ID는 최신 작업 공간의 액세스를 관리하기 위한 주요 제어 평면이며 제로 트러스트를 구현하는 데 필수적입니다. ID 솔루션 지원:
- 강력한 인증 및 액세스 정책을 통한 제로 트러스트.
- 세분화된 권한 및 액세스 권한이 있는 최소 권한 액세스입니다.
- 보안 리소스에 대한 액세스를 관리하고 공격의 폭발 반경을 최소화하는 제어 및 정책입니다.
이 통합 가이드에서는 ISV(독립 소프트웨어 공급업체) 및 기술 파트너가 Microsoft Entra ID와 통합하여 고객을 위한 안전한 제로 트러스트 솔루션을 만드는 방법을 설명합니다.
제로 트러스트 아이덴티티 통합 가이드
이 통합 가이드에서는 Microsoft Entra ID 및 Microsoft 외부 ID를 다룹니다.
Microsoft Entra ID는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. 다음과 같은 기능을 제공합니다.
- Single Sign-On 인증
- 조건부 액세스
- 암호 없는 다단계 인증
- 자동화된 사용자 프로비저닝
- 또한 기업에서 대규모 ID 프로세스를 보호하고 자동화할 수 있는 더 많은 기능
Microsoft Entra 외부 ID는 CIAM(비즈니스-고객 ID 액세스 관리) 솔루션입니다. 고객은 Microsoft Entra 외부 ID를 사용하여 쉽게 확장하고 브랜드 웹 및 모바일 애플리케이션 환경과 혼합되는 보안 화이트 레이블 인증 솔루션을 구현합니다. Microsoft Entra 외부 ID 섹션에서 통합 지침에 대해 알아봅니다.
Microsoft Entra ID
솔루션을 Microsoft Entra ID와 통합하는 방법에는 여러 가지가 있습니다. 기본 통합은 Microsoft Entra ID의 기본 제공 보안 기능을 사용하여 고객을 보호하는 것입니다. 고급 통합은 향상된 보안 기능으로 솔루션을 한 단계 더 발전시켰습니다.
기본 통합
기본 통합은 Microsoft Entra ID의 기본 제공 보안 기능으로 고객을 보호합니다.
싱글 사인온 및 게시자 확인 기능 활성화
Single Sign-On을 사용하도록 설정하려면 앱 갤러리 에 앱을 게시하는 것이 좋습니다. 이 접근 방식은 애플리케이션이 Microsoft Entra ID와 호환되는 것으로 유효성을 검사한다는 것을 알고 있으므로 고객의 신뢰를 높입니다. 고객이 테넌트에 추가하는 앱의 게시자가 여러분임을 고객이 확실히 알 수 있도록 검증된 게시자이 될 수 있습니다.
앱 갤러리에 게시하면 IT 관리자가 자동화된 앱 등록을 통해 솔루션을 테넌트에 쉽게 통합할 수 있습니다. 수동 등록은 애플리케이션에 대한 지원 문제의 일반적인 원인입니다. 갤러리에 앱을 추가하면 앱과 관련된 이러한 문제를 방지할 수 있습니다.
모바일 앱의 경우 Microsoft 인증 라이브러리 및 시스템 브라우저를 사용하여 Single Sign-On 구현하는 것이 좋습니다.
사용자 프로비저닝 통합
수천 명의 사용자가 있는 조직의 ID 및 액세스를 관리하는 것은 어려운 일입니다. 대규모 조직에서 솔루션을 사용하는 경우 사용자에 대한 정보와 애플리케이션과 Microsoft Entra ID 간의 액세스를 동기화하는 것이 좋습니다. 이렇게 하면 변경이 발생할 때 사용자 액세스를 일관되게 유지할 수 있습니다.
SCIM(도메인 간 ID 관리 시스템)은 사용자 ID 정보를 교환하기 위한 개방형 표준입니다. SCIM 사용자 관리 API를 사용하여 애플리케이션과 Microsoft Entra ID 간에 사용자 및 그룹을 자동으로 프로비전할 수 있습니다.
Microsoft Entra ID 앱에 대한 사용자 프로비저닝을 위한 SCIM 엔드포인트 개발은 SCIM 엔드포인트를 빌드하고 Microsoft Entra 프로비저닝 서비스와 통합하는 방법을 설명합니다.
고급 통합
고급 통합은 애플리케이션의 보안을 더욱 강화합니다.
조건부 액세스 인증 컨텍스트
조건부 액세스 인증 컨텍스트 사용하면 사용자가 중요한 데이터 또는 작업에 액세스할 때 앱이 정책 적용을 트리거하여 사용자의 생산성과 중요한 리소스를 안전하게 유지할 수 있습니다.
지속적인 액세스 평가
CAE(연속 액세스 평가) 수명에 따라 토큰 만료에 의존하지 않고 중요한 이벤트 및 정책 평가에 따라 액세스 토큰을 해지할 수 있습니다. 일부 리소스 API의 경우 위험 및 정책이 실시간으로 평가되므로 토큰 수명이 최대 28시간까지 증가하여 애플리케이션의 복원력과 성능이 향상될 수 있습니다.
보안 API
이 환경에서 많은 독립 소프트웨어 공급업체는 이러한 API가 유용하다고 찾습니다.
사용자 및 그룹 API
애플리케이션이 테넌트에서 사용자 및 그룹을 업데이트해야 하는 경우 Microsoft Graph를 통해 사용자 및 그룹 API를 사용하여 Microsoft Entra 테넌트에 다시 쓸 수 있습니다. API 사용에 대한 자세한 내용은 Microsoft Graph REST API v1.0 참조 및 사용자 리소스 종류에 대한 참조 문서 에서 읽을 수 있습니다.
조건부 액세스 API
조건부 액세스 올바른 사용자가 올바른 리소스에 대한 올바른 액세스 권한을 갖도록 하는 데 도움이 되므로 제로 트러스트의 핵심 부분입니다. 조건부 액세스를 사용하도록 설정하면 Microsoft Entra ID가 계산된 위험 및 미리 구성된 정책에 따라 액세스 결정을 내릴 수 있습니다.
독립 소프트웨어 공급업체는 관련된 경우 조건부 액세스 정책을 적용하는 옵션을 표시하여 조건부 액세스를 활용할 수 있습니다. 예를 들어 사용자가 특히 위험한 경우 고객에게 UI를 통해 해당 사용자에 대한 조건부 액세스를 사용하도록 제안하고 Microsoft Entra ID에서 프로그래밍 방식으로 사용하도록 설정할 수 있습니다.
자세한 내용은 GitHub에서 Microsoft Graph API 샘플을 사용하여 조건부 액세스 정책 구성 확인하세요.
손상 및 위험한 사용자 API 확인
경우에 따라 독립 소프트웨어 공급업체는 Microsoft Entra ID 범위를 벗어난 손상에 대해 알게 될 수 있습니다. 모든 보안 이벤트의 경우, 특히 계정 손상이 포함된 경우 Microsoft와 독립 소프트웨어 공급업체는 양측의 정보를 공유하여 협력할 수 있습니다. 의 위협 확인 API를 사용하면 대상 사용자의 위험 수준을 높음으로 설정할 수 있습니다. 이 API를 사용하면 사용자가 다시 인증하도록 요구하거나 중요한 데이터에 대한 액세스를 제한하여 Microsoft Entra ID가 적절하게 응답할 수 있습니다.
다른 방향으로 Microsoft Entra ID는 다양한 신호 및 기계 학습에 따라 사용자 위험을 지속적으로 평가합니다. 위험한 사용자 API는 앱의 Microsoft Entra 테넌트에 있는 모든 위험에 처한 사용자에게 프로그래밍 방식의 액세스를 제공합니다. 독립 소프트웨어 공급업체는 이 API를 사용하여 사용자를 현재 위험 수준으로 적절하게 처리할 수 있습니다. 위험 사용자 리소스 유형.
고유한 제품 시나리오
다음 지침은 특정 종류의 솔루션을 제공하는 독립 소프트웨어 공급업체를 위한 것입니다.
보안 하이브리드 액세스 통합 많은 비즈니스 애플리케이션이 보호된 회사 네트워크 내에서 작동하도록 만들어졌으며 이러한 애플리케이션 중 일부는 레거시 인증 방법을 사용합니다. 회사에서 제로 트러스트 전략을 구축하고 하이브리드 및 클라우드 우선 작업 환경을 지원하려면 앱을 Microsoft Entra ID에 연결하고 레거시 애플리케이션에 대한 최신 인증 솔루션을 제공하는 솔루션이 필요합니다. 이 가이드를 사용하여 레거시 온-프레미스 애플리케이션에 대한 최신 클라우드 인증을 제공하는 솔루션을 만듭니다.
Microsoft 호환 FIDO2 보안 키 공급업체로 FIDO2 보안 키는 약한 자격 증명을 서비스 간에 재사용, 재생 또는 공유할 수 없는 강력한 하드웨어 지원 퍼블릭/프라이빗 키 자격 증명으로 대체할 수 있습니다. 이 문서의 프로세스에 따라 Microsoft 호환 FIDO2 보안 키 공급업체가 될 수 있습니다.
Microsoft Entra 외부 ID
Microsoft Entra 외부 ID는 조직 외부 사용자와 작업하기 위한 강력한 솔루션을 결합합니다. 외부 ID 기능을 사용하면 외부 ID가 앱 및 리소스에 안전하게 액세스하도록 허용할 수 있습니다. 외부 파트너, 소비자 또는 비즈니스 고객과 함께 작업하는 경우 사용자는 자신의 ID를 가져올 수 있습니다. 이러한 ID는 회사 또는 정부 발행 계정에서 Google 또는 Facebook과 같은 소셜 ID 공급자에 이르기까지 다양할 수 있습니다. 외부 파트너, 소비자 또는 비즈니스 고객을 위해 앱을 보호하는 방법에 대한 자세한 내용은 Microsoft 외부 ID소개를 참조하세요.
RESTful 엔드포인트와 통합
독립 소프트웨어 공급업체는 RESTful 엔드포인트를 통해 솔루션을 통합하여 MFA(다단계 인증) 및 RBAC(역할 기반 액세스 제어)를 사용하도록 설정하고, ID 확인 및 교정을 사용하도록 설정하고, 봇 검색 및 사기 방지를 사용하여 보안을 개선하고, PSD2(Payment Services 지시문 2) SCA(보안 고객 인증) 요구 사항을 충족할 수 있습니다.
RESTful 엔드포인트 사용하는 방법에 대한 지침과 RESTful API와 통합된 파트너의 자세한 샘플 연습이 있습니다.
- ID 확인 및 교정- 고객이 최종 사용자의 ID를 확인할 수 있도록 합니다.
- 역할 기반 액세스 제어- 최종 사용자에게 세분화된 액세스 제어가 가능합니다.
- 최종 사용자가 최신 인증 프로토콜을 사용하여 온-프레미스 및 레거시 애플리케이션에 액세스할 수 있도록 하는 온-프레미스 애플리케이션대한 하이브리드 액세스 보호
- 사기 방지- 고객이 사기성 로그인 시도 및 봇 공격으로부터 애플리케이션 및 최종 사용자를 보호할 수 있습니다.
웹 애플리케이션 방화벽
WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약성으로부터 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. Microsoft Entra 외부 ID를 사용하면 독립 소프트웨어 공급업체가 WAF 서비스를 통합할 수 있습니다. 사용자 지정 도메인(예: login.contoso.com)에 대한 모든 트래픽은 항상 WAF 서비스를 통과하여 다른 보안 계층을 제공합니다.
WAF 솔루션을 구현하려면 Microsoft Entra 외부 ID 사용자 지정 도메인을 구성합니다. Microsoft Entra 외부 ID 대한 사용자 지정 URL 도메인 개요에서는 외부 테넌트에서 사용자 지정 URL 도메인에서 Microsoft Entra 외부 ID를 구성하는 방법을 설명합니다.
다음 단계
- Microsoft Entra ID란?
- Microsoft Entra 외부 ID 소개
- Azure REST API(미리 보기) 사용하여 외부 테넌트 관리