Azure Government 애플리케이션에 대한 ID 계획
Microsoft Azure Government는 애플리케이션을 빌드하고 Azure Public과 ID를 관리하는 동일한 방법을 제공합니다. Azure Government 고객은 이미 Microsoft Entra 공용 테넌트를 가지고 있거나 Microsoft Entra Government에서 테넌트를 만들 수 있습니다. 이 문서에서는 ID의 애플리케이션 및 위치에 따라 ID 결정에 대한 지침을 제공합니다.
ID 모델
애플리케이션에 대한 ID 접근 방식을 결정하기 전에 사용할 수 있는 ID 유형을 알아야 합니다. 온-프레미스 ID, 클라우드 ID 및 하이브리드 ID의 세 가지 유형이 있습니다.
온-프레미스 ID | 클라우드 ID | 하이브리드 ID |
---|---|---|
온-프레미스 ID는 대부분의 고객이 현재 사용하는 온-프레미스 Active Directory 환경에 속합니다. | 클라우드 ID는 Microsoft Entra ID에서 시작되고 존재하며 관리됩니다. | 하이브리드 ID는 온-프레미스 ID로 시작되지만 디렉터리 동기화를 통해 Microsoft Entra ID로 하이브리드가 됩니다. 디렉터리 동기화 후 온-프레미스와 클라우드에 모두 존재하므로 하이브리드입니다. |
참고 항목
디렉터리 동기화에 모두 의존하는 하이브리드는 배포 옵션(동기화 ID,페더레이션 ID 등)과 함께 제공되며 하이브리드 ID란 무엇인가요?에서 설명한 대로 대부분 ID를 인증하는 방법을 정의합니다.
Azure Government 애플리케이션에 대한 ID 선택
Azure 애플리케이션을 빌드할 때 먼저 인증 기술을 결정해야 합니다.
- 최신 인증을 사용하는 애플리케이션– OAuth, OpenID Connect 및/또는 Microsoft Entra에서 지원하는 기타 최신 인증 프로토콜(예: Web Apps, Azure SQL Database 등 PaaS 기술을 사용하여 새로 개발된 애플리케이션)을 사용하는 모던 애플리케이션.
- 레거시 인증 프로토콜(Kerberos/NTLM)을 사용하는 애플리케이션 – 일반적으로 온-프레미스에서 마이그레이션되는 애플리케이션(예: 리프트 앤 시프트 애플리케이션).
이 결정에 따라 Azure Government를 빌드하고 배포할 때 고려해야 할 사항이 서로 다릅니다.
Azure Government에서 최신 인증을 사용하는 애플리케이션
Microsoft ID 플랫폼에 애플리케이션 등록은 Microsoft Entra ID를 사용하여 애플리케이션에 보안 로그인 및 권한 부여를 제공하는 방법을 보여 줍니다. 이 프로세스는 ID 기관을 선택하고 나면 Azure Public 및 Azure Government에 대해 동일합니다.
ID 기관 선택
Azure Government 애플리케이션은 Microsoft Entra Government ID를 사용할 수 있지만 Microsoft Entra 공용 ID를 사용하여 Azure Government에서 호스트되는 애플리케이션에 인증할 수 있나요? 예! ID 기관 중 하나를 사용할 수 있으므로 사용할 ID를 선택해야 합니다.
- Microsoft Entra Public – 조직에 Office 365(공용 또는 GCC) 또는 다른 응용 프로그램을 지원하는 Microsoft Entra 공용 테넌트가 이미 있는 경우 일반적으로 사용됩니다.
- Microsoft Entra Government - 조직에 Office 365(GCC High 또는 DoD)를 지원하는 Microsoft Entra Government 테넌트가 이미 있거나 Microsoft Entra Government에서 새 테넌트를 만드는 경우에 일반적으로 사용됩니다.
일단 결정되면 앱 등록을 수행하는 위치를 특별히 고려해야 합니다. Azure Government 애플리케이션에 대해 Microsoft Entra 퍼블릭 ID를 선택하는 경우 Microsoft Entra 퍼블릭 테넌트에서 애플리케이션을 등록해야 합니다. 그렇지 않고 앱 디렉터리에서 앱 등록을 수행하는 경우 구독 트러스트(Azure Government)는 의도한 사용자 집합을 인증할 수 없습니다.
참고 항목
Microsoft Entra 전용으로 등록된 애플리케이션은 애플리케이션이 등록된 Microsoft Entra 테넌트에서 사용자의 로그인을 허용합니다. 여러 Microsoft Entra 공용 테넌트가 있는 경우 로그인을 허용하기 위한 테넌트가 무엇인지 알고 있어야 합니다. 사용자가 여러 Microsoft Entra 테넌트에서 애플리케이션에 인증할 수 있도록 하려면 애플리케이션을 각 테넌트에 등록해야 합니다.
다른 고려 사항은 ID 기관 URL입니다. 선택한 권한에 따라 올바른 URL이 필요합니다.
ID 기관 | URL |
---|---|
Microsoft Entra Public | login.microsoftonline.com |
Microsoft Entra Government | login.microsoftonline.us |
레거시 인증 프로토콜을 사용하는 애플리케이션(Kerberos/NTLM)
NTLM/Kerberos 인증에 종속된 IaaS(Infrastructure-as-a-Service) 클라우드 기반 애플리케이션을 지원하려면 온-프레미스 ID가 필요합니다. 목표는 기간 업무 애플리케이션 및 Windows 통합 인증이 필요한 기타 앱에 대한 로그인을 지원하는 것입니다. Azure IaaS에서 Active Directory 도메인 컨트롤러를 가상 머신으로 추가하는 것은 다음 그림과 같이 이러한 유형의 앱을 지원하는 일반적인 방법입니다.
참고 항목
앞의 그림은 사이트 간 VPN을 사용하는 간단한 연결 예제입니다. Azure ExpressRoute는 또 다른 기본 연결 옵션입니다.
Azure에 배치할 도메인 컨트롤러 유형도 디렉터리 액세스에 대한 애플리케이션 요구 사항에 따라 고려해야 합니다. 애플리케이션에 디렉터리 쓰기 액세스 권한이 필요한 경우 Active Directory 데이터베이스의 쓰기 가능한 복사본을 사용하여 표준 도메인 컨트롤러를 배포합니다. 애플리케이션에 디렉터리 읽기 액세스만 필요한 경우 RODC(읽기 전용 도메인 컨트롤러)를 Azure에 배포하는 것이 좋습니다. 특히 RODC의 경우 계획 도메인 컨트롤러 배치에서 제공되는 지침을 따르는 것이 좋습니다.
Active Directory 도메인 컨트롤러 및 ADFS(Active Director Federation Services)를 배포하기 위한 지침을 다루는 설명서는 다음에서 확인할 수 있습니다.
- Active Directory Domain Services를 안전하게 가상화는 다음과 같은 질문에 답변합니다.
- Windows Server Active Directory 도메인 컨트롤러를 가상화해도 안전한가요?
- Azure Virtual Machines에 Active Directory를 배포하는 이유는 무엇인가요?
- Azure Virtual Machines에 ADFS를 배포할 수 있나요?
- Azure에서 Active Directory Federation Services 배포는 Azure에서 ADFS를 배포하는 방법에 대한 지침을 제공합니다.
Azure Government의 구독 관리에 대한 ID 시나리오
먼저 Azure Government 관리 포털에 액세스하는 방법에 대한 지침은 포털을 사용하여 Azure Government에 연결을 참조하세요.
이 섹션의 기초를 설정하는 몇 가지 중요한 사항이 있습니다.
- Azure 구독은 하나의 디렉터리만 신뢰하므로 해당 디렉터리의 ID를 통해 구독 관리를 수행해야 합니다.
- Azure Public 구독은 Microsoft Entra Public의 트러스트 디렉터리를 사용하는 반면, Azure Government 구독은 Microsoft Entra Government의 디렉터리를 신뢰합니다.
- Azure Public 및 Azure Government 구독이 모두 있는 경우 둘 다에 대한 별도의 ID가 필요합니다.
Azure Public 및 Azure Government 구독을 동시에 관리하는 현재 지원되는 ID 시나리오는 다음과 같습니다.
- 클라우드 ID - 클라우드 ID는 두 구독을 모두 관리하는 데 사용됩니다.
- 하이브리드 및 클라우드 ID - 한 구독에 대한 하이브리드 ID, 다른 구독에 대한 클라우드 ID입니다.
- 하이브리드 ID - 하이브리드 ID는 두 구독을 모두 관리하는 데 사용됩니다.
Office 365 및 Azure 구독을 모두 사용하는 일반적인 시나리오는 다음 섹션에서 전달됩니다.
다중 클라우드 구독 관리에 클라우드 ID 사용
다음 다이어그램은 구현할 시나리오 중 가장 간단합니다.
클라우드 ID를 사용하는 것이 가장 간단한 방법이지만 암호가 인증 요소로 사용되기 때문에 보안이 가장 낮은 방법이기도 합니다. 클라우드 ID를 사용할 때 Azure 구독에 대한 액세스를 보호하기 위해 중요한 두 번째 보안 계층을 추가하려면 Microsoft의 2단계 인증 솔루션인 Microsoft Entra 다단계 인증을 하는 것이 좋습니다.
다중 클라우드 구독 관리에 하이브리드 및 클라우드 ID 사용
이 시나리오에서는 공용 테넌트에 대한 디렉터리 동기화를 통해 관리자 ID를 포함하지만 클라우드 ID는 여전히 정부 테넌트에서 사용됩니다.
관리 계정에 하이브리드 ID를 사용하면 스마트 카드(물리적 또는 가상)를 사용할 수 있습니다. CAC(공용 액세스 카드) 또는 PIV(개인 ID 확인) 카드를 사용하는 정부 기관은 이 접근 방식의 이점을 누릴 수 있습니다. 이 시나리오에서 ADFS는 ID 공급자 역할을 하며 2단계 인증(예: 스마트 카드 + PIN)을 구현합니다.
다중 클라우드 구독 관리에 하이브리드 ID 사용
이 시나리오에서는 하이브리드 ID를 사용하여 두 클라우드의 구독을 관리합니다.
자주 묻는 질문
Office 365 GCC에서 Microsoft Entra Public을 사용하는 이유는 무엇인가요?
Microsoft에 단일 클라우드 디렉터리가 있을 때 첫 번째 Office 365 미국 정부 환경인 GCC(Government Community Cloud)가 만들어졌습니다. Office 365 GCC 환경은 FedRAMP Moderate, CJIS(형사 사법 정보 서비스), 국세청(IRS) 1075 및 NIST(National Institute of Standards and Technology) SP(특별 발행물) 800-171에 설명된 제어 및 요구 사항을 준수하면서 Microsoft Entra Public을 사용하도록 설계되었습니다. Azure Government는 Microsoft Entra 인프라를 사용하여 나중에 만들어졌습니다. 그 때까지 GCC는 수십만 명의 고객에게 서비스를 제공하면서 연방, 주 및 지방 정부의 요구 사항을 충족하기 위해 필요한 규정 준수 권한 부여(예: FedRAMP Moderate 및 CJIS)를 이미 확보했습니다. 이제 많은 Office 365 GCC 고객에게는 두 개의 Microsoft Entra 테넌트가 있습니다. 하나는 Office 365 GCC를 지원하는 Microsoft Entra 구독의 테넌트이고 다른 하나는 Azure Government 구독에서 ID가 있는 테넌트입니다.
Azure Government 테넌트를 식별하려면 어떻게 해야 하나요?
선택한 브라우저를 사용하여 확인할 수 있는 방법은 다음과 같습니다.
테넌트 이름(예: contoso.onmicrosoft.com) 또는 Microsoft Entra 테넌트에 등록된 도메인 이름(예: contoso.gov)을 가져옵니다.
https://login.microsoftonline.com/<domainname>/.well-known/openid-configuration
로 이동합니다.- <도메인 이름> 이전 단계에서 수집한 테넌트 이름 또는 도메인 이름이 될 수 있습니다.
- URL 예제:
https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration
결과는 다음과 유사한 JSON(JavaScript Object Notation) 형식을 사용하여 특성/값 쌍으로 페이지에 다시 게시됩니다.
{ "authorization_endpoint":"https://login.microsoftonline.com/b552ff1c-edad-4b6f-b301-5963a979bc4d/oauth2/authorize", "tenant_region_scope":"USG" }
표시된 대로 tenant_region_scope 특성 값이USG 또는 USGov로 보여지는 Azure Government 테넌트가 있는 것입니다.
- 그 결과 Microsoft Edge, Mozilla Firefox 및 Google Chrome과 같은 최신 브라우저에서 기본적으로 렌더링되는 JSON 파일이 생성됩니다. Internet Explorer는 기본적으로 JSON 형식을 렌더링하지 않으므로 파일을 열거나 저장하라는 메시지가 표시됩니다. Internet Explorer를 사용해야 하는 경우 저장 옵션을 선택하고 다른 브라우저 또는 일반 텍스트 판독기로 엽니다.
- tenant_region_scope 속성은 말 그대로 지역적입니다. 북아메리카의 Azure Public에 테넌트가 있는 경우 값은 NA입니다.
Office 365 GCC 고객이며 Azure Government에서 솔루션을 빌드하려는 경우 두 개의 테넌트가 있어야 하나요?
예, Azure Government 구독 관리에 Microsoft Entra Government 테넌트가 필요합니다.
Azure Government에서 워크로드를 빌드한 Office 365 GCC 고객인 경우 공용 또는 정부에서 인증해야 하는 위치는 어디인가요?
이 문서의 앞부분에서 ID 기관 선택을 참조하세요.
Office 365 고객이며 하이브리드 ID를 ID 모델로 선택했습니다. 또한 여러 Azure 구독이 있습니다. 동일한 Microsoft Entra 테넌트에서 Office 365에 대한 로그인, 내 Azure 구독에서 빌드된 애플리케이션 및/또는 로그인에 Microsoft Entra ID를 사용하도록 다시 구성된 애플리케이션을 처리할 수 있나요?
예, Azure 구독과 Microsoft Entra ID와의 관계에 대해 더 알고 싶으시면 Azure 구독을 Microsoft Entra 테넌트와 연결 또는 추가를 참고하세요. 또한 구독을 선택한 공통 디렉터리에 연결하는 방법에 대한 지침도 포함되어 있습니다.
Azure Government 구독을 Microsoft Entra Public의 디렉터리에 연결할 수 있나요?
아니요, Azure Government 구독을 관리하는 기능을 사용하려면 Microsoft Entra Government의 디렉터리에서 원본으로 사용하는 ID가 필요합니다.