Windows 인증 - Microsoft Entra ID를 사용하는 Kerberos 제한 위임

서비스 원칙 이름을 기반으로 KCD(Kerberos 제한 위임)는 리소스 간에 제한된 위임을 제공합니다. 도메인 관리자가 위임을 만들어야 하며 단일 도메인으로 제한됩니다. 리소스 기반 KCD를 사용하여 Active Directory 포리스트 내의 여러 도메인에 사용자가 있는 웹 애플리케이션에 Kerberos 인증을 제공할 수 있습니다.

Microsoft Entra 애플리케이션 프록시는 액세스 및 KCD(Kerberos 제한 위임)를 위해 Kerberos 티켓이 필요한 KCD 기반 애플리케이션에 대한 SSO(Single Sign-On) 및 원격 액세스를 지원할 수 있습니다.

IWA(Windows 통합 인증)를 사용하는 온-프레미스 KCD 애플리케이션에 SSO를 사용하도록 설정하려면 개인 네트워크 커넥터에 Active Directory에서 사용자를 가장할 수 있는 권한을 부여합니다. 개인 네트워크 커넥터는 이 권한을 사용하여 사용자를 대신하여 토큰을 보내고 받습니다.

KCD를 사용하는 경우

원격 액세스를 제공하고, 사전 인증으로 보호하고, 온-프레미스 IWA 애플리케이션에 SSO를 제공해야 하는 경우 KCD를 사용합니다.

시스템의 구성 요소

• 사용자: 애플리케이션 프록시가 제공하는 레거시 애플리케이션에 액세스합니다.
• 웹 브라우저: 애플리케이션의 외부 URL에 액세스하기 위해 사용자가 상호 작용하는 구성 요소입니다.
• Microsoft Entra ID: 사용자를 인증합니다.
• 애플리케이션 프록시 서비스: 사용자로부터 온-프레미스 애플리케이션으로 요청을 보내는 역방향 프록시로 작동합니다. Microsoft Entra ID에 있습니다. 애플리케이션 프록시는 조건부 액세스 정책을 적용할 수 있습니다.
• 개인 네트워크 커넥터: 애플리케이션에 대한 연결을 제공하기 위해 Windows 온-프레미스 서버에 설치됩니다. Microsoft Entra ID에 대한 응답을 반환합니다. Active Directory와 함께 KCD 협상을 수행하고, 사용자를 가장하여 애플리케이션에 대한 Kerberos 토큰을 가져옵니다.
• Active Directory: 애플리케이션의 Kerberos 토큰을 개인 네트워크 커넥터로 보냅니다.
• 레거시 애플리케이션: 애플리케이션 프록시에서 사용자 요청을 수신하는 애플리케이션입니다. 레거시 애플리케이션은 개인 네트워크 커넥터에 응답을 반환합니다.

Microsoft Entra ID를 사용하여 Windows 인증(KCD) 구현

Microsoft Entra ID를 사용하여 Windows 인증(KCD)을 구현하는 방법에 대해 자세히 알아보려면 다음 리소스를 살펴봅니다.

• 애플리케이션 프록시를 사용하는 Microsoft Entra ID의 Kerberos 기반 SSO(Single Sign-On)는 필수 조건 및 구성 단계를 설명합니다.
• 자습서 - 온-프레미스 앱 추가 - Microsoft Entra ID의 애플리케이션 프록시는 애플리케이션 프록시와 함께 사용할 환경을 준비하는 데 도움이 됩니다.

다음 단계

• Microsoft Entra 인증 및 동기화 프로토콜 개요에서는 인증 및 동기화 프로토콜과의 통합에 대해 설명합니다. 인증 통합을 통해 레거시 인증 방법을 사용하는 애플리케이션을 거의 또는 전혀 변경하지 않고 Microsoft Entra ID와 해당 보안 및 관리 기능을 사용할 수 있습니다. 동기화 통합을 통해 사용자 및 그룹 데이터를 Microsoft Entra ID에 동기화한 다음, 사용자 Microsoft Entra 관리 기능을 사용할 수 있습니다. 일부 동기화 패턴은 자동화된 프로비전을 사용하도록 설정합니다.
• 애플리케이션 프록시를 사용하는 온-프레미스 앱의 Single Sign-On 이해에서는 SSO를 통해 사용자가 여러 번 인증하지 않고도 애플리케이션에 액세스할 수 있는 방법을 설명합니다. SSO는 Microsoft Entra ID에 대해 클라우드에서 발생하며 서비스 또는 커넥터가 사용자를 가장하여 애플리케이션에서 인증 질문을 완료할 수 있도록 합니다.
• Microsoft Entra 애플리케이션 프록시를 사용하는 온-프레미스 앱을 위한 SAML(Security Assertion Markup Language) Single Sign-On은 애플리케이션 프록시를 통해 SAML 인증으로 보호되는 온-프레미스 애플리케이션에 대한 원격 액세스를 제공하는 방법을 설명합니다.