Azure SQL Managed Instance의 Azure Active Directory 보안 주체에 대한 Windows 인증이란 무엇인가요?

적용 대상:Azure SQL Managed Instance

Azure SQL Managed Instance는 가장 광범위한 SQL Server 데이터베이스 엔진 호환성과 완전 관리형 에버그린 PaaS(Platform as a Service)의 이점이 결합된 크기 조정이 가능한 인텔리전트 클라우드 데이터베이스 서비스입니다. Azure AD(Azure Active Directory)에 대한 Kerberos 인증을 사용하면 Windows 인증에서 Azure SQL Managed Instance에 액세스할 수 있습니다. 관리되는 인스턴스용 Windows 인증은 고객이 기존 서비스를 클라우드로 이동하면서 원활한 사용자 환경을 유지하고 인프라 최신화를 위한 기반을 제공할 수 있도록 합니다.

주요 기능 및 시나리오

고객이 인프라, 애플리케이션 및 데이터 계층을 최신화하면서 Azure AD로 전환하여 ID 관리 기능도 최신화합니다. Azure SQL은 여러 Azure AD 인증 옵션을 제공합니다.

• 'Azure Active Directory - 암호'는 Azure AD 자격 증명으로 인증을 제공합니다.
• 'Azure Active Directory - MFA가 지원되는 유니버설'에서 다단계 인증 추가
• 'Azure Active Directory – 통합'은 ADFS(Active Directory Federation Services)와 같은 페더레이션 공급자를 사용하여 Single Sign-On 환경을 사용하도록 설정합니다.

그러나 일부 레거시 앱은 Azure AD에 대한 인증을 변경할 수 없습니다. 레거시 애플리케이션 코드를 더 이상 사용할 수 있고, 레거시 드라이버에 대한 종속성이 있을 수 있으며, 클라이언트를 변경하지 못할 수 있습니다. Azure AD 보안 주체에 대한 Windows 인증은 이 마이그레이션 방해 요소를 제거하고 더 광범위한 고객 애플리케이션에 대한 지원을 제공합니다.

관리되는 인스턴스의 Azure AD 보안 주체에 대한 Windows 인증은 AD(Active Directory), Azure AD 또는 하이브리드 Azure AD에 조인된 VM(가상 머신) 또는 디바이스에 사용할 수 있습니다. Azure AD와 AD 모두에 사용자 ID가 존재하는 Azure AD 하이브리드 사용자는 Azure AD Kerberos를 사용하여 Azure의 관리되는 인스턴스에 액세스할 수 있습니다.

관리되는 인스턴스에 대해 Windows 인증을 사용하도록 설정하면 고객이 새로운 온-프레미스 인프라를 배포하거나 도메인 서비스 설정 오버헤드를 관리할 필요가 없습니다.

Azure SQL Managed Instance의 Azure AD 보안 주체에 대한 Windows 인증을 사용하면 최소한의 변경으로 온-프레미스 SQL Server를 Azure로 마이그레이션하고 보안 인프라를 최신화하는 두 가지 주요 시나리오가 가능합니다.

최소한의 변경으로 온-프레미스 SQL Server를 Azure로 리프트 앤 시프트

Azure Active Directory 보안 주체에 대해 Windows 인증을 사용하도록 설정하면 고객은 애플리케이션 인증 스택에 대한 변경 내용을 구현하거나 Azure AD Domain Services를 배포하지 않고도 Azure SQL Managed Instance로 마이그레이션할 수 있습니다. 고객은 Windows 인증을 사용하여 AD 또는 Azure AD 조인 디바이스에서 관리되는 인스턴스에 액세스할 수도 있습니다.

Azure Active Directory 보안 주체에 대한 Windows 인증은 관리되는 인스턴스에서 다음 패턴도 사용하도록 설정합니다. 이러한 패턴은 기존 온-프레미스 SQL Server에서 자주 사용됩니다.

• "이중 홉" 인증: 웹 애플리케이션은 IIS ID 가장을 사용하여 최종 사용자의 보안 컨텍스트에서 인스턴스에 대해 쿼리를 실행합니다.
• 확장 이벤트 및 SQL Server Profiler를 사용하는 추적은 Windows 인증을 사용하여 시작할 수 있으므로 이 워크플로에 익숙한 데이터베이스 관리자와 개발자가 쉽게 사용할 수 있습니다. Azure Active Directory 보안 주체에 대한 Windows 인증을 사용하여 Azure SQL Managed Instance에 대해 추적을 실행하는 방법을 알아봅니다.

보안 인프라 최신화

Azure SQL Managed Instance에서 Azure Active Directory 보안 주체에 대해 Windows 인증을 사용하도록 설정하면 고객이 보안 방식을 최신화할 수 있습니다.

예를 들어 고객은 Windows 인증에 의존하는 입증된 도구를 사용하여 모바일 분석가가 생체 인식 자격 증명을 사용하여 관리되는 인스턴스에 인증하도록 할 수 있습니다. 이는 모바일 분석가가 Azure AD에 조인된 랩톱에서 작업하는 경우에도 수행할 수 있습니다.

다음 단계

Azure SQL Managed Instance에서 Azure AD 보안 주체에 대한 Windows 인증 구현에 대해 자세히 알아봅니다.

• Azure SQL Managed Instance에 대한 Windows 인증이 Azure Active Directory 및 Kerberos로 구현되는 방법
• Azure Active Directory 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 설정하는 방법