ACS의 문제점 – SSO, ID 흐름 및 권한 부여
업데이트: 2015년 6월 19일
Azure에 적용합니다.
요약
이 항목에서는 분산 클라우드 응용 프로그램에서 SSO(Single Sign-On), ID 흐름 및 권한 부여와 관련된 일반적인 문제점 및 해결 방식에 대해 간략하게 설명합니다.
시나리오
다음 계통도 다이어그램에 나와 있는 분산 응용 프로그램의 정식 시나리오를 고려해 보세요.
이 정식 시나리오의 주요 특성은 다음과 같습니다.
.gif "ACS - challenge")
최종 사용자는 Windows 라이브 ID(Microsoft 계정), Google, Yahoo!, Facebook 또는 엔터프라이즈 Active Directory와 같은 업계 ID 공급자가 관리하는 기존 ID를 가질 수 있습니다.
최종 사용자는 웹 브라우저 또는 리치 클라이언트를 통해 인증 및 권한 부여를 요구하는 시스템과 상호 작용합니다.
최종 사용자는 데스크톱, 스마트폰 또는 브라우저 내에서 실행되는 리치 클라이언트(예: Silverlight 또는 JavaScript)를 통해 인증 및 권한 부여를 요구하는 시스템과 상호 작용합니다.
웹 응용 프로그램은 인증 및 권한 부여를 요구하는 다운스트림 웹 서비스와 상호 작용할 수 있습니다.
과제
이 시나리오와 관련된 일반적인 보안 문제점이 몇 가지 있습니다. 다음을 살펴보세요.
웹 응용 프로그램에 대한 인증을 외부화할 방법
웹 서비스에 대한 인증을 외부화할 방법
서로 다른 응용 프로그램에서 인터넷 자격 증명을 사용할 방법
서로 다른 응용 프로그램에서 엔터프라이즈 자격 증명을 사용할 방법
물리적 계층을 통해 보안 컨텍스트 흐름을 지정할 방법
미세 조정된 클레임 기반 권한 부여용으로 사용자 ID를 변환할 방법
다른 응용 프로그램과 상호 운영할 방법
통신 보안을 유지할 방법
관리를 자동화할 방법
솔루션 접근 방식
Microsoft Azure Active Directory Access Control(Access Control 서비스 또는 ACS라고도 함)는 이러한 문제에 대한 솔루션을 제공합니다. WS-Federation, WS-Trust, SAML, OAuth 2.0 및 SWT ACS와 같은 개방형 표준 및 프로토콜을 사용하면 다음과 같이 여러 ID 공급자와 안전하게 상호 운용할 수 있는 클라우드 및 온-프레미스 애플리케이션을 빌드할 수 있습니다.
.gif "ACS-solution")
ACS 아키텍처 및 주요 구성 요소에 대한 자세한 내용은 ACS 아키텍처를 참조하세요.