ID 통합
ID는 최신 작업 공간의 액세스를 관리하기 위한 주요 제어 평면이며 제로 트러스트 구현하는 데 필수적입니다. ID 솔루션은 강력한 인증 및 액세스 정책, 세분화된 권한 및 액세스 권한이 있는 최소 권한 액세스, 보안 리소스에 대한 액세스를 관리하고 공격의 폭발 반경을 최소화하는 제어 및 정책을 통해 제로 트러스트 지원합니다.
이 통합 가이드에서는 ISV(독립 소프트웨어 공급업체) 및 기술 파트너가 Microsoft Entra ID와 통합하여 고객을 위한 안전한 제로 트러스트 솔루션을 만드는 방법을 설명합니다.
ID 통합 가이드에 대한 제로 트러스트
이 통합 가이드에서는 Microsoft Entra ID와 Azure Active Directory B2C에 대해 설명합니다.
Microsoft Entra ID는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Single Sign-On 인증, 조건부 액세스, 암호 없는 다단계 인증, 자동화된 사용자 프로비저닝 및 엔터프라이즈에서 대규모 ID 프로세스를 보호하고 자동화할 수 있는 더 많은 기능을 제공합니다.
Azure Active Directory B2C는 고객이 쉽게 확장하고 브랜드 웹 및 모바일 애플리케이션 환경과 혼합되는 보안 화이트 레이블 인증 솔루션을 구현하는 데 사용하는 CIAM(비즈니스 간 ID 액세스 관리) 솔루션입니다. 통합 지침은 Azure Active Directory B2C 섹션에서 사용할 수 있습니다.
Microsoft Entra ID
솔루션을 Microsoft Entra ID와 통합하는 방법에는 여러 가지가 있습니다. 기본 통합은 Microsoft Entra ID의 기본 제공 보안 기능을 사용하여 고객을 보호하는 것입니다. 고급 통합은 향상된 보안 기능으로 솔루션을 한 단계 더 발전시킵니다.
기본 통합
기본 통합은 Microsoft Entra ID의 기본 제공 보안 기능으로 고객을 보호합니다.
Single Sign-On 및 게시자 확인 사용
Single Sign-On을 사용하도록 설정하려면 앱 갤러리에 앱을 게시하는 것이 좋습니다. 이렇게 하면 애플리케이션이 Microsoft Entra ID와 호환되는 것으로 유효성을 검사하고 고객이 테넌트에 추가하는 앱의 게시자임을 확신할 수 있도록 검증된 게시자가 될 수 있으므로 고객 신뢰가 높아집니다.
앱 갤러리에 게시하면 IT 관리자가 자동화된 앱 등록을 통해 솔루션을 테넌트에 쉽게 통합할 수 있습니다. 수동 등록은 애플리케이션 관련 지원 문제가 발생하는 일반적인 원인입니다. 갤러리에 앱을 추가하면 앱에서 이러한 문제가 발생하지 않습니다.
모바일 앱의 경우 Microsoft 인증 라이브러리 및 시스템 브라우저를 사용하여 Single Sign-On을 구현하는 것이 좋습니다.
사용자 프로비저닝 통합
수천 명의 사용자가 있는 조직의 ID 및 액세스를 관리하는 것은 어려운 일입니다. 대규모 조직에서 솔루션을 사용하는 경우 사용자에 대한 정보와 애플리케이션과 Microsoft Entra ID 간의 액세스를 동기화하는 것이 좋습니다. 이렇게 하면 변경이 발생할 때 사용자 액세스를 일관되게 유지할 수 있습니다.
SCIM(System for Cross-Domain Identity Management)은 사용자 ID 정보를 교환하기 위한 개방형 표준입니다. SCIM 사용자 관리 API를 사용하여 애플리케이션과 Microsoft Entra ID 간에 사용자 및 그룹을 자동으로 프로비전할 수 있습니다.
이 주제에 대한 자습서에서는 Microsoft Entra ID의 앱에 대한 사용자 프로비저닝을 위한 SCIM 엔드포인트를 개발하고 SCIM 엔드포인트를 빌드하고 Microsoft Entra 프로비저닝 서비스와 통합하는 방법을 설명합니다.
고급 통합
고급 통합은 애플리케이션의 보안을 더욱 강화합니다.
조건부 액세스 인증 컨텍스트
조건부 액세스 인증 컨텍스트 를 사용하면 사용자가 중요한 데이터 또는 작업에 액세스할 때 앱이 정책 적용을 트리거하여 사용자의 생산성과 중요한 리소스를 안전하게 유지할 수 있습니다.
지속적인 액세스 평가
CAE(지속적인 액세스 평가) 를 사용하면 수명에 따라 토큰 만료에 의존하지 않고 중요한 이벤트 및 정책 평가에 따라 액세스 토큰을 해지할 수 있습니다. 일부 리소스 API의 경우 위험 및 정책이 실시간으로 평가되기 때문에 토큰 수명을 최대 28시간까지 늘릴 수 있으므로 애플리케이션의 복원력과 성능이 향상됩니다.
보안 API
이 환경에서 많은 독립 소프트웨어 공급업체는 이러한 API가 특히 유용하다는 것을 발견했습니다.
사용자 및 그룹 API
애플리케이션이 테넌트에서 사용자 및 그룹을 업데이트해야 하는 경우 Microsoft Graph를 통해 사용자 및 그룹 API를 사용하여 Microsoft Entra 테넌트에 다시 쓸 수 있습니다. Microsoft Graph REST API v1.0 참조 및 사용자 리소스 종류에 대한 참조 설명서에서 API를 사용하는 방법에 대해 자세히 확인할 수 있습니다.
조건부 액세스 API
조건부 액세스는 올바른 사용자가 올바른 리소스에 올바르게 액세스할 수 있도록 하는 데 도움이 되므로 제로 트러스트의 중요한 부분입니다. 조건부 액세스를 사용하도록 설정하면 Microsoft Entra ID가 계산된 위험 및 미리 구성된 정책에 따라 액세스 결정을 내릴 수 있습니다.
ISV(Independent Software Vendor)는 관련이 있는 경우 조건부 액세스 정책을 적용하는 옵션을 제공하여 조건부 액세스를 활용할 수 있습니다. 예를 들어 사용자가 특히 위험한 경우 고객에게 UI를 통해 해당 사용자에 대한 조건부 액세스를 사용하도록 제안하고 Microsoft Entra ID에서 프로그래밍 방식으로 사용하도록 설정할 수 있습니다.
자세한 내용은 GitHub에서 Microsoft Graph API 샘플을 사용하여 조건부 액세스 정책 구성을 검사.
손상 및 위험한 사용자 API 확인
경우에 따라 독립 소프트웨어 공급업체는 Microsoft Entra ID 범위를 벗어난 손상에 대해 알게 될 수 있습니다. 보안 이벤트, 특히 계정 손상이 포함된 경우 Microsoft와 독립 소프트웨어 공급업체는 양 당사자의 정보를 공유하여 공동 작업할 수 있습니다. 손상 확인 API를 사용하면 대상 사용자의 위험 수준을 높음으로 설정할 수 있습니다. 이를 통해 Microsoft Entra ID는 사용자가 다시 인증하도록 요구하거나 중요한 데이터에 대한 액세스를 제한하여 적절하게 응답할 수 있습니다.
다른 방향으로 나아가면 Microsoft Entra ID는 다양한 신호 및 기계 학습에 따라 사용자 위험을 지속적으로 평가합니다. 위험한 사용자 API는 앱의 Microsoft Entra 테넌트에 있는 모든 위험에 처한 사용자에게 프로그래밍 방식의 액세스를 제공합니다. 독립 소프트웨어 공급업체는 이 API를 사용하여 사용자를 현재 위험 수준으로 적절하게 처리할 수 있습니다. riskyUser 리소스 종류입니다.
고유한 제품 시나리오
다음 지침은 특정 종류의 솔루션을 제공하는 독립 소프트웨어 공급업체를 위한 것입니다.
보안 하이브리드 액세스 통합 많은 비즈니스 애플리케이션이 보호된 회사 네트워크 내에서 작동하도록 만들어졌으며, 이러한 애플리케이션 중 일부는 레거시 인증 방법을 사용합니다. 회사는 제로 트러스트 전략을 구축하고 하이브리드 및 클라우드 우선 작업 환경을 지원하기 위해 앱을 Microsoft Entra ID에 연결하고 레거시 애플리케이션에 대한 최신 인증 솔루션을 제공하는 솔루션이 필요합니다. 이 가이드를 사용하여 레거시 온-프레미스 애플리케이션에 대한 최신 클라우드 인증을 제공하는 솔루션을 만듭니다.
Microsoft 호환 FIDO2 보안 키 공급업체 FIDO2 보안 키는 약한 자격 증명을 서비스에서 재사용, 재생 또는 공유할 수 없는 강력한 하드웨어 지원 퍼블릭/프라이빗 키 자격 증명으로 대체할 수 있습니다. 이 문서의 프로세스에 따라 Microsoft 호환 FIDO2 보안 키 공급업체가 될 수 있습니다.
Azure Active Directory B2C
Azure Active Directory B2C는 하루에 수백만 명의 사용자와 수십억 개의 인증을 지원할 수 있는 CIAM(고객 ID 및 액세스 관리) 솔루션입니다. 브랜드 웹 및 모바일 애플리케이션과 혼합된 사용자 환경을 가능하게 하는 화이트 레이블 인증 솔루션입니다.
Microsoft Entra ID와 마찬가지로 파트너는 Microsoft Graph 및 조건부 액세스, 손상 확인 및 위험한 사용자 API와 같은 주요 보안 API를 사용하여 Azure Active Directory B2C와 통합할 수 있습니다. 이러한 통합에 대한 자세한 내용은 위의 Microsoft Entra ID 섹션에서 확인할 수 있습니다.
이 섹션에는 독립 소프트웨어 공급업체 파트너가 지원할 수 있는 몇 가지 다른 통합 기회가 포함되어 있습니다.
참고 항목
Azure Active Directory B2C(및 그와 통합된 솔루션)를 사용하는 고객이 Azure Active Directory B2C에서 ID 보호 및 조건부 액세스를 활성화하는 것이 좋습니다.
RESTful 엔드포인트와 통합
독립 소프트웨어 공급업체는 RESTful 엔드포인트를 통해 솔루션을 통합하여 MFA(다단계 인증) 및 RBAC(역할 기반 액세스 제어)를 사용하도록 설정하고, ID 확인 및 교정을 사용하도록 설정하고, 봇 검색 및 사기 방지를 사용하여 보안을 개선하고, PSD2(Payment Services 지시문 2) SCA(보안 고객 인증) 요구 사항을 충족할 수 있습니다.
RESTful 엔드포인트를 사용하는 방법에 대한 지침과 RESTful API를 사용하여 통합된 파트너의 자세한 샘플 연습이 있습니다.
- ID 검증 및 입증 - 고객이 최종 사용자의 ID를 확인할 수 있도록 설정
- 역할 기반 액세스 제어 - 최종 사용자에 대한 세분화된 액세스 제어를 사용하도록 설정
- 최종 사용자가 최신 인증 프로토콜을 사용하여 온-프레미스 및 레거시 애플리케이션에 액세스할 수 있도록 하는 온-프레미스 애플리케이션에 대한 하이브리드 액세스 보호
- 사기 방지 - 고객이 사기성 로그인 시도 및 봇 공격으로부터 애플리케이션과 최종 사용자를 보호할 수 있도록 설정합니다.
웹 애플리케이션 방화벽
WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약성으로부터 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. Azure Active Directory B2C를 사용하면 독립 소프트웨어 공급업체가 WAF 서비스를 통합하여 Azure Active Directory B2C 사용자 지정에 대한 모든 트래픽이 항상 WAF 서비스를 통과하도록 기본(예: login.contoso.com)하여 추가 보안 계층을 제공합니다.
WAF 솔루션을 구현하려면 Azure Active Directory B2C 사용자 지정 작업을 구성해야 기본. 사용자 지정 작업을 사용하도록 설정하는 방법에 대한 자습서에서 이 작업을 수행하는 방법을 읽을 수 기본. Azure Active Directory B2C와 통합되는 WAF 솔루션을 만든 기존 파트너를 볼 수도 있습니다.