솔루션 1은 모든 애플리케이션에 대해 Microsoft Entra ID를 IdP(기본 ID 공급자)로 사용합니다. 관리되는 서비스는 다자간 페더레이션을 제공합니다. 이 예제에서 Cirrus Bridge는 CAS(중앙 인증 서비스) 및 다자간 페더레이션 앱의 통합을 위한 관리되는 서비스입니다.
또한 온-프레미스 Active Directory 인스턴스를 사용하는 경우 하이브리드 ID를 사용하여 Active Directory를 구성할 수 있습니다. Cirrus Bridge에서 Microsoft Entra ID를 사용하는 솔루션을 구현하면 다음을 제공합니다.
SAML(Security Assertion Markup Language) 브리지: 다자간 페더레이션을 구성하고 InCommon 및 eduGAIN에 참여합니다. SAML 브리지를 사용하여 각 다자간 페더레이션 앱에 대한 Microsoft Entra 조건부 액세스 정책, 앱 할당, 거버넌스 및 기타 기능을 구성할 수도 있습니다.
CAS 브리지: Microsoft Entra ID로 인증하기 위해 온-프레미스 CAS 앱을 지원하기 위한 프로토콜 변환을 제공합니다. CAS 브리지를 사용하여 모든 CAS 앱 전체에 대해 Microsoft Entra 조건부 액세스 정책, 앱 할당 및 거버넌스를 구성할 수 있습니다.
Cirrus Bridge를 사용하여 Microsoft Entra ID를 구현하는 경우 Microsoft Entra ID에서 더 많은 기능을 활용할 수 있습니다.
사용자 지정 클레임 공급자 지원:Microsoft Entra 사용자 지정 클레임 공급자를 사용하면 외부 특성 저장소(예: 외부 LDAP 디렉터리)를 사용하여 개별 앱의 토큰에 클레임을 추가할 수 있습니다. 사용자 지정 클레임 공급자는 외부 REST API를 호출하는 사용자 지정 확장을 사용하여 외부 시스템에서 클레임을 가져옵니다.
사용자 지정 보안 특성: 디렉터리의 개체에 사용자 지정 특성을 추가하고 읽을 수 있는 사용자를 제어할 수 있습니다. 사용자 지정 보안 특성을 사용하면 더 많은 특성을 Microsoft Entra ID에 직접 저장할 수 있습니다.
장점
Cirrus Bridge를 사용하여 Microsoft Entra ID를 구현할 때의 몇 가지 이점은 다음과 같습니다.
모든 앱에 대한 원활한 클라우드 인증
모든 앱은 Microsoft Entra ID를 통해 인증됩니다.
관리되는 서비스에서 모든 온-프레미스 ID 구성 요소를 제거하면 운영 및 관리 비용을 절감하고, 보안 위험을 줄이고, 다른 작업을 위한 리소스를 확보할 수 있습니다.
간소화된 구성, 배포 및 지원 모델
Cirrus Bridge 는 Microsoft Entra 앱 갤러리에 등록됩니다.
브리지 솔루션을 구성하고 설정하기 위한 설정된 프로세스를 활용할 수 있습니다.
Cirrus ID는 지속적인 지원을 제공합니다.
다자간 페더레이션 앱에 대한 조건부 액세스 지원
모든 앱에 다른 Microsoft Entra 관련 솔루션 사용
디바이스 관리에 Intune 및 Microsoft Entra 조인을 사용할 수 있습니다.
Microsoft Entra 조인을 사용하면 Windows Autopilot, Microsoft Entra 다단계 인증 및 암호 없는 기능을 사용할 수 있습니다. Microsoft Entra 가입은 제로 트러스트 보안 태세 달성을 지원합니다.
비고
Microsoft Entra 다단계 인증으로 전환하면 현재 사용 중인 다른 솔루션보다 상당한 비용을 절감할 수 있습니다.
고려 사항 및 절충안
다음은 이 솔루션을 사용하는 데 있어 몇 가지 장단분입니다.
인증 환경을 사용자 지정하는 제한된 기능: 이 시나리오는 관리되는 솔루션을 제공합니다. 페더레이션 공급자 제품을 사용하여 사용자 지정 솔루션을 빌드할 수 있는 유연성이나 세분성을 제공하지 않을 수 있습니다.
제한된 타사 MFA 통합: 타사 다단계 인증 솔루션에 사용할 수 있는 통합 수는 제한될 수 있습니다.
일회성 통합 노력이 필요합니다 . 통합을 간소화하려면 모든 학생 및 교직원 앱을 Microsoft Entra ID로 일회성 마이그레이션을 수행해야 합니다. 또한 Cirrus Bridge를 설정해야 합니다.
Cirrus Bridge에 필요한 구독: Cirrus Bridge의 구독 요금은 브리지의 예상 연간 인증 사용량을 기준으로 합니다.
마이그레이션 리소스
다음 리소스는 이 솔루션 아키텍처로 마이그레이션하는 데 도움이 됩니다.
| 마이그레이션 리소스 | 설명 |
|---|---|
| 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스 | 애플리케이션 액세스 및 인증을 Microsoft Entra ID로 마이그레이션하는 데 도움이 되는 리소스 목록 |
| Microsoft Entra 사용자 지정 클레임 공급자 | Microsoft Entra 사용자 지정 클레임 공급자 개요 |
| 사용자 지정 보안 특성 | 사용자 지정 보안 특성에 대한 액세스를 관리하는 단계 |
| Cirrus Bridge와 Microsoft Entra Single Sign-On 통합 | Microsoft Entra ID와 Cirrus Bridge를 통합하는 자습서 |
| 서러스 브리지 개요 | Microsoft Entra ID를 사용하여 Cirrus Bridge를 구성하기 위한 Cirrus ID 설명서 |
| Microsoft Entra 다단계 인증 배포 고려 사항 | Microsoft Entra 다단계 인증을 구성하기 위한 지침 |
다음 단계
다자간 페더레이션에 대한 관련 문서를 참조하세요.
다자간 페더레이션 솔루션 2: Shibboleth를 SAML 프록시로 사용하는 Microsoft Entra ID
다자간 페더레이션 솔루션 3: AD FS 및 Shibboleth를 사용하는 Microsoft Entra ID