병렬 및 결합 ID 인프라 옵션
Microsoft에서는 ID 인프라의 다양한 온-프레미스 및 클라우드 구성 요소를 통합하기 위한 기술 및 솔루션을 제공합니다. 종종 고객은 가장 적합한 기술이 무엇인지 명확하지 않고 “최근에 릴리스 된 것이 이전 기술 릴리스의 모든 시나리오를 포함한다"고 잘못 생각할 수 있습니다.
이 아티클에서는 회사에서 아래에 설명된 복잡한 시나리오를 거쳐 ID 정보를 결합하려는 경우를 다룹니다. 이상적으로, 단일 HR 소스, 단일 Active Directory 포리스트 및 단일 Microsoft Entra 테넌트를 사용하고 각각 같은 인력과 통합된 조직은 Microsoft Online Services에 대한 최상의 ID 환경이 제공됩니다. 하지만 실제로는 기업 고객이 언제나 이런 상황에 있지는 않습니다. 예를 들어, 고객이 합병을 진행하거나 일부 사용자 또는 애플리케이션을 분리해야 할 수 있습니다. 여러 HR, AD 또는 Microsoft Entra 테넌트가 있는 고객은 각각의 인스턴스를 더 적게 결합하거나 병렬로 유지할지를 결정해야 합니다.
다음은 고객의 피드백을 바탕으로 한 일반적인 시나리오와 요구 사항입니다.
- M&A(인수합병) - 일반적으로 회사 A가 회사 B를 인수하는 상황을 나타냅니다.
- 브랜드 이미지 개선 – 회사 이름 또는 브랜드 변경 및 일반적으로 이메일 도메인 이름을 변경합니다.
- Microsoft Entra 또는 Office 365 테넌트 통합 - Office 365 테넌트가 둘 이상 있는 회사는 규정 준수 또는 기록 요구 사항으로 인해 이를 통합하고자 할 수 있습니다.
- Active Directory 도메인 또는 포리스트 통합 - Active Directory 도메인 또는 포리스트 통합을 수행하려는 회사입니다.
- 매각 – 회사의 부서 또는 비즈니스 그룹을 매각하거나 분할하는 경우
- 사용자 정보 프라이버시 – 회사에서 특정 데이터(특성)를 공개적으로 표시하지 않도록 해야 하는 요구 사항이 있고 권한이 위임된 그룹 또는 사용자만 읽고, 변경하고, 업데이트할 수 있는 경우.
- 중앙 또는 범용 디렉토리를 만들어 회의 일정에 관한 이메일 및 이용 가능한 상태를 포함한 모든 사용자 및 그룹 데이터를 한 곳으로 가져옵니다.
- Single Sign On을 구현하여 모든 애플리케이션에서 사용자 이름과 비밀번호를 입력할 필요성을 줄이면서 단일 사용자 이름 및 자격 증명을 유지합니다.
- 사용자 온보딩을 간소화하여 소요 시간을 단축합니다.
- 향후의 합병 및 액세스 권한 관리 요구 사항에 맞게 조직을 준비합니다.
- 회사 간 협업 및 생산성을 활성화하고 개선합니다.
- 중앙에서 일관적으로 배포한 보안 정책을 통해 보안 위반 또는 데이터 반출의 가능성을 줄입니다.
- 부분 M&A입니다. 예를 들어, 한 조직에서 다른 조직 일부를 매수합니다.
- 조직 매각 또는 분할
- 조직 이름 변경
- 합작 투자 또는 임시 파트너
이 문서에서는 Microsoft에서 현재 지원하는 M&A 시나리오를 비롯하여 다양한 다중 클라우드 또는 멀티 조직 ID 환경을 설명하고 통합 방식에 따라 조직이 적합한 기술을 선택하는 방법을 설명합니다.
다음 섹션에서는 가상 M&A 시나리오 중 네 가지 주요 시나리오를 다룹니다.
Contoso는 기업 고객이며 IT에는 애플리케이션에 대해 예상대로 실행되는 단일(온-프레미스) HR 시스템, 단일 Active Directory 포리스트, 단일 테넌트 Microsoft Entra가 있다고 가정합니다. 사용자를 해당 HR 시스템에서 Active Directory로 가져와 Microsoft Entra 및 SaaS 앱으로 프로젝션합니다. 이 시나리오는 ID 정보의 흐름을 보여 주는 화살표와 함께 아래 다이어그램으로 설명됩니다. MIM(Microsoft Identity Manager)을 사용하는 고객뿐만 아니라 Workday 또는 SuccessFactors 프로비전 Active Directory와 같은 클라우드 HR 시스템을 사용하는 고객에게도 같은 모델을 적용할 수 있습니다.
이어서 Contoso는 이전에 자체 IT를 독립적으로 실행했던 Litware와 통합하기 시작했습니다. Contoso IT는 통합을 처리하고 Contoso의 IT로 Contoso의 앱을 변경하지 않고 유지하면서 Litware의 사용자가 앱에 액세스하고 해당 앱 내에서 협업할 수 있도록 하려고 합니다. Microsoft 앱, 타사 SaaS 및 사용자 지정 앱의 경우 최종 상태는 Contoso 및 Litware 사용자가 개념적으로 동일한 데이터에 액세스할 수 있어야 합니다.
첫 번째 IT 결정은 인프라를 얼마나 결합할 것인지입니다. Litware의 ID 인프라에 의존하지 않기로 할 수 있습니다. 또는 Litware의 인프라를 사용하고 시간이 지남에 따라 수렴하면서 Litware 환경에 미치는 지장을 최소화하는 것을 고려할 수 있습니다. 때에 따라 해당 고객은 Litware의 기존 ID 인프라를 독립적으로 유지하고 이를 수렴하지 않고 Litware 직원이 Contoso 앱에 액세스할 수 있도록 계속 사용하고자 할 수 있습니다.
고객이 Litware ID 인프라의 일부 또는 전체를 유지하기로 한 경우 Litware의 Active Directory Domain Services 또는 Microsoft Entra ID 중 어느 정도가 Contoso 리소스에 대한 Litware 사용자의 액세스 권한을 부여하는 데 사용되는지에 대한 트레이드오프가 있습니다. 이 섹션에서는 Contoso가 Litware 사용자에게 사용할 항목을 바탕으로 실행 가능한 옵션을 살펴봅니다.
- 시나리오 A - Litware의 ID 인프라를 전혀 사용하지 않는 경우
- 시나리오 B - Litware의 Active Directory 포리스트를 사용하지만 Litware의 Microsoft Entra(있는 경우)를 사용하지 않는 경우
- 시나리오 C - Litware의 Microsoft Entra ID를 사용합니다.
- 시나리오 D - Litware의 타사 ID 인프라 사용(Litware가 Active Directory/Microsoft Entra ID를 사용하지 않는 경우)
다음 표에서는 고객이 해당 결과, 제약 조건 및 혜택을 달성할 방법에 대해 기술을 포함한 각 옵션을 요약합니다.
고려 사항 | A1: 단일 HR, 단일 IAM, 테넌트 | A2: 별도 HR, 단일 IAM 및 테넌트 | B3: Active Directory 포리스트 트러스트, 단일 Microsoft Entra 커넥트 | B4: 단일 테넌트에 대한 Microsoft Entra 커넥트와 해당 Active Directory | B5: Microsoft Entra 커넥트 클라우드와 해당 Active Directory 동기화 | C6: 여러 테넌트를 앱으로 병렬 프로비전 | C7: 해당 테넌트에서 읽고 B2B에서 사용자 초대 | C8: 필요에 따라 단일 IAM 및 B2B 사용자 | D9: 비 Azure AD IDP를 사용하는 DF |
---|---|---|---|---|---|---|---|---|---|
마이그레이션 작업 | 높음 | 보통 작업량 | 더 적은 작업량 | 낮은 작업량 | 낮은 작업량 | 없음 | None | None | 없음 |
배포 작업 | 작업 감소 | 보통 작업량 | 보통 작업량 | 보통 작업량 | 낮음 | 낮음 | 높음 | 높음 | 매우 높음 |
마이그레이션 중 최종 사용자에게 미치는 영향 | 높음 | 높음 | 중간 | 중간 | 중간 | 없음 | None | None | 없음 |
운영 활동 | 저렴한 비용 | 저렴한 비용 | 저렴한 비용 | 저렴한 비용 | 저렴한 비용 | 높음 | 높음 | 높음 | 매우 높음 |
개인 정보 및 데이터 기능(지리적 위치/데이터 경계) | 없음(지리적 위치 시나리오의 주요 장애물) | 까다로운 경우에도 격리 제한 | 온-프레미스에서 격리가 제한되지만 클라우드에서 격리되지 않음 | 온-프레미스에서 격리가 제한되지만 클라우드에서 격리되지 않음 | 온-프레미스에서 격리가 제한되지만 클라우드에서 격리되지 않음 | 온-프레미스 및 클라우드 모두에서 양호한 격리 | 온-프레미스 및 클라우드 모두에서 격리 제한 | 온-프레미스 및 클라우드 모두에서 격리 제한 | 온-프레미스 및 클라우드 모두에서 격리 |
격리(별도 위임 및 다른 관리자 모델 설정) 참고: 소스 시스템(HR)에 정의된 것과 동일함 | 가능하지 않음 | 가능 | 가능 | 가능 | 가능 | 매우 가능 | 매우 가능 | 매우 가능 | 가능 |
협업 기능 | 우수 | 우수 | 우수 | 우수 | 우수 | 불량 | 평균 | 평균 | 불량 |
지원되는 IT 관리자 모델(중앙 집중식 및 분리형) | 중앙 집중식 | 중앙 집중식 | 중앙 집중식 | 중앙 집중식 | 중앙 집중식 | 분산형 | 분산형 | 분산형 | 적극적 탈중앙화 |
제한 사항 | 격리 없음 | 제한된 격리 | 제한된 격리 | 제한된 격리 | 격리가 제한됩니다. 쓰기 저장 기능 없음 | Microsoft Online Services 앱에서는 작동하지 않습니다. 앱 기능에 크게 의존 | 앱이 B2B를 인식해야 함 | 앱이 B2B를 인식해야 함 | 앱이 B2B를 인식해야 합니다. 함께 작동하는 방식의 불확실성 |
테이블 세부 정보
- 직원 활동은 조직에서 솔루션을 구현하는 데 필요한 전문성과 추가 작업을 계측하고자 합니다.
- 운영 활동을 솔루션을 계속해서 실행하는 데 필요한 비용과 작업을 예측하고자 합니다.
- 개인 정보 및 데이터 기능은 솔루션이 지리적 위치 및 데이터 경계에 대한 지원을 허용하는지 보여 줍니다.
- 격리는 이 솔루션이 관리자 모델을 분리하거나 위임하는 기능을 제공하는지를 보여 줍니다.
- 협업 기능은 솔루션이 지원하는 협업 수준을 보여 주며, 더욱 통합된 솔루션은 더 높은 팀워크 충실도를 제공합니다.
- IT 관리자 모델은 해당 관리자 모델에 중앙 집중화가 필요한지 또는 분산화될 수 있는지를 보여 줍니다.
- 제한 사항: 유의미한 과제 이슈
다음 의사 결정 트리를 사용하여 해당 조직에 가장 적합한 시나리오를 결정할 수 있습니다.
이 문서의 나머지 부분에서는 다양한 옵션을 지원하는 시나리오 A-D 4가지를 간략하게 설명합니다.
이 옵션의 경우 Litware에는 ID 시스템(예: 중소기업)이 없거나 고객이 Litware의 인프라를 해제하려고 할 수 있습니다. 또는 Litware 직원이 Litware 앱 인증에 사용할 수 있도록 그대로 두고, Contoso의 일부로서 Litware 직원에게 새로운 ID를 부여합니다. 예를 들어 Litware 직원인 Alice Smith는 두 개의 ID(Alice@litware.com 및 ASmith123@contoso.com)를 가질 수 있습니다. 해당 ID는 서로 완전히 구별됩니다.
일반적으로 고객은 Litware 직원을 Contoso HR 시스템으로 가져옵니다. 이 옵션은 해당 직원이 계정 및 Contoso의 디렉터리와 앱에 대해 적절한 액세스 권한을 트리거합니다. 그러면 Litware 사용자는 새 Contoso ID를 가지게 되어 적절한 Contoso 앱에 대한 액세스 권한을 요청하는 데 사용할 수 있습니다.
때에 따라 단기간에 HR 시스템을 수렴하는 것이 불가능할 수 있습니다. 그 대신 고객은 해당 프로비전 시스템(예: MIM)을 연결하여 모든 HR 시스템을 읽을 수 있습니다. 이 다이어그램에서 상위 HR은 기존 Contoso 환경이고 두 번째 HR은 전체 인프라에 Litware가 추가된 것입니다.
또한, Microsoft Entra Workday 또는 SuccessFactors 인바운드를 사용하여 같은 시나리오를 사용할 수 있습니다. Contoso는 기존 Contoso 직원과 함께 Litware의 Workday HR 소스에서 사용자를 가져올 수 있습니다.
- IT 인프라가 감소하고 하나의 ID 시스템만 관리하며 HR 시스템을 제외하고 네트워크 연결 요구 사항이 없습니다.
- 일정한 최종 사용자 및 관리 환경
- Contoso 직원이 필요로 하는 Litware에서 발생한 모든 데이터를 Contoso 환경으로 마이그레이션해야 합니다.
- Contoso에 필요한 Litware의 Active Directory 또는Microsoft Entra 통합 앱을 Contoso 환경으로 다시 구성해야 합니다. 이 재구성에는 액세스에 사용하는 그룹 또는 앱 자체에 대한 잠재적인 구성 변경이 필요할 수 있습니다.
Litware에는 기존 Active Directory 기반 앱이 많이 있을 수 있으므로 Contoso는 Litware 직원이 자체 ID를 기존 AD에서 계속 유지하도록 할 수 있습니다. Litware 직원은 기존 ID를 사용하여 기존 리소스 및 Contoso 리소스를 인증합니다. 이 시나리오에서 Litware는 Microsoft Online Services에 클라우드 ID가 없습니다. Litware는 Microsoft Entra 고객이 아니거나, Litware의 클라우드 자산을 Contoso와 공유하지 않았거나, Contoso에서 Litware의 클라우드 자산을 Contoso 테넌트의 일부로 마이그레이션했습니다.
Contoso 및 Litware는 Active Directory 포리스트 트러스트를 사용하여 Active Directory 도메인을 연결할 수 있습니다. 이 트러스트를 통해 Litware 사용자는 Contoso의 Active Directory 통합 앱을 인증할 수 있습니다. 또한 Litware 사용자가 Contoso의 Microsoft Entra 통합 앱을 인증할 수 있도록 Microsoft Entra가 Litware의 Active Directory 포리스트에서 읽어 올 수도 있습니다. 이 배포 토폴로지에는 두 도메인 간에 네트워크 경로 설정 및 Litware 사용자와 Contoso Active Directory 통합 앱 간의 TCP/IP 네트워크 연결이 필요합니다. Contoso 사용자가 Litware AD 통합 앱(있는 경우)에 액세스할 수 있도록 양방향 트러스트를 설정하는 것도 간단합니다.
- 모든 Litware 직원은 Contoso의 Active Directory 또는 Microsoft Entra 통합 앱을 인증할 수 있으며, Contoso는 현재 AD 기반 도구를 사용하여 권한 부여를 관리할 수 있습니다.
- 한 포리스트에 도메인에 가입한 사용자와 다른 포리스트에 가입된 리소스 간에 TCP/IP 연결이 필요합니다.
- Contoso 포리스트의 Active Directory 기반 앱이 다중 포리스트를 인식해야 합니다.
고객은 다른 포리스트에서 읽도록 Microsoft Entra 커넥트를 구성할 수도 있습니다. 이 구성을 통해 Litware 사용자가 Contoso의 Microsoft Entra 통합 앱에 인증할 수 있지만 Contoso의 Active Directory 통합 앱에 대한 액세스 권한을 Litware 사용자에게 제공하지 않습니다. 해당 Contoso 앱은 Litware 사용자를 인식하지 못합니다. 이 배포 토폴로지에는 Microsoft Entra 커넥트와 Litware의 도메인 컨트롤러 간에 TCP/IP 네트워크 연결이 필요합니다. 예를 들어 Microsoft Entra 커넥트가 Contoso IaaS VM에 있는 경우 Litware의 네트워크에도 터널을 구축해야 합니다.
- 모든 Litware 직원은 Contoso의 Microsoft Entra 통합 앱을 인증할 수 있습니다.
- Contoso의 Microsoft Entra 커넥트와 Litware의 Active Directory 도메인 간에 TCP/IP 연결이 필요합니다.
- Litware 사용자가 Contoso의 Active Directory 기반 애플리케이션에 액세스할 수 있도록 허용하지 않습니다.
Microsoft Entra 커넥트 클라우드 프로비전은 네트워크 연결 요구 사항을 제거하지만 클라우드 동기화를 사용하여 지정된 사용자에게 Microsoft Entra에 대한 Active Directory를 하나만 연결할 수 있습니다. Litware 사용자는 Contoso의 Microsoft Entra 통합 앱을 인증할 수 있지만 Contoso의 Active Directory 통합 앱은 인증할 수 없습니다. 이 토폴로지에는 Litware와 Contoso의 온-프레미스 환경 간에 TCP/IP 연결이 필요하지 않습니다.
- 모든 Litware 직원은 Contoso의 Microsoft Entra 통합 앱을 인증할 수 있습니다.
- Litware 사용자가 Contoso의 AD 기반 애플리케이션에 액세스하도록 허용하지 않습니다.
Litware는 Microsoft Online Services 또는 Azure 고객이거나 사용하는 하나 이상의 Microsoft Entra ID 기반 앱이 있을 수 있습니다. 따라서 Contoso는 Litware 직원이 해당 리소스에 액세스할 수 있도록 자체 ID를 유지하도록 할 수 있습니다. Litware 직원은 기존 ID를 사용하여 기존 리소스 및 Contoso 리소스를 인증합니다.
이 시나리오는 다음과 같은 경우에 적합합니다.
- Litware에는 다른 테넌트로 마이그레이션 하는 데 비용이 많이 들거나 시간이 오래 걸리는 여러 Office 365 테넌트 등 광범위한 Azure 또는 Microsoft Online Services에 투자해 왔습니다.
- Litware는 향후 분리될 수도 있고 독립적으로 운영되는 파트너십일 수도 있습니다.
- Litware에는 온-프레미스 인프라가 없습니다.
한 가지 옵션은 각 Microsoft Entra ID에서 SSO를 독립적으로 제공하고 해당 디렉터리의 사용자를 대상 앱으로 프로비저닝하는 것입니다. 예를 들어 Contoso IT가 Salesforce와 같은 앱을 사용하는 경우 Litware에 동일한 Salesforce 구독에서 사용자를 만들 수 있는 관리 권한을 제공합니다.
- 사용자는 Contoso의 인프라를 변경하지 않고 기존 ID를 사용하여 앱을 인증할 수 있습니다.
- 페더레이션을 사용하는 경우 애플리케이션은 동일한 구독에 대해 여러 페더레이션 공급자를 지원해야 합니다.
- Office 또는 Azure와 같은 Microsoft 앱에는 불가능합니다.
- Contoso는 해당 Microsoft Entra ID에서 Litware 사용자에 대한 애플리케이션 액세스를 볼 수 없습니다.
Litware가 자체 테넌트를 실행하고 있는 경우 Contoso는 해당 테넌트에서 사용자를 읽고 B2B API를 통해 각 사용자를 Contoso 테넌트에 초대할 수 있습니다 (이 대량 초대 프로세스는 예들 들어 MIM 그래픽 커넥터를 통해 수행할 수 있습니다.) Contoso에도 Litware 사용자가 사용할 수 있도록 하려는 AD 기반 앱이 있는 경우 MIM은 Microsoft Entra 사용자의 UPN에 매핑하는 Active Directory에 사용자를 만들 수도 있으므로 앱 프록시가 Contoso의 Active Directory의 Litware 사용자를 대신하여 KCD를 수행할 수 있습니다.
그런 다음 Litware 직원이 Contoso 앱에 액세스하려는 경우 리소스 테넌트에 대한 액세스 할당을 사용하여 자신의 디렉터리를 인증하여 이 작업을 수행할 수 있습니다.
- Litware 사용자는 Contoso 앱을 인증할 수 있으며, Contoso는 자체 테넌트에서 해당 액세스를 제어합니다.
- Contoso 리소스에 대한 액세스 권한이 필요한 각 Litware 사용자에 대해 중복 계정이 필요합니다.
- 앱이 SSO에 대해 B2B를 지원해야 합니다.
일부 상황에서는 인수 후 조직이 단일 HR 플랫폼으로 수렴할 수 있지만 여전히 기존 ID 관리 시스템을 실행합니다. 이 시나리오에서 MIM은 사용자가 속한 조직의 일부에 따라 여러 Active Directory 시스템에 사용자를 프로비전할 수 있습니다. B2B를 계속 사용하여 사용자가 기존 디렉터리를 인증하고 통합 GAL을 갖도록 할 수 있습니다.
- Litware 사용자는 Contoso 앱을 인증할 수 있으며, Contoso는 자체 테넌트에서 해당 액세스를 제어합니다.
- Litware와 Contoso에는 통합 GAL이 있습니다.
- Litware의 Active Directory 또는 Microsoft Entra ID 변경 없음
- 사용자를 Litware의 Active Directory로 보내기 위해 Contoso의 프로비전을 변경하고 Litware의 도메인과 Contoso 도메인 간의 연결을 변경해야 합니다.
- 앱이 SSO에 대해 B2B를 지원해야 합니다.
마지막으로 Litware가 온-프레미스 또는 클라우드에서 다른 디렉터리 서비스를 사용하는 경우에도 Contoso IT는 Litware 직원이 인증하고 기존 ID를 사용하여 Contoso의 리소스에 대한 액세스 권한을 가질 수 있도록 구성할 수 있습니다.
이 시나리오에서 Litware에는 다음이 있다고 가정합니다.
- OpenLDAP 또는 SQL 데이터베이스와 같은 일부 기존 디렉터리 또는 Contoso와 정기적으로 공유할 수 있는 이메일 주소가 있는 사용자의 플랫 파일.
- SAML을 지원하는 PingFederate 또는 OKTAID와 같은 ID 공급자.
- Litware.com과 같이 공개적으로 라우팅된 DNS 도메인 및 해당 도메인에 이메일 주소가 있는 사용자
이 접근 방식에서 Contoso는 해당 도메인에 대한 테넌트에서 Litware의 ID 공급자로 직접 페더레이션 관계를 구성한 다음 디렉터리에서 Litware 사용자에 대한 업데이트를 정기적으로 읽어 Litware 사용자를 Contoso의 Microsoft Entra ID로 초대합니다. 이 업데이트는 MIM Graph 커넥터를 통해 수행할 수 있습니다. 또한 Contoso에 Litware 사용자가 사용할 수 있도록 하려는 Active Directory 기반 앱이 있는 경우, MIM은 Microsoft Entra 사용자의 UPN에 매핑하는 Active Directory에 사용자를 만들 수도 있으므로 앱 프록시가 Contoso의 Active Directory에서 Litware 사용자를 대신하여 KCD를 수행할 수 있습니다.
- Litware 사용자는 기존 ID 공급자를 사용하여 Contoso의 Microsoft Entra ID를 인증하고 Contoso의 클라우드 및 온-프레미스 웹앱에 액세스합니다.
- B2B 사용자 SSO를 지원하려면 Contoso 앱이 필요합니다.