조직 역할 모델을 Microsoft Entra ID Governance로 마이그레이션하여 액세스 제어
RBAC(역할 기반 액세스 제어)는 사용자 및 IT 리소스를 분류하기 위한 프레임워크를 제공합니다. 이 프레임워크를 통해 해당 관계 및 해당 분류에 따라 적합한 액세스 권한을 명시적으로 설정할 수 있습니다. 예를 들어 사용자 작업 제목 및 프로젝트 할당을 지정하는 사용자 특성에 할당하면 사용자가 특정 프로젝트에 기여하기 위해 필요한 사용자 작업 및 데이터에 필요한 도구에 대한 액세스 권한을 부여받을 수 있습니다. 사용자가 다른 작업 및 다른 프로젝트 할당을 맡을 때 사용자의 직위 및 프로젝트를 지정하는 특성을 변경하면 사용자의 이전 위치에만 필요한 리소스에 대해 액세스가 자동으로 차단됩니다.
Microsoft Entra ID에서 여러 가지 방법으로 역할 모델을 사용하여 ID 거버넌스를 통해 대규모로 액세스를 관리할 수 있습니다.
- 액세스 패키지를 사용하여 "영업 담당자"와 같은 조직의 조직 역할을 나타낼 수 있습니다. 조직 역할을 나타내는 액세스 패키지에는 여러 리소스에서 영업 담당자에게 일반적으로 필요할 수 있는 모든 액세스 권한이 포함됩니다.
- 애플리케이션은 자체 역할을 정의할 수 있습니다. 예를 들어, 판매 애플리케이션이 있고 해당 애플리케이션의 매니페스트에 "영업 사원" 앱 역할이 포함된 경우 액세스 패키지의 앱 매니페스트에 있는 해당 역할을 포함할 수 있습니다. 사용자가 여러 애플리케이션별 역할을 동시에 가질 수 있는 시나리오에서 애플리케이션은 보안 그룹을 사용할 수도 있습니다.
- 관리 액세스를 위임하는 데 역할을 사용할 수 있습니다. 판매에 필요한 모든 액세스 패키지에 대한 카탈로그가 있는 경우 카탈로그별 역할을 할당하여 해당 카탈로그를 담당할 사람을 할당할 수 있습니다.
이 문서에서는 역할 정의를 Microsoft Entra ID로 마이그레이션하여 액세스를 적용할 수 있도록 권한 관리 액세스 패키지를 사용하여 조직 역할을 모델링하는 방법을 설명합니다.
조직 역할 모델 마이그레이션
다음 표에서는 다른 제품에서 익숙할 수 있는 조직 역할 정의의 개념이 권한 관리 기능에 어떻게 대응되는지 보여 줍니다.
조직 역할 모델링의 개념 | 권한 관리의 표현 |
---|---|
위임된 역할 관리 | 카탈로그 작성자에게 위임 |
하나 이상의 애플리케이션에서 사용 권한 컬렉션 | 리소스 역할을 사용하여 액세스 패키지 만들기 |
역할이 제공하는 액세스 기간 제한 | 만료 날짜가 되도록 액세스 패키지의 정책 수명 주기 설정 설정 |
역할에 대한 개별 할당 | 액세스 패키지에 대한 직접 할당 만들기 |
속성에 따라 사용자에게 역할 할당(예: 부서) | 액세스 패키지에 자동 할당 설정 |
사용자는 역할을 요청하고 승인할 수 있음 | 액세스 패키지를 요청할 수 있는 사용자에 대한 정책 설정 구성 |
역할 멤버의 액세스 재인증 | 액세스 패키지 정책에서 되풀이 액세스 검토 설정 설정 |
역할 간 직무 분리 | 둘 이상의 액세스 패키지를 호환되지 않는 것으로 정의 |
예를 들어 조직에는 다음 표와 유사한 기존 조직 역할 모델이 있을 수 있습니다.
역할 이름 | 역할에서 제공하는 권한 | 역할에 자동 할당 | 역할에 요청 기반 할당 | 직무 분리 확인 |
---|---|---|---|---|
판매 직원 | 판매 팀 구성원 | 예 | 아니요 | 없음 |
판매 솔루션 관리자 | 판매 직원의 권한 및 Sales 애플리케이션의 솔루션 관리자 앱 역할 | 없음 | 판매 직원이 요청할 수 있고 관리자 승인 및 분기별 검토가 필요함 | 요청자는 판매 계정 관리자가 될 수 없습니다. |
판매 계정 관리자 | 판매 직원의 권한 및 Sales 애플리케이션의 계정 관리자 앱 역할 | 없음 | 판매 직원이 요청할 수 있고 관리자 승인 및 분기별 검토가 필요함 | 요청자는 판매 솔루션 관리자일 수 없습니다. |
판매 지원 | 판매 직원과 동일한 권한 | 없음 | 판매 직원이 아닌 직원이 요청할 수 있고 관리자 승인 및 분기별 검토가 필요함 | 요청자는 판매 직원이 될 수 없습니다. |
4개의 액세스 패키지가 포함된 액세스 패키지 카탈로그로 Microsoft Entra ID Governance에 표시될 수 있습니다.
액세스 패키지 | 리소스 역할 | 정책 | 호환되지 않는 액세스 패키지 |
---|---|---|---|
판매 직원 | 판매 팀 구성원 | 자동 할당 | |
판매 솔루션 관리자 | Sales 애플리케이션의 솔루션 관리자 앱 역할 | 요청 기반 | 판매 계정 관리자 |
판매 계정 관리자 | Sales 애플리케이션의 계정 관리자 앱 역할 | 요청 기반 | 판매 솔루션 관리자 |
판매 지원 | 판매 팀 구성원 | 요청 기반 | 판매 직원 |
다음 섹션에서는 Microsoft Entra ID 및 Microsoft Entra ID Governance 아티팩트를 만들어 동등한 조직 역할 모델 액세스를 구현하는 마이그레이션 프로세스를 간략하게 설명합니다.
조직 역할에서 Microsoft Entra ID에 대해 참조되는 권한이 있는 앱 연결
조직 역할을 사용하여 비 Microsoft SaaS 앱, 온-프레미스 앱 또는 자체 클라우드 앱에 대한 액세스를 제어하는 권한을 할당하는 경우 애플리케이션을 Microsoft Entra ID에 연결해야 합니다.
조직 역할을 나타내는 액세스 패키지가 애플리케이션의 역할을 역할에 포함할 수 있는 권한으로 참조할 수 있도록 하려면 여러 역할이 있고 SCIM과 같은 최신 표준을 지원하는 애플리케이션의 경우 Microsoft Entra ID와 애플리케이션을 통합하고 애플리케이션의 역할이 애플리케이션 매니페스트에 나열되어 있는지 확인해야 합니다.
애플리케이션에 단일 역할만 있는 경우에도 Microsoft Entra ID와 애플리케이션을 통합해야 합니다. SCIM을 지원하지 않는 애플리케이션의 경우 Microsoft Entra ID는 사용자를 애플리케이션의 기존 디렉터리 또는 SQL 데이터베이스에 쓰거나 AD 그룹에 AD 사용자를 추가할 수 있습니다.
앱 및 조직 역할의 사용자 범위 지정 규칙에 사용되는 Microsoft Entra 스키마 채우기
역할 정의에 “이러한 특성 값을 가진 모든 사용자가 역할에 자동으로 할당됨” 또는 “이러한 특성 값을 가진 사용자가 요청할 수 있음” 형식의 문이 포함된 경우 해당 특성이 Microsoft Entra ID에 있는지 확인해야 합니다.
Microsoft Entra 스키마를 확장한 다음, 온-프레미스 AD, Microsoft Entra Connect를 통해 또는 Workday 또는 SuccessFactors와 같은 HR 시스템에서 이러한 특성을 채울 수 있습니다.
위임용 카탈로그 만들기
역할의 지속적인 유지 관리가 위임되는 경우 위임할 조직 각 부분에 대한 카탈로그를 만들어 액세스 패키지 관리를 위임할 수 있습니다.
만들 카탈로그가 여러 개 있는 경우 PowerShell 스크립트를 사용하여 각 카탈로그를 만들 수 있습니다.
액세스 패키지 관리를 위임할 계획이 없는 경우 액세스 패키지를 단일 카탈로그에 유지할 수 있습니다.
카탈로그에 리소스 추가
이제 카탈로그를 식별했으므로 조직 역할을 나타내는 액세스 패키지에 포함될 애플리케이션, 그룹 또는 사이트를 카탈로그에 추가합니다.
리소스가 많은 경우 PowerShell 스크립트를 사용하여 각 리소스를 카탈로그에 추가할 수 있습니다. 자세한 내용은 PowerShell을 사용하여 단일 역할이 있는 애플리케이션에 대한 권한 관리에서 액세스 패키지 만들기를 참조하세요.
조직 역할 정의에 해당하는 액세스 패키지 만들기
각 조직 역할 정의는 해당 카탈로그의 액세스 패키지로 나타낼 수 있습니다.
PowerShell 스크립트를 사용하여 카탈로그에서 액세스 패키지를 만들 수 있습니다.
액세스 패키지를 만든 후에는 카탈로그에 있는 리소스의 역할 중 하나 이상을 액세스 패키지에 연결합니다. 이는 조직 역할의 권한을 나타냅니다.
또한 개별 조직 역할 할당이 이미 있는 사용자를 추적하는 데 사용할 수 있는 액세스 패키지의 일부로 직접 할당에 대한 정책을 만듭니다.
기존 개별 조직 역할 할당에 대한 액세스 패키지 할당 만들기
일부 사용자가 이미 조직 역할 멤버 자격을 가지고 있고 자동 할당을 통해 받지 못할 경우 해당 액세스 패키지에 대한 직접 할당을 만들어야 합니다.
할당이 필요한 사용자가 많은 경우 PowerShell 스크립트를 사용하여 각 사용자를 액세스 패키지에 할당할 수 있습니다. 이렇게 하면 사용자가 직접 할당 정책에 연결됩니다.
자동 할당을 위해 해당 액세스 패키지에 정책 추가
조직 역할 정의에 해당 특성에 따라 자동으로 액세스를 할당하고 제거하는 사용자의 특성에 기반한 규칙이 포함된 경우 자동 할당 정책을 사용하여 이를 나타낼 수 있습니다. 액세스 패키지에는 최대 하나의 자동 할당 정책이 있을 수 있습니다.
각각 역할 정의가 있는 역할 정의가 많은 경우 PowerShell 스크립트를 사용하여 각 액세스 패키지에 각 자동 할당 정책을 만들 수 있습니다.
업무 분리를 위해 액세스 패키지를 호환되지 않는 것으로 설정
사용자에게 이미 다른 조직 역할이 있을 때 사용자가 조직 역할을 맡지 못하게 하는 업무 분리 제약 조건이 있는 경우 해당 액세스 패키지 조합을 호환되지 않는 것으로 표시하여 사용자가 권한 관리에서 액세스를 요청하지 못하도록 할 수 있습니다.
다른 액세스 패키지와 호환되지 않는 것으로 표시될 각 액세스 패키지에 대해 PowerShell 스크립트를 사용하여 액세스 패키지를 호환되지 않는 것으로 구성할 수 있습니다.
사용자가 요청할 수 있도록 패키지에 액세스하는 정책 추가
아직 조직 역할이 없는 사용자가 역할을 요청하고 맡을 수 있도록 허용된 경우 사용자가 액세스 패키지를 요청할 수 있도록 권한 관리를 구성할 수도 있습니다. 액세스 패키지에 다른 정책을 추가할 수 있으며 각 정책에서 요청할 수 있는 사용자와 승인해야 하는 사용자를 지정합니다.
액세스 패키지 할당 정책에서 액세스 검토 구성
조직 역할에 멤버 자격을 정기적으로 검토해야 하는 경우 요청 기반 및 직접 할당 정책에서 되풀이 액세스 검토를 구성할 수 있습니다.