Why?
왜 AD를 써야하는가?
: 중앙에서 계정을 관리하고, 인증/허가를 처리하기 위해서
AD를 이해하기 앞서 SSO에 대한 이해가 필요함
SSO(Sing Sign On)
한 번의 로그인으로 일정 기간 동안 여러 자원(계정)을 관리하기 위하여 사용된다.
대표적으로는 카카오, 네이버, 페이스북 등 소셜 통합로그인을 예로 들 수 있다.
이전에는 각각의 서비스(모바일게임, 카페, 쇼핑몰 등)를 이용하려면 각 홈페이지에서 매번 회원가입을 해주어야 했다. 하지만 카카오, 페이스북, 네이버 통합 로그인을 통해 쉽게 로그인하고 로그아웃할 수 있게 되었다.
여기서 나=중앙 , 소셜=자원/계정이라고 생각할 수 있다.
이처럼 계정하나(나)에 대한 모든 인프라(서비스)의 이용방식을 설계하는 것이 SSO의 주목적이다.
이와 같이 MicroSoft(Azuer)에서 중앙집중적으로 하나의 방식으로 계정을 관리하고 계정에 대한 여러 활동을 조율하는 기술이바로 Active Directory이다.
결론적으로...
Active Directory의 목적 : 계정에 대한 인증/허가 처리 모두 중앙에서 관리해야한다.
AD를 Deploy한다는 것 == 사내에 SSO가 가능한 환경을 만든다는 뜻과 같음
+ AD는 이기종장비(OS)간의 인증에 대한 확장성을 가짐 (=표준프로토콜 사용)
How?
그렇다면 어떻게 관리할 것인가?
Authentication , Authorization, Encryption
1. Authentication (= 인증)
: AD에서 계정과 암호를 통해 인증하는 것(관리자인지, 일반사용자인지, 게스트인지)
2. Authorization (= 허가)
Right (= 권한)
: 시스템 종료, 시스템 시간 변경, 감사 및 보안 로그 관리, 네트워크 엑세스
→ What To Do
Permission (= 사용권한)
: 폴더를 읽을 수 있다. 파일을 쓸 수 있다.
Windows의 Administrator계정은 Right와 Permission을 둘 다 가지고 있음-> 슈퍼 계정의 역할 수행
| 하나의 시나리오를 통한 정리 |
| A개체에 대한 Permission을 부여 |
| ↑ |
| A개체에 대한 Permission 부여는 A개체의 소유자만 할 수 있음 |
| ↑ |
| A개체의 소유자 추가 |
| ↑ |
| 소유자 추가 권한이 있는 사용자만 소유자 추가를 할 수 있음 |
그렇다면 실제로 애저에서는 어떻게 쓰일까?
Azure Portal을 통해 확인해보았다.
≪Permission≫
위의 이미지는 Azure Portal의 Azure Active Directory에서 사용자 추가를 했을 때의 화면이다.
사용자의 역할 종류를 보면 '관리자', '권한자'로 명칭 되어있지만, 실제 적용되는 범위와 기능을 보았을 때 Permission과 관련된 것을 확인할 수 있다.
≪Right≫
Right은 AD에서는 관리할 수 없다.
AIP(Azure Information Protection) 서비스에서 관리할 수 있다.
하지만 2022년 3월 31일을 마지막으로 서비스 지원이 종료되었다.
Azure Portal에서는 AIP 서비스가 중단되었지만, Microsoft 365에서 마이그레이션 하여 사용할 수 있음
3. Encryption
Symmetric Key (대칭키 암호화)
: 암호 - 복호하는 키가 같은 구조로 이루어져 있는 방식
Asymmetric Key (비대칭키 암호화)
- Public Key (암호화 키)
- Private Key (복호화 키)
예시) B가 A에게 파일을 보내야한다.
1. B는 A의 공개키를 받아온다.
2. 받아온 공개키를 통해 파일을 암호화한다.
3. 암호화된 파일을 A에게 보낸다.
4. A는 자신이 가지고 있는 개인키를 통해 파일을 복호화한다.
반대로 A가 개인키로 작업(암호화)한 파일을 보기 위해서는 A의 공개키를 통해 복호화할 수 있다.
PKI (Public Key Instructure) : 개인키와 공개키 방식을 제공하는 기술을 인증기반이라고 한다.
→ 공인인증서 등에서 활용됨
→ 보안측면에서는 비대칭키 암호화방식이 우세하나, 공개키를 매번 받아와야하고 대칭키 방식보다 요구하는 성능이 높다. https의 경우는 대칭키+비대칭키 방식을 혼합하여 사용된다.
참고 영상
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=3comsys&logNo=220944178342
[동영상] 액티브 디렉터리(AD, Active Directory)의 정석, 탄탄한 기초를 위해~!
출처 : MS 코알라 Active Directory 란 ? 아래 파트 1 ~ 7 링크를 누르면 동영상 강좌 시작... [동영상...
blog.naver.com
'Cloud > Azure' 카테고리의 다른 글
| Azure Virtual WAN - P2S (0) | 2022.04.24 |
|---|---|
| Azure Virtual Machine : 명칭과 시리즈 (0) | 2022.04.10 |
| Azure Fundamental : 구독 / 계정 / 인증 / 권한 / 리소스 그룹 / AAD (0) | 2022.02.15 |
| AD VS Azure AD (0) | 2022.02.10 |
| 1. AD (Active Directory)란 무엇인가?(1) (0) | 2022.01.21 |
