솔루션 1은 Microsoft Entra ID를 모든 애플리케이션의 기본 IdP(ID 공급자)로 사용합니다. 관리되는 서비스는 다자간 페더레이션을 제공합니다. 이 예에서 Cirrus Bridge는 CAS(중앙 인증 서비스) 및 다자간 페더레이션 앱의 통합을 위해 관리되는 서비스입니다.
온-프레미스 Active Directory 인스턴스도 사용하는 경우 하이브리드 ID로 Active Directory를 구성할 수 있습니다. Cirrus Bridge와 함께 Microsoft Entra ID를 사용하는 솔루션을 구현하면 다음이 제공됩니다.
SAML(Security Assertion Markup Language) 브리지: InCommon 및 eduGAIN에서 다자간 페더레이션 및 참여를 구성합니다. SAML 브리지를 사용하여 각 다자간 페더레이션 앱에 대한 Microsoft Entra 조건부 액세스 정책, 앱 할당, 거버넌스 및 기타 기능을 구성할 수도 있습니다.
CAS 브리지: 온-프레미스 CAS 앱이 Microsoft Entra ID 인증을 지원하도록 프로토콜 변환을 제공합니다. CAS 브리지를 사용하여 모든 CAS 앱에 대한 Microsoft Entra 조건부 액세스 정책, 앱 할당 및 거버넌스를 전체적으로 구성할 수 있습니다.
Cirrus Bridge를 사용하여 Microsoft Entra ID를 구현하는 경우 Microsoft Entra ID에서 더 많은 기능을 활용할 수 있습니다.
사용자 지정 클레임 공급자 지원: Microsoft Entra 사용자 지정 클레임 공급자를 사용하면 외부 특성 저장소(예: 외부 LDAP 디렉터리)를 사용하여 개별 앱의 토큰에 클레임을 추가할 수 있습니다. 사용자 지정 클레임 공급자는 외부 REST API를 호출하는 사용자 지정 확장을 사용하여 외부 시스템에서 클레임을 가져옵니다.
사용자 지정 보안 특성: 디렉터리의 개체에 사용자 지정 특성을 추가하고 해당 특성을 읽을 수 있는 사람을 제어할 수 있습니다. 사용자 지정 보안 특성을 사용하면 더 많은 특성을 Microsoft Entra ID에 직접 저장할 수 있습니다.
장점
Cirrus Bridge를 사용하여 Microsoft Entra ID를 구현하면 다음과 같은 이점이 있습니다.
모든 앱에 대한 원활한 클라우드 인증
모든 앱은 Microsoft Entra ID를 통해 인증됩니다.
관리되는 서비스에서 모든 온-프레미스 ID 구성 요소를 제거하면 잠재적으로 운영 및 관리 비용을 낮추고 보안 위험을 줄이며 다른 작업을 위한 리소스를 확보할 수 있습니다.
간소화된 구성, 배포 및 지원 모델
Cirrus Bridge는 Microsoft Entra 앱 갤러리에 등록되어 있습니다.
브리지 솔루션 구성 및 설정을 위한 확립된 프로세스의 이점을 누릴 수 있습니다.
Cirrus Identity는 지속적인 지원을 제공합니다.
다자간 페더레이션 앱에 대한 조건부 액세스 지원
모든 앱에 기타 Microsoft Entra 관련 솔루션 사용
디바이스 관리를 위해 Intune 및 Microsoft Entra 조인을 사용할 수 있습니다.
Microsoft Entra 조인을 사용하면 Windows Autopilot, Microsoft Entra 다단계 인증 및 암호 없는 기능을 사용할 수 있습니다. Microsoft Entra 조인은 제로 트러스트 상태 달성을 지원합니다.
참고 항목
Microsoft Entra 다단계 인증으로 전환하면 현재 사용 중인 다른 솔루션에 비해 상당한 비용을 절감할 수 있습니다.
고려 사항 및 장단점
이 솔루션을 사용할 때의 몇 가지 장단점은 다음과 같습니다.
인증 환경을 사용자 지정하는 기능이 제한됨: 이 시나리오에서는 관리되는 솔루션을 제공합니다. 페더레이션 공급자 제품을 사용하여 사용자 지정 솔루션을 빌드할 수 있는 유연성이나 세분성을 제공하지 못할 수도 있습니다.
제한된 타사 다단계 인증 통합: 타사 다단계 인증 솔루션에 사용할 수 있는 통합 수가 제한될 수 있습니다.
일회용 통합 활동 필요: 통합을 간소화하려면 모든 학생 및 교직원 앱을 Microsoft Entra ID로 일회용 마이그레이션을 수행해야 합니다. Cirrus Bridge도 설정해야 합니다.
Cirrus Bridge에 필요한 구독: Cirrus Bridge의 구독 요금은 브리지의 예상 연간 인증 사용량을 기준으로 합니다.
마이그레이션 리소스
다음 리소스는 이 솔루션 아키텍처로 마이그레이션하는 데 도움이 될 수 있습니다.
| 마이그레이션 리소스 | 설명 |
|---|---|
| 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스 | 애플리케이션 액세스 및 인증을 Microsoft Entra ID로 마이그레이션하는 데 도움이 되는 리소스 목록 |
| Microsoft Entra 사용자 지정 클레임 공급자 | Microsoft Entra 사용자 지정 클레임 공급자의 개요 |
| 사용자 지정 보안 특성 | 사용자 지정 보안 특성에 대한 액세스를 관리하는 단계 |
| Cirrus Bridge와 Microsoft Entra Single Sign-On 통합 | Cirrus Bridge를 Microsoft Entra ID와 통합하는 자습서 |
| Cirrus Bridge 개요 | Microsoft Entra ID로 Cirrus Bridge를 구성하기 위한 Cirrus ID 설명서 |
| Microsoft Entra 다단계 인증 배포 고려 사항 | Microsoft Entra 다단계 인증 구성에 대한 지침 |
다음 단계
다자간 페더레이션에 관한 다음 관련 문서를 참조하세요.
다자간 페더레이션 솔루션 2: Shibboleth를 SAML 프록시로 사용하는 Microsoft Entra ID