MS Learn 파트 5-1 :: Azure ID 서비스를 사용하여 애플리케이션에 안전하게 액세스 (AZ-900)

인증과 권한의 차이에 대해 알고
아래 나오는 Azure AD의 경우에는 시험에 많이 나오므로 특징들에 확실히 아는게 좋습니다

인증과 권한 부여 비교

인증(AuthN), Authentication

• 리소스에 액세스하려는 사람 또는 서비스의 ID를 설정하는 프로세스
• 당사자에게 합법적인 자격 증명을 요구하는 행동이 포함
• 사용자가 본인인지 확인(verify user's credentials) ⇒ 시스템에 대한 액세스 제어
• 보통 비밀번호를 입력하여 수행되며 이때 암호를 지식 인증 요소(knowledge authentication factor)라고 한다

권한 부여(AuthZ), Authorization

• 컴퓨터 프로그램, 파일, 서비스, 데이터 및 APP 기능을 포함하여 시스템 리소스와 관련된 사용자/클라이언트 권한 또는 액세스 수준을 결정하는데 사용되는 보안 매커니즘
• 일반적으로 사용자 신원 확인을 위한 Authentication이 선행 됨.
• 인증된 사용자 또는 서비스에 부여되는 액세스 수준을 설정하는 프로세스
• 액세스할 수 있는 데이터와 해당 데이터로 할 수 있는 작업 지정

Azure app Service sms buit-in authentication을 지원 함
인증 및 인증 미들웨어 구성 요소는 애플리케이션과 동일한 VM에서 실행되는 플랫폼의 기능
이 옵션을 선택하면 수신되는 모든 HTTP요청이 프로그램에 의해 처리되기 전에 해당 요청을 통과

---

 

Azure Active Directory

학습 목표

• Microsoft 클라우드 애플리케이션 및 자체 개발한 클라우드 애플리케이션에 사용자가 로그인하고 액세스할 수 있도록 하는 ID 서비스를 제공하는 방법 알아보기
• Azure AD가 SSO(Single Sign-On)를 어떻게 지원하는지 알아보기

Azure AD와 Active Directory의 차이

• Active Directory: 조직에서 관리하는 ID 및 액세스 관리 서비스 제공
• Azure AD: Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스

Azure AD를 사용해 ID 계정을 관리하며 Microsoft에서 해당 서비스를 전역적으로 사용할 수 있도록 지원

• Active Directory는 로그인 시도를 모니터링하지 않지만 Azure AD와 Active Directory를 연결하는 경우 Microsoft는 추가 비용 없이 의심스러운 로그인 시도 감지하여 사용자 보호 가능

누가 Azure AD를 사용?

• IT 관리자: 비즈니스 요구 사항에 따라 애플리케이션 및 리소스에 대한 액세스를 제어
• 앱 개발자: 앱에 SSO 기능을 추가하거나 사용자의 기존 자격 증명을 사용하여 앱을 사용할 수 있도록 설정하는 등 자신이 빌드하는 애플리케이션에 기능을 추가하는 표준 기반 접근 방식을 제공
• 온라인 서비스 구독자: Microsoft 365, Microsoft Office 365, Azure 및 Microsoft Dynamics CRM Online 구독자는 이미 Azure AD를 사용
• 사용자: 자신의 ID 관리

테넌트: 조직을 의미하며 일반적으로 테넌트는 다른 테넌트와 구분되며 자체 ID를 가짐

Azure AD에서 제공하는 서비스?

1. 인증: 애플리케이션 및 리소스에 액세스하기 위한 ID 확인이 포함.

• 셀프 서비스 암호 재설정
• 다단계 인증
• 금지된 암호의 사용자 지정 목록 및 스마트 잠금 서비스와 같은 기능

2. Single Sign-On: 한 가지 사용자 이름과 한 가지 암호만 기억하면 여러 애플리케이션에 액세스 가능

• 보안 모델 간소화
• 계정을 변경하거나 비활성화하는 과정이 대폭 축소

3. 애플리케이션 관리: 클라우드 및 온-프레미스 앱을 관리

• 애플리케이션 프록시, SaaS 앱, My Apps 포털(액세스 패널 이라고도 함), Single Sign-On 등의 기능이 더 나은 사용자 환경을 제공

4. 디바이스 관리

• 개별 사용자의 계정뿐만 아니라 디바이스 등록도 지원
• Microsoft Intune과 같은 도구를 통해 디바이스 관리 가능
• 디바이스 기반 조건부 액세스 정책을 통해 요청하는 사용자 계정에 관계없이 알려진 디바이스의 액세스 시도만 허용

Azure AD는 어떤 종류의 리소스 보호?

• Azure AD를 통해 사용자는 외부 및 내부 리소스에 모두 액세스 가능
• 외부 리소스: Microsoft Office 365, Azure Portal, 기타 여러 SaaS(Software as a Service) 애플리케이션
• 내부 리소스: 조직 내에서 개발한 클라우드 애플리케이션과 함께 회사 네트워크 및 인트라넷에 있는 앱

Single Sign-On

• 사용자가 한 번 로그인하고 해당 자격 증명을 사용하여 여러 공급자의 여러 리소스 및 애플리케이션에 액세스 가능
• SSO를 사용하는 경우 하나의 ID와 하나의 암호만 기억하면 됨
• 애플리케이션 전반에 걸친 액세스 권한이 사용자와 연결된 단일 ID에 부여되므로 보안 모델이 간소화

Azure AD와 Active Directory 연결

몇가지 방법이 있지만 가장 인기있는 방법은 Azure AD Connect 사용
⇒ Active Directory와 Azure AD간에 사용자 ID를 동기화
⇒ SSO, 다단계 인증, 셀프 서비스 암호 재설정 같은 기능 사용 가능

---

 

다단계 인증 및 조건부 액세스

다단계 인증

• 다단계 인증: 로그인 프로세스 중에 사용자에게 추가적인 형태의 ID를 묻는 프로세스 ex. 휴대폰 또는 지문 스캔의 코드
• 인증 완료에 2개 이상의 요소를 요구하여 ID를 추가로 보호( 사용자가 알고 있는 항목(이메일 주소 및 암호), 사용자가 보유한 항목(사용자 휴대폰으로 전송된 코드), 사용자의 신원(일종의 생체 인식 속성))

Azure AD Multi-Factor Authentication

Azure AD Multi-Factor Authentication: 다단계 인증을 제공하는 Microsoft 서비스
⇒ 사용자 로그인 중에 전화 통화 또는 모바일 애 알림과 같은 추가 인증 형식 선택 가능

다음 서비스에서 위 기능 제공

• Azure Active Directory

Azure AD 테넌트에서 '보안 기본값'을 사용하도록 설정하여 Microsoft Authenticator 앱을 통해서 위 기능을 모든 사용자에게 적용 가능

• Office 365용 다단계 인증

조건부 액세스

• ID 신호 에 따라 리소스에 대한 액세스를 허용(또는 거부)하기 위해 Azure Active Directory에서 사용하는 도구
• 신호에는 사용자의 신분, 사용자의 위치 및 사용자가 액세스를 요청하는 디바이스 포함
• 사용자에게 보다 세분화된 다단계 인증 환경 제공

조건부 액세스 언제 사용 가능?

• 애플리케이션에 액세스하려면 다단계 인증이 필요
• 승인된 클라이언트 애플리케이션을 통해서만 서비스에 액세스하도록 요구
• 사용자가 관리 디바이스에서만 애플리케이션에 액세스하도록 요구
• 알 수 없거나 예기치 않은 위치에서의 액세스와 같이 신뢰할 수 없는 소스로부터의 액세스를 차단
• What If 도구를 통해 정책을 계획하고 문제를 해결할 수 있음. 해당 정책이 설정된 경우의 영향 확인 가능

조건부 액세스는 어디서 제공?

• 조건부 액세스 사용을 위해서는 Azure AD Premium P1 또는 P2 라이선스가 필요
• Microsoft 365 Business Premium 라이선스가 있는 경우도 사용 가능