Azure AD(Active Directory)
Azure AD
Azure AD는 Windows Server Active Directory와는 다르다. 대신, Windows AD 서버를 이미 사용하고 있는 경우, Azure AD에 연결해 디렉토리를 Azure로 확장할 수 있다.
Azure에서 '구독'은 청구 경계인 동시에 보안 경계이다. 가상 머신, 웹 사이트, DB 등의 리소스는 단일 구독에 연결된다. 각 구독에는 구독의 리소스에서 발생한 요금을 책임지는 단일 계정 '소유자'도 존재한다. 구독은 단일 Azure AD 디렉터리에 연결 된다. 여러 구독에서 동일한 디렉터리를 신뢰할 수 있지만 구독은 하나의 디렉터리만 신뢰할 수 있다. 여러 구독에 사용자와 그룹을 추가할 수 있기 때문에, 사용자가 구독에 리소스를 만들고 제어할 수 있다.
조직에는 하나의 기본 Azure AD 디렉터리가 연결되어 있다. 그러나 소유자는 테스트 등의 목적으로 별도의 디렉터리를 추가할 수 있다.
- Azure 구독은 청구 엔터티 및 보안 경계이다.
- Azure AD 디렉터리는 여러 구독과 연결할 수 있지만, 구독은 항상 단일 디렉터리에 연결된다.
- 하나의 조직에 둘 이상의 Azure AD 디렉터리가 있을 수 있다.
Azure AD 그룹
Azure AD 그룹을 사용하여 사용자를 구성하면, 권한을 간편하게 관리할 수 있다. 그룹을 사용하면 리소스 소유자가 각 구성원의 권한을 제공하는 대신, 그룹으로 권한을 할당할 수 있다.
Azure 리소스에 대한 액세스 제어
Azure AD는 일반적인 보안 시나리오를 해결하기 위한 기본 제공 역할을 한다.
- 소유자 - 액세스 권한을 다른 사용자에게 위임할 수 있는 권한을 포함하여 모든 리소스에 대한 권한을 갖는다.
- 참가자 - 모든 종류의 Azure리소스를 만들고 관리할 수 있지만, 다른 사용자에게 액세스 권한을 부여할 수는 없다.
- 읽기 권한 - 기존 Azure 리소스를 볼 수 있다.
Azure AD Connect를 사용하여 Azure AD에 Active Directory 연결
On-prem Windows Server Active Directory 솔루션을 사용하는 회사는 Azure AD Connect를 통해 기존 사용자 및 그룹과 AD를 통합할 수 있다. Azure AD Connect를 사용해 하이브리드 ID 환경에서 Azure AD와 통합된 SaaS Application의 공통 ID를 사용자에게 제공할 수 있다.
요약
- Azure AD는 클라우드 사용자 관리 허브역할을 한다.
- Single Sign-On 기능을 제공하여 편의성을 확대한다.
- On-prem (Windows Server Active Directory)와 통합되므로 생산성이 향상 된다.