[인프라 솔루션] MS Azure | AAD(Azure Active Directory)

2020. 6. 30. 17:55노트/Cloud : 인프라

Azure Active Directory

    • 직원들이 로그인하여 리소스에 액세스할 수 있게 해주는 클라우드 기반 ID 및 액세스 관리 서비스

  • - 마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스의 기능

    (※ LDAP(Lightweight Directory Access Protocol) : 경량 디렉터리 액세스 프로토콜은 TCP/IP 위에서 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜)

  • 주 목적은 윈도우 기반의 컴퓨터들을 위한 인증 서비스를 제공하는 것

  • 주로 윈도우 환경에서 동일한 데이터베이스를 사용하여 다음을 비롯한 다양한 네트워크 서비스를 제공

  • X.500 : 전자 디렉터리 서비스를 전달하는 일련의 컴퓨터 네트워크 표준 , DAP -> But!! 굉장히 복잡함

    출처 : https://ldap.or.kr/ldap-a-to-z/

  • Office 365, Azure Portal, 수천개의 기타 SaaS 애플리케이션을 비롯한 외부 리소스

  • 자체 개발한 클라우드 앱과 함께 회사 네트워크와 인트라넷의 앱과 같은 내부 리소스

  • 각 컴퓨터의 계정,그룹,보안 정보 < = > (단일 보안정보로 만들어주는 것)   
  •  

Domain VS WorkGroup

  • Domain

    • 하나의 보완 단위, 하나의 Directory Service가 작용하는 범위
    • SSO(Single Sign On) : 한번 로그온으로 도메인 내 모든 서비스 사용가능
    • DC(Domain Controller)라는 Active Directory가 구현된 시스템 에서 인증(Authentication) -> 허가(Authorization)
    • 중앙화 된 관리(GPO) : 중앙에서 한번에 여러 컴퓨터에 정책을 내림
    • Server Manager > Local Server > Workgroup / Domain 설정 가능 
    • DC에 계정을 만든 후, Network 컴퓨터에 도메인 정보를 공유해서 보안 세팅 
    • <> 각자 컴퓨터에서 계정을 만들지 않음 

    cf ) ( ※ 인증(Authentication) : Credential(ID+PW) 확인, 허가 (Authorization) : 각 종 권한 제공

 

![image-20200701141406660](Azure Active Directory/image-20200701141406660.png)

  • WorkGroup
    • 각각의 시스템이 보안 단위 -> 각 컴퓨터의 인증과정 필요
    • 소규모 네트워크 환경에서 사용(20대 미만)
    • 각자의 시스템에서 인증처리(SAM 파일 : 계정 정보가 저장되는 파일)
    • Password가 변경되면 각각 컴퓨터에서 변경해주어야함 
  • DC ( Domain Controller ) 
    • Server manager > 우측상단 Manage > Add rule and feature > Next.

 

Active Directory 구성요소

  • Active Directory Domain Services(AD DS) :

    • 인증 + 허가 (모든 계정 정보를 가짐)

  • Active Directory Lightweight Domain Services(AD LDS) :

    • Directory Service의 간략한 정보를 저장, 주로 DMZ에서 사용

  • Active Directory Certification Services(AD CS) :

    • 인증서 배포

  • Active Directory Rights Management Services(AD RMS) :

    • 각 종 권한 관리

  • Active Directory Federation Services(AD FS) :

    • 다른회사와 SSO(Single Sign On) 하는 것
    • ex ) A회사 사원이 B회사 공유서버 접근 시에 B회사에 접근 권한을 받아야 하나, fedoration service를 받게 되면 A라는 회사가 B라는 회사에 별도의 인증 없이 접근 가능 
    • 다른회사의 공유폴더에 접근하려면 그 회사 DC에서 새로운 계정을 만들어야 함 하지만 Federation을 통해 간단히 해결 가능
  • Access Tokens

파일 접속할 때, 그 계정 사용자의 SID , Group SID, 시스템 할당 권한,  Action을 취할 때, (시스템 종료 등) 어떤 권한이 부여되어있는지 확인 

 

AAD 사용

  1. AAD 접속
    Azure>All services >Categories > Identity > Azure Active Directory 

  1. 디렉터리 만들기

  1. 계정 확인

  1. 사용자 확인

  1. 새사용자 추가

  1. 사용자 상세정보 입력

  1. 그룹 확인

  1. 새 그룹 추가

  • Office 365 - 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한

    액세스를 멤버에게 부여하여 협업 기회를 제공

  1. 소유자 추가

 

 

 

 

'노트 > Cloud : 인프라' 카테고리의 다른 글

[인프라 솔루션] MS Azure | Azure VPN  (0) 2020.07.01
[인프라 솔루션] MS Azure | Azure LoadBalancer (로드밸런서)  (0) 2020.06.30
[인프라 솔루션] MS Azure | Azure DNS 서버  (0) 2020.06.30
[인프라 솔루션] MS Azure | Azure Web App (웹앱)  (0) 2020.06.25
[인프라 솔루션] MS Azure | Azure Storage (스토리지)  (0) 2020.06.24

관련글

댓글 0

티스토리툴바