Microsoft Azure, Active Directory에 대해서… (4), AAD 프리미엄(Premium) 기술을 활용한 클라우드 사용자 암호 재설정

  • Article

Microsoft Azure AD(AAD)에는 기본적으로 제공되는 버전과 추가적인 라이선스를 요구하는 프리미엄(Premium) 버전이 존재합니다. (Microsoft Azure, Active Directory에 대해서… (1)에서 간단히 언급하였었죠 )

image

여러 차이점이 있습니다만, 클라우드 사용자의 암호 재설정(Self-Service Reset Password for cloud users) 항목이 AAD Premium(AADP)에서만 제공됩니다. 금일 포스팅은 AADP에서 제공되는 암호 재설정 기술입니다.

image

Microsoft Azure의 로그인 페이지 하단에 “본인 계정으로 로그인할 수 없습니까?”라는 링크를 클릭하면, 암호 재설정 항목으로 접속되게 됩니다. 하단 그림의 Koalra Test라는 디렉터리는 일반 AAD 형태이며, Koalra Cloud는 AADP가 활성화된 형태입니다.

image

image

일단 AADP를 사용하게 되면, 로그인 및 액세스 패널 페이지 모양에 대해서 ADFS 커스터마이징처럼 회사의 로고나 기타 항목들을 수정할 수 있습니다.

image

또한 오늘 살펴볼 사용자 암호 재설정 정책도 AADP에만 제공되게 되죠. 일반 AAD 형태의 디렉터리내 라이선스 페이지에서 AADP를 활성화하는 메뉴가 존재합니다. AADP의 경우에는 EA 라이선스가 필요한 형태이며, 100명의 사용자에 대해서 90일간의 평가판을 사용할 수 있습니다.

image

라이선스를 활성화한 후, 할당 메뉴를 통해, AAD내 모든 사용자를 할당하면, 구성 페이지가 AADP 형태로 변경되게 됩니다. 할당되지 않은 사용자가 남아있는 상태에서는 AAD 형태의 구성 페이지가 나타나지, AADP는 나타나지 않는다는 점에 유의하세요.

image

암호 재설정 기능을 활성화하면, 몇가지 추가적으로 구성해야 할 사항이 있습니다. 암호 재설정시 본인 확인을 위한 방법을 지정해야 합니다. 크게 3가지를 제공합니다.

image

  1. 사무실 전화 : 입력된 전화로 전화를 걸어 확인
  2. 휴대폰 : 문자 메시지를 통해 확인 코드 확인
  3. 대체 전자 메일 주소 : 전자 메일을 통해 확인 코드 확인

이중 몇개를 사용할지에 대해서 지정하고, 사용자가 로그인시, 해당되는 정보를 입력하게 만드는 “사용자가 액세스 패널에 로그인할 때 등록해야 합니까?”라는 옵션도 같이 제공됩니다.

image

이렇게 구성을 마친 후, 사용자들이 로그인하게 되면, 추가적인 정보를 입력하라는 페이지가 나타나게 됩니다.

image

지금 인증 링크를 클릭하면, 휴대폰, 암호 확인용 메일 2가지를 입력하라는 (옵션에서 2개를 등록하게 했기 때문에..) 항목이 나타납니다.

image

휴대폰을 구성하게 되면, 번호를 입력하고 문자 혹은 전화로 확인을 진행하게 됩니다.

image

해당 전화로 확인 코드가 동봉된 문자 메시지가 수신되게 됩니다.

wp_ss_20140801_0001

전자 메일의 경우에도 동일하지만 확인 코드를 메일로 받아 확인 처리를 진행합니다.

image

이렇게 개인 설정을 완료가 되어야, 암호 재설정을 사용할 수 있습니다. 이후 암호를 재설정해야 할 경우, 로그인 페이지의 암호 재설정 링크를 클릭합니다. 계정 정보와 스팸 방지용 문자를 입력합니다.

image

이 후, 본인의 정보를 활용하여 어떻게 개인 확인을 할지를 결정합니다.

image

전자 메일로 확인 코드가 전송됩니다.

image

본인 인증을 마치면, 암호 재설정 페이지가 나타납니다.

image

모든 계정이 AAD에 있는 상태라면, 이러한 암호 재설정은 그렇게 많은 작업을 요구하는 부분이 아닙니다. Microsoft Azure 관리 포탈에서 AADP를 활성화하고, 암호 재설정 관련 기능만 활성화시키면, 바로 사용할 수 있는 부분이죠. 그렇지만, 사내 AD와 연계된 상태라면 고려할 사항이 조금 남아있습니다.

사내 AD와 인증을 연계하는 방안은 크게 2가지가 있었습니다.

ADFS를 활용하는 시나리오에는 사내 AD 계정에 대한 암호 재설정은 AAD에서 불가능합니다.(AAD에 있는 계정만 재설정 가능) ADFS의 암호 업데이트를 활용해야 하는데, ADFS는 기술의 디자인상, 암호와 관련된 작업은 디바이스가 등록된 곳(장치 인증이 가능한)에서만 할 수 있게 되어 있습니다. 디바이스 등록에 관련된 사항도 시간이 허락할 때, 별도로 정리해서 올리겠습니다.

image

AAD에서 인증을 처리하는 경우에는 디렉터리 동기화 기술을 사용하여 암호를 사내 AD에서 AAD로 동기화할 수 있다고 Microsoft Azure, Active Directory에 대해서… (2), AAD와 사내 AD와의 연계 첫번째 이야기에서 살펴보았습니다. 이 시나리오가 암호 재설정에서 살펴봐야할 측면이 많습니다. AAD에서 변경된 사내 AD의 암호를 다시 사내 AD 도메인 컨트롤러와 동기화를 해야 되기 때문이죠.

image

디렉터리 동기화 도구 구성시 하이브리드 배포 사용이라는 옵션이 있었습니다. 반대로 쓰기 권한을 부여한다는 의미입니다. 해당 옵션은 사내 AD에 MSOL_AD_Sync_RichCoexistence 그룹을 생성하고 관련된 권한을 부여합니다.

image

AAD나 사내 AD나 모두 암호 재설정을 Microsoft Azure를 통해서 진행하려면, 페더레이션 형태의 도메인 연동이 아니라, 일반 형태의 도메인 연동이 되어야 합니다. 만약 페더레이션 형태로 연계되어 있다면, 이를 일반 형태로 변경합니다. (Convert-MsolDomainToStandard Cmdlet)

image

또한 디렉터리 동기화에서 암호 동기화를 사용하고 있지 않다면, 디렉터리 동기화 Windows PowerShell을 통해서 이를 활성화시킵니다.

image

다시 언급드리지만, 암호 자체를 동기화하지 않습니다. 암호에 대한 해쉬를 다시 암호화해서 동기화합니다. DC에는 암호 해쉬값이 저장되어 있습니다. (암호 자체가 아닌..) 이를 디렉터리 동기화 도구가 요청하여, SHA256으로 다시 해쉬화합니다.

image image

이후 SSL을 통해서 AAD로 전송합니다.

image

활성화된 이후(혹은 페더레이션에서 변환한 경우), 전체 암호 동기화를 시작시켜야 합니다. 이를 위해서 디렉터리 동기화 Windows PowerShell에서 Set-FullPasswordSync Cmdlet을 실행하고, 서비스내 Forefront Identity Manager Synchronization Service를 재시작합니다.

image

암호가 정상적으로 동기화되었음은 이벤트 뷰어의 응용 프로그램 로그내 이벤트 ID 656, 657이 기록됩니다.

image

이 후, AAD 인증을 사용하는 웹 사이트(대표적으로 https://myapps.microsoft.com)에서 ADFS 페더레이션 페이지로 리디렉션되지 않고 인증되는지를 확인하면, AAD에서 사내 AD 인증 처리를 확인할 수 있습니다. (원래 페더레이션 형태였다면, ADFS 페이지로 리디렉션되죠.)

image

이제 사내 AD 계정에 대해서도, 암호 재설정을 위한 개인 정보 등록을 요구합니다. 이는 앞선 AAD 계정과 동일한 형태입니다.

길었던 이야기가 거의 끝나가고 있습니다. 이제 AAD 인증 페이지에서 사내 AD 계정에 대해서 암호 재설정 및 이를 사내 AD로 기록하는 작업을 진행해보겠습니다. 이를 암호 재설정 나중 쓰기(Password Write Back)이라고 합니다. 디렉터리 동기화 Windows PowerShell에서 Enable-OnlinePasswordWriteBack Cmdlet을 실행합니다.

image

이후, 사내 AD 관리자 계정, AAD 관리자 계정을 차례로 입력하면, 암호 재설정 나중 쓰기 옵션이 켜지게 됩니다. 이제 사내 AD 계정을 AAD 인증 페이지에서 재설정해보죠. 암호를 재설정하는 것은 앞서 살펴보았습니다.

image

암호 재설정을 완료하면, 사내 AD 인프라내 디렉터리 동기화 도구 서버에서 나중 쓰기가 진행되었는지 확인이 가능합니다. 이벤트 뷰어내 응용 프로그램 로그, 31001, 31002가 해당되는 사항입니다.

image

image

31002의 내용에 보면, PasswordReset이 성공했다는 메시지가 보입니다.

많이 길었던 포스팅이었습니다. 사실 내용 자체보단 설정에 대한 부분을 하나씩 살펴보느라, 길어진 내용이 되었습니다만, AAD를 활용하시면, 사내 AD와의 연계에 대해서 재미있는 부분을 살펴보실 수 있습니다. 오늘은 그중 프리미엄 버전에서 제공되는 암호 재설정에 대해서 살펴보았습니다. 다음 포스팅에서는 다단계 인증(MFA, Multi-Factor Authentication)을 살펴보겠습니다.