이 기사에서는 Active Directory (AD), Azure Active Directory (Azure AD)를 살펴보고 이 둘이 어떻게 다르며 어떻게 보완될 수 있는지를 설명할 것입니다. 또한 이러한 Microsoft 솔루션을 주요 대체 신원 제공자들과 비교할 것입니다.
이 기사는 체계적인 자료를 제공하는 것을 목적으로 하지 않으며 이러한 서비스를 배포하는 방법에 대한 단계별 지침을 제공하지 않을 것이지만 Petri는 그러한 주제를 다루는 훌륭한 기사들이 있습니다.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
Active Directory는 20년 이상 전에 출시된 이후로 대다수의 조직에서 널리 사용되어 왔습니다 – 제조사 출시일은 1999년 12월 15일이고 일반 공급은 2000년 2월 17일에 이루어졌습니다.
사용자들은 이것을 알 필요도 없이 Active Directory에 익숙해져 있습니다: 그들은 단지 클라이언트 장치를 켜고, 사용자 이름 (일반적으로 사전에 캐시된 경우도 많지만 항상 그렇지는 않음)과 비밀번호를 입력하고 일상 업무 활동을 계속합니다. Active Directory는 설정 및 유지 관리를 원하는 대로 설정하고 유지하는 경우 간단하고 빠르며 안전하며 안전합니다.
A central identity provider
Active Directory는 일반적으로 여러 포리스트와 도메인을 걸쳐 중앙 ID 제공자로 작동하며, 사용자가 있는 곳도 있고 자원만 있는 곳도 있습니다. 사용자 및 컴퓨터(클라이언트 워크스테이션 및 서버)를 관리하지만 모바일 장치나 태블릿(iOS 및 Android) 또는 SaaS(소프트웨어 서비스) 앱을 네이티브로 관리하지는 않습니다.
Active Directory를 직접 호스팅하고 구성하며 유지 보수하고 보안, 복제, 백업, 고가용성, 확장성 등을 관리해야 합니다. 간단한 두 개의 도메인 컨트롤러(DC) 네트워크일 수도 있고, 수십 개의 위치 전체에 걸친 100개가 넘는 DC가 있을 수도 있습니다.
DC는 이상적으로 디렉터리 관련 서비스뿐만 아니라 DNS 및 아마도 DHCP를 실행하는 것이 좋습니다. 성능 및 (특히) 보안 측면에서 웹이나 데이터베이스 서버와 같은 다른 애플리케이션을 실행하지 않는 것이 좋은 실천 방법입니다. 또한 다시 부팅을 위한 다운타임을 예약하는 데 도움이 됩니다.
Active Directory 라이선스
클라우드 버전과 달리, Active Directory에는 복잡한 라이선싱 모델이 없습니다. 도메인 컨트롤러를 라이선스를 적용해야 하며, 이는 항상 Windows Server 머신이며 이상적으로는 최근 버전입니다. Windows Server 버전 2022가 2021년 8월에 출시되었음을 상기해주세요.
자체 데이터 센터나 통신실에서 호스팅하는 경우에는 라이선스가 부여된 하드웨어에서 무제한 인스턴스를 실행할 수 있는 가상화된 데이터 센터로 의도된 Windows Server Datacenter 에디션을 구매할 수 있습니다. 이 주제에 대해 조사하고 라이선싱 전문가와 상의하도록 하십시오. 많은 사람들이 이를 잘못 알고 라이선스 계약을 무의도하게 위반하는 경우가 많습니다.
Azure Active Directory란?
Azure Active Directory는 단일 서명(SSO),다중 요소 인증(MFA) 및 조건부 액세스(CA)를 사실상 즉시 제공하는 기업 신원 서비스입니다. 공정하게 말해서 일부 구성 작업이 필요하지만(테넌트 소유자 또는 관리자인) 당신이 직접 호스팅하는 것보다 Azure AD에서 이러한 서비스를 구현하는 것이 훨씬 간단하고 명확합니다.
귀하의 사용자는 기업 소유 및 관리 기기 또는 회사가 본인 기기 사용 (BYOD) 정책을 설정한 경우 개인 기기, 길게 전원을 켜야 합니다. 그런 다음 사용자는 자신의 사용자 이름과 암호를 입력해야 하며 희망적으로 MFA 도전 과제(문자 메시지 도전이라도 없는 것보다는 나을 것입니다)에 대한 프롬프트를 받고 허용된 것만 사용할 수 있게 됩니다.
SSO를 통해 사용자들은 외부 호스팅 앱(인사, 재무 등)을 사용하고, 교육에 접속하며, 매번 자격 증명을 입력하지 않아도 됩니다. 이는 생산성, 보안 및 사용자 만족도를 향상시킬 것입니다. 사용자들이 여러 개의 사용자 이름과 비밀번호를 관리하지 않아도 된다는 사실만으로도 크랭키한 IT 직원의 말을 빌어 생명 구원자입니다.
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD는 Office 365와 같은 여러 Microsoft의 클라우드 서비스에 완전히 통합되어 사용자 및 기기를 위한 중앙 디렉터리를 제공합니다. 또한 다른 테넌트 및 외부 사용자와의 협업을 쉽게 할 수 있습니다.
Azure AD는 모바일 기기(또한 iOS 및 Android에 대한 네이티브 지원이 있음) 및 SaaS 앱을 관리하는 데 뛰어납니다. 비즈니스 관리, 협업, 재무 등 다양한 범주의 앱과 매끄러운 통합을 제공합니다. 더 많은 예시를 보려면 Azure Marketplace의 Microsoft Azure Active Directory 섹션을 확인해보세요.
마이크로소프트는 Free라고 불리는 Azure AD의 무료 버전을 제공하지만, Office 365 apps, Premium P1, Premium P2와 같이 기능 내용과 가격이 다른 세 가지 에디션도 있습니다. 마이크로소프트의 클라우드 서비스인 Azure, Office 365, Dynamics 365, Intune, Power Platform 등에 가입하면 Azure AD의 프리 티어 사용자가 됩니다.
예를 들어, 회사에서 사용자 비밀번호 재설정에 얼마나 많은 시간을 소비하는지 고려해 보십시오. 자가 서비스 비밀번호 재설정(SSPR) 기능만으로도 금융 담당자에게 프리미엄 라이선스를 정당화하는 충분한 이유가 될 수 있습니다. 더 자세한 내용은 마이크로소프트의 How it works: Azure AD self-service password reset를 확인하십시오.
프리미엄 기능을 자세히 살펴보고 원하는지 또는 필요한지, 그리고 프리미엄 요금이 지불할 가치가 있는지 결정해야 합니다. 저는 마이크로소프트 라이선스를 판매하려는 것이 아니지만, 거의 매일 주요 조직이 해킹당하며 추가 기능에 지불하는 것이 몇 가지 상황에서는 여러분의 직장을 유지하고 회사를 언론에 알리지 않게 할 수도 있습니다.
Microsoft의 Azure Active Directory (Azure AD) 요금 사이트를 확인하여 Azure AD 요금에 대한 개요를 파악할 수 있으며, 또한 서로 다른 기능에 대해 더 자세히 알아보기 위해 Azure Active Directory Premium P1 vs. P2: 기능 비교 기사를 방문해도 됩니다.
Active Directory와 Azure Active Directory를 함께 사용하기
우리가 두 가지 주요 주제를 다루었고 Active Directory와 Azure Active Directory 간의 차이를 이해했다면, 어떻게 가장 잘 함께 사용할지 알아봅시다.
Azure AD Connect
마이크로소프트의 Azure AD Connect는 온프레미스 활성 디렉터리에서 사용자와 같은 객체를 클라우드 기반의 Azure AD로 동기화하여 하이브리드 ID를 생성할 수 있게 합니다.
암호 해시 동기화 (PHS)를 사용하면 Azure AD Connect가 사용자의 암호의 해시의 해시를 동기화하고 패스스루 인증 (PTA), 활성 디렉터리 연합 서비스 (AD FS) 등을 활성화할 수 있습니다. 설정은 소규모 조직에 대해 매우 간단할 수 있으며 더 복잡한 환경에 대해서는 꽤 복잡할 수 있습니다.
마이크로소프트는 2022년 8월 31일부터 Azure AD Connect 버전 1.x를 폐기하고, 일부 이전 버전 2.x 동기화 도구도 2023년 3월에 지원 종료됩니다. 현재 어떤 Azure AD Connect 버전이 지원되고 있는지 별도의 게시물에서 자세히 알아볼 수 있습니다.
Active Directory Federation Services (AD FS)
AD FS는 SSO ID 서비스로, 조직 외부의 파트너와 ID 정보를 공유할 수 있습니다. AD FS는 클레임 기반 액세스 제어 인증을 사용합니다.
AD FS는 여전히 널리 사용되고 있지만, 특히 더 성숙하고 더 큰 조직에서 마이크로소프트는 이제 이를 더 이상 사용되지 않는 서비스로 간주합니다. 명확히 하자면, 마이크로소프트는 그것을 직접 폐기한 것으로 부르지 않지만 최근 추세는 이러한 진술을 뒷받침합니다.
AD FS는 온프레미스 인프라에 상당한 투자와 적절한 계획이 필요하며, 외부 파트너에 대한 매우 영향력 있는 의존성이 있습니다. 파트너가 설정을 변경하면(좋은 이유, 나쁜 이유 또는 아무 이유 없이) 즉시 환경을 파괴하는 문제가 발생할 수 있습니다. 저는 AD FS를 여러 번 성공적으로 사용해 왔지만, 요즘은 새로운 설정이나 기존 설정에 가볍게 추천하지 않습니다.
Azure Active Directory Domain Services (AADDS)
Azure Active Directory Domain Services (AADDS)는 마이크로소프트의 디렉터리 서비스 패밀리에 최근 추가된 것입니다. AADDS는 마이크로소프트의 관리형 Active Directory 제공물로 다시 한 번 Azure 클라우드에 완전히 호스팅됩니다.
AADDS의 주요 장점 중 하나는 현대적인 인증 방법을 사용할 수 없는 레거시 애플리케이션을 클라우드에서 실행할 수 있다는 점입니다. 사용자들이 내면을 알고 변화에 저항하며 여전히 중요한 HR 또는 재무 애플리케이션은 대체할 준비를 할 동안 사용할 수 있게 됩니다. 이러한 레거시 애플리케이션을 온프레미스 환경에서 Azure 클라우드에 관리되는 AADDS 도메인으로 이전할 수 있으며 클라우드에서 도메인을 직접 관리할 필요가 없습니다.
자체 Active Directory를 실행하는 것에 비해 일부 제한 사항이 있습니다: 그룹 정책(GPO)은 온프레미스 도메인에서 관리되는 도메인으로 동기화되지 않습니다. 확립된 환경에서는 GPO가 많은 작업을 처리하므로 이는 상당한 문제가 될 수 있습니다.
동일한 것이 조직 단위(organizational units 또는 OUs)에도 해당됩니다. 이것들도 마찬가지로 이동되지 않습니다. 추가 정보는 Microsoft의 Azure Active Directory Domain Services의 관리 도메인에서 객체 및 자격 증명이 동기화되는 방법을 참조하세요.
제 3자 신원 제공자
귀하의 개별 요구 사항에 따라 Azure AD 이외의 다른 신원 제공자를 고려해야 할 수도 있습니다. 이미 사용 중이거나 충분히 만족스러운 다른 신원 제공자가 있을 수도 있고, 추가적인 보안 계층을 원할 수도 있습니다. 규정 준수도 종종 인프라의 나머지 부분과 신원 제공자를 분리하는 이유가 됩니다.
Azure AD와 함께 제삼자 신원 제공 업체를 사용하는 것도 가능합니다. 모든 주요 공급업체는 통합 가이드를 게시하고 귀사의 배포를 지원하기를 기꺼이 할 것이며, 특히 귀사를 고객으로 유지하는 것이 그들의 최선의 이익이기 때문입니다. 이 공간에서의 주요 공급업체 중 일부는 Okta, PingIdentity, OneLogin, Auth0, ZScaler, CyberArk 등이 있습니다.
결론
디렉터리 서비스 영역에서 Microsoft는 대부분 또는 모든 가능한 시나리오에 대응합니다. 점차 희귀해지고 있는 순수 온프레미스 환경도 단순히 Active Directory만으로 충분히 작동할 것입니다.
클라우드 중심 조직의 분산된 직원들은 개인 또는 회사 소유의 기기를 사용하여 연결하고 온프렘 및 클라우드 기반 SaaS 리소스에 액세스할 수 있도록 하는 것이 Azure AD를 통해 더 나은 서비스를 받을 것입니다. 이러한 노출로 인해 보안에 더 많은 투자가 필요할 것입니다.
하나의 솔루션이 모든 요구 사항을 충족시키지는 않습니다. Active Directory와 Azure AD 간 하이브리드 ID 설정은 많은 환경에서 가장 명백한 선택일 것입니다. 마지막으로, 마이크로소프트의 관리되는 AADDS 및 모든 제3자 ID 제공업체를 일축해서는 안 됩니다.
관련 기사: