 조직에서 관리하는 ID 및 액세스 관리 서비스 제공
- Azure AD: Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스
Azure AD를 사용해 ID 계정을 관리하며 Microsoft에서 해당 서비스를 전역적으로 사용할 수 있도록 지원
- Active Directory는 로그인 시도를 모니터링하지 않지만 Azure AD와 Active Directory를 연결하는 경우 Microsoft는 추가 비용 없이 의심스러운 로그인 시도 감지하여 사용자 보호 가능
누가 Azure AD를 사용?
- IT 관리자: 비즈니스 요구 사항에 따라 애플리케이션 및 리소스에 대한 액세스를 제어
- 앱 개발자: 앱에 SSO 기능을 추가하거나 사용자의 기존 자격 증명을 사용하여 앱을 사용할 수 있도록 설정하는 등 자신이 빌드하는 애플리케이션에 기능을 추가하는 표준 기반 접근 방식을 제공
- 온라인 서비스 구독자: Microsoft 365, Microsoft Office 365, Azure 및 Microsoft Dynamics CRM Online 구독자는 이미 Azure AD를 사용
- 사용자: 자신의 ID 관리
테넌트: 조직을 의미하며 일반적으로 테넌트는 다른 테넌트와 구분되며 자체 ID를 가짐
Azure AD에서 제공하는 서비스?
- 인증: 애플리케이션 및 리소스에 액세스하기 위한 ID 확인이 포함.
- 셀프 서비스 암호 재설정
- 다단계 인증
- 금지된 암호의 사용자 지정 목록 및 스마트 잠금 서비스와 같은 기능
- Single Sign-On: 한 가지 사용자 이름과 한 가지 암호만 기억하면 여러 애플리케이션에 액세스 가능
- 보안 모델 간소화
- 계정을 변경하거나 비활성화하는 과정이 대폭 축소
- 애플리케이션 관리: 클라우드 및 온-프레미스 앱을 관리
- 애플리케이션 프록시, SaaS 앱, My Apps 포털(액세스 패널 이라고도 함), Single Sign-On 등의 기능이 더 나은 사용자 환경을 제공
- 디바이스 관리
- 개별 사용자의 계정뿐만 아니라 디바이스 등록도 지원
- Microsoft Intune과 같은 도구를 통해 디바이스 관리 가능
- 디바이스 기반 조건부 액세스 정책을 통해 요청하는 사용자 계정에 관계없이 알려진 디바이스의 액세스 시도만 허용
Azure AD는 어떤 종류의 리소스 보호?
- Azure AD를 통해 사용자는 외부 및 내부 리소스에 모두 액세스 가능
- 외부 리소스: Microsoft Office 365, Azure Portal, 기타 여러 SaaS(Software as a Service) 애플리케이션
- 내부 리소스: 조직 내에서 개발한 클라우드 애플리케이션과 함께 회사 네트워크 및 인트라넷에 있는 앱
Single Sign-On
- 사용자가 한 번 로그인하고 해당 자격 증명을 사용하여 여러 공급자의 여러 리소스 및 애플리케이션에 액세스 가능
- SSO를 사용하는 경우 하나의 ID와 하나의 암호만 기억하면 됨
- 애플리케이션 전반에 걸친 액세스 권한이 사용자와 연결된 단일 ID에 부여되므로 보안 모델이 간소화
Azure AD와 Active Directory 연결
몇가지 방법이 있지만 가장 인기있는 방법은 Azure AD Connect 사용
⇒ Active Directory와 Azure AD간에 사용자 ID를 동기화
⇒ SSO, 다단계 인증, 셀프 서비스 암호 재설정 같은 기능 사용 가능
다단계 인증 및 조건부 액세스
다단계 인증
- 다단계 인증: 로그인 프로세스 중에 사용자에게 추가적인 형태의 ID를 묻는 프로세스 ex. 휴대폰 또는 지문 스캔의 코드
- 인증 완료에 2개 이상의 요소를 요구하여 ID를 추가로 보호( 사용자가 알고 있는 항목(이메일 주소 및 암호), 사용자가 보유한 항목(사용자 휴대폰으로 전송된 코드), 사용자의 신원(일종의 생체 인식 속성))
Azure AD Multi-Factor Authentication
Azure AD Multi-Factor Authentication: 다단계 인증을 제공하는 Microsoft 서비스
⇒ 사용자 로그인 중에 전화 통화 또는 모바일 애 알림과 같은 추가 인증 형식 선택 가능
다음 서비스에서 위 기능 제공
Azure AD 테넌트에서 '보안 기본값'을 사용하도록 설정하여 Microsoft Authenticator 앱을 통해서 위 기능을 모든 사용자에게 적용 가능
조건부 액세스
- ID 신호 에 따라 리소스에 대한 액세스를 허용(또는 거부)하기 위해 Azure Active Directory에서 사용하는 도구
- 신호에는 사용자의 신분, 사용자의 위치 및 사용자가 액세스를 요청하는 디바이스 포함
- 사용자에게 보다 세분화된 다단계 인증 환경 제공
조건부 액세스 언제 사용 가능?
- 애플리케이션에 액세스하려면 다단계 인증이 필요
- 승인된 클라이언트 애플리케이션을 통해서만 서비스에 액세스하도록 요구
- 사용자가 관리 디바이스에서만 애플리케이션에 액세스하도록 요구
- 알 수 없거나 예기치 않은 위치에서의 액세스와 같이 신뢰할 수 없는 소스로부터의 액세스를 차단
- What If 도구를 통해 정책을 계획하고 문제를 해결할 수 있음. 해당 정책이 설정된 경우의 영향 확인 가능
조건부 액세스는 어디서 제공?
- 조건부 액세스 사용을 위해서는 Azure AD Premium P1 또는 P2 라이선스가 필요
- Microsoft 365 Business Premium 라이선스가 있는 경우도 사용 가능