AD FS에서 Microsoft Entra ID로 애플리케이션 인증을 마이그레이션하는 단계 이해
Microsoft Entra ID는 직원, 파트너 및 고객에게 모든 플랫폼과 디바이스에서 애플리케이션에 액세스하고 공동 작업할 수 있는 단일 ID를 제공하는 유니버설 ID 플랫폼을 제공합니다. Microsoft Entra ID에는 전체 ID 관리 기능이 있습니다. Microsoft Entra ID에 대한 애플리케이션 인증 및 권한 부여를 표준화하면 이러한 이점이 제공됩니다.
마이그레이션할 앱 유형
애플리케이션은 인증을 위해 최신 또는 레거시 프로토콜을 사용할 수도 있습니다. Microsoft Entra ID로 마이그레이션을 계획할 때 먼저 최신 인증 프로토콜(예: SAML 및 OpenID Connect)을 사용하는 앱을 마이그레이션하는 것이 좋습니다.
이러한 앱은 Azure 앱 갤러리의 기본 제공 커넥터를 통해 또는 Microsoft Entra ID에 사용자 지정 애플리케이션을 등록하여 Microsoft Entra ID로 인증하도록 다시 구성할 수 있습니다.
이전 프로토콜을 사용하는 앱은 애플리케이션 프록시 또는 SHA(보안 하이브리드 액세스) 파트너를 사용하여 통합할 수 있습니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Entra 애플리케이션 프록시를 사용하여 원격 사용자용 온-프레미스 앱 게시.
- 애플리케이션 관리란?
- 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 AD FS 애플리케이션 활동 보고서.
- Microsoft Entra Connect Health를 사용하여 AD FS 모니터링
마이그레이션 프로세스
앱 인증을 Microsoft Entra ID로 이동하는 과정에서 앱과 구성을 테스트합니다. 프로덕션 환경으로 이동하기 전에 마이그레이션 테스트에 기존 테스트 환경을 계속 사용하는 것이 좋습니다. 테스트 환경을 현재 사용할 수 없는 경우 애플리케이션 아키텍처에 따라 Azure App Service 또는 Azure Virtual Machines를 사용하여 설정할 수 있습니다.
앱 구성을 개발할 별도의 테스트 Microsoft Entra 테넌트를 설정하도록 선택할 수 있습니다.
마이그레이션 프로세스는 다음과 같습니다.
1단계 - 현재 상태: 프로덕션 앱이 AD FS로 인증
2단계 - (선택 사항) 앱의 테스트 인스턴스를 테스트 Microsoft Entra 테넌트에 지정합니다.
앱의 테스트 인스턴스가 테스트 Microsoft Entra 테넌트를 가리키도록 구성을 업데이트하고 필요한 사항을 변경합니다. 테스트 Microsoft Entra 테넌트의 사용자를 대상으로 앱을 테스트할 수 있습니다. 개발 프로세스 중에 Fiddler와 같은 도구를 사용하여 요청과 응답을 비교하고 확인할 수 있습니다.
별도의 테스트 테넌트를 설정할 수 없는 경우 이 단계를 건너뛰고 아래 3단계에 설명된 대로 앱의 테스트 인스턴스를 프로덕션 Microsoft Entra 테넌트에 지정합니다.
3단계 – 프로덕션 Microsoft Entra 테넌트를 가리키는 앱의 테스트 인스턴스
앱의 테스트 인스턴스가 프로덕션 Microsoft Entra 테넌트를 가리키도록 구성을 업데이트합니다. 이제 프로덕션 테넌트의 사용자로 테스트할 수 있습니다. 필요한 경우 이 문서의 사용자 전환 섹션을 검토합니다.
4단계 – 프로덕션 앱이 프로덕션 Microsoft Entra 테넌트를 가리키도록 합니다.
프로덕션 Microsoft Entra 테넌트를 가리키도록 프로덕션 앱의 구성을 업데이트합니다.
AD FS로 인증하는 앱은 권한에 Active Directory 그룹을 사용할 수 있습니다. 마이그레이션을 시작하기 전에 Microsoft Entra Connect 동기화를 사용하여 온-프레미스 환경과 Microsoft Entra ID 간의 ID 데이터를 동기화합니다. 애플리케이션을 마이그레이션할 때 동일한 사용자에게 액세스 권한을 부여하도록 마이그레이션하기 전에 해당 그룹 및 멤버 자격을 확인합니다.
기간 업무 앱
기간 업무 앱은 조직에서 개발한 앱 또는 표준 패키지 제품인 앱입니다.
OAuth 2.0, OpenID Connect 또는 WS-Federation을 사용하는 LOB(기간 업무) 앱은 앱 등록으로 Microsoft Entra ID와 페더레이션될 수 있습니다. Microsoft Entra 관리 센터의 엔터프라이즈 애플리케이션 페이지에서 SAML 2.0 또는 WS-Federation을 비갤러리 애플리케이션으로 사용하는 사용자 지정 앱을 통합합니다.