서비스 주체 탐색

  • 3분

ID 및 액세스 관리 기능을 Microsoft Entra ID에 위임하려면 애플리케이션을 Microsoft Entra 테넌트에 등록해야 합니다. Microsoft Entra ID로 애플리케이션을 등록하면 Microsoft Entra ID와 통합할 수 있는 애플리케이션에 대한 ID 구성이 만들어집니다. Azure Portal에 앱을 등록하는 경우 다음 사항을 선택합니다.

  • 단일 테넌트: 테넌트에서만 액세스할 수 있습니다.
  • 다중 테넌트: 다른 테넌트에서 액세스할 수 있습니다.

포털에서 애플리케이션을 등록하는 경우 애플리케이션 개체(전역적으로 고유한 앱 인스턴스) 및 서비스 주체 개체는 홈 테넌트에 자동으로 만들어집니다. 앱의 전역적으로 고유한 ID(앱 또는 클라이언트 ID)도 있습니다. 그런 다음, 포털에서 비밀 또는 인증서 및 범위를 추가하여 앱이 작동하도록 하고, 로그인 대화 상자에서 앱의 브랜딩을 사용자 지정하는 등의 작업을 수행할 수 있습니다.

참고

Azure PowerShell, Azure CLI, Microsoft Graph, 기타 도구를 사용하여 테넌트에서 서비스 사용자 개체를 생성할 수도 있습니다.

애플리케이션 개체

Microsoft Entra 애플리케이션의 범위는 하나뿐인 애플리케이션 개체로 지정됩니다. 애플리케이션 개체는 애플리케이션이 등록된 Microsoft Entra 테넌트(애플리케이션의 “홈” 테넌트라고도 함)에 있습니다. 애플리케이션 개체는 템플릿 또는 청사진으로 사용되어 하나 이상의 서비스 주체 개체를 만듭니다. 애플리케이션이 사용되는 모든 테넌트에 서비스 사용자가 생성됩니다. 개체 지향 프로그래밍의 클래스와 유사하게 애플리케이션 개체에는 생성된 모든 서비스 사용자(또는 애플리케이션 인스턴스)에 적용되는 일부 정적 속성이 있습니다.

애플리케이션 개체는 애플리케이션의 세 가지 측면을 설명합니다.

  • 서비스가 애플리케이션에 액세스하기 위해 토큰을 발급하는 방법.
  • 애플리케이션이 액세스해야 할 수 있는 리소스입니다.
  • 애플리케이션이 수행할 수 있는 작업입니다.

Microsoft Graph 애플리케이션 엔터티는 애플리케이션 개체의 속성에 대한 스키마를 정의합니다.

서비스 주체 개체

Microsoft Entra 테넌트로 보호되는 리소스에 액세스하려면 액세스를 요청하는 엔터티가 보안 주체로 표시되어야 합니다. 사용자(사용자 주체) 및 애플리케이션(서비스 주체) 둘 다 마찬가지입니다.

보안 주체는 Microsoft Entra 테넌트의 사용자/애플리케이션에 대한 액세스 정책 및 권한을 정의합니다. 이를 통해 로그인 동안의 사용자/애플리케이션의 인증 및 리소스 액세스 동안의 권한 부여 같은 핵심 기능이 허용됩니다.

서비스 사용자 유형은 다음 3가지입니다.

  • 애플리케이션 - 이 서비스 사용자 유형은 단일 테넌트 또는 디렉터리에 있는 전역 애플리케이션 개체의 로컬 표현 또는 애플리케이션 인스턴스입니다. 서비스 주체는 애플리케이션이 사용되는 각 테넌트에 만들어지고 전역적으로 고유한 앱 개체를 참조합니다. 서비스 사용자 개체는 앱이 특정 테넌트에서 실제로 수행할 수 있는 작업, 앱에 액세스할 수 있는 사용자 및 앱이 액세스할 수 있는 리소스를 정의합니다.

  • 관리 ID - 이 서비스 사용자 유형은 관리 ID를 나타내는 데 사용합니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 사용할 애플리케이션의 ID를 제공합니다. 관리 ID를 사용할 경우 해당 관리 ID를 나타내는 서비스 사용자가 테넌트에 만들어집니다. 관리 ID를 나타내는 서비스 사용자에게 액세스 및 사용 권한을 부여할 수는 있으나 직접 업데이트하거나 수정할 수는 없습니다.

  • 레거시 - 이 서비스 사용자 유형은 레거시 앱(앱 등록 도입 전에, 또는 레거시 환경을 통해 만들어진 앱)을 나타냅니다. 레거시 서비스 주체에는 다음이 포함될 수 있습니다.

    • credentials
    • 서비스 사용자 이름
    • 회신 URL
    • 권한 있는 사용자가 편집할 수 있지만 연결된 앱 등록이 없는 기타 속성입니다.

애플리케이션 개체와 서비스 사용자 간의 관계

애플리케이션 개체는 모든 테넌트에서 사용하기 위한 애플리케이션에 대한 글로벌 대표로 간주되고, 서비스 사용자는 특정 테넌트에서 사용하기 위한 로컬 대표로 간주됩니다. 애플리케이션 개체는 해당 서비스 주체 개체 만들기에 사용하기 위해 공통의 기본 속성이 파생되는 템플릿으로 제공됩니다.

애플리케이션 개체는 다음과 같은 속성을 갖습니다.

  • 소프트웨어 애플리케이션과 1:1 관계
  • 해당 서비스 주체 개체와의 일대다 관계입니다.

애플리케이션이 사용될 각 테넌트에 서비스 주체를 만들어서 테넌트가 보호하는 리소스에 대한 로그인 및/또는 액세스를 위한 ID를 설정할 수 있어야 합니다. 단일 테넌트 애플리케이션에는 해당 홈 테넌트에 하나의 서비스 사용자만 있으며 애플리케이션 등록 중에 생성하고 동의합니다. 다중 테넌트 애플리케이션에도 해당 테넌트의 사용자가 사용을 동의한 각 테넌트에 생성된 하나의 서비스 주체가 있습니다.