Azure Stack Hub에 대한 ID 아키텍처

Azure Stack Hub에서 사용할 ID 공급자를 선택할 때 Azure Active Directory(Azure AD)와 AD FS(Active Directory Federation Services) 옵션 간의 중요한 차이점을 이해해야 합니다.

기능 및 제한 사항

선택하는 ID 공급자는 다중 테넌트 지원 등의 옵션을 제한할 수 있습니다.

기능 또는 시나리오 Azure AD AD FS
인터넷에 연결됨 선택 사항
다중 테넌트 지원
Marketplace의 제품 항목 예( 오프라인 Marketplace 배포 도구를 사용해야 합니다.)
ADAL(Active Directory 인증 라이브러리) 지원
Azure CLI, Visual Studio, PowerShell 같은 도구 지원
Azure Portal 통해 서비스 주체 만들기 아니요
인증서를 사용하여 서비스 주체 만들기
비밀(키)을 사용하여 서비스 주체 만들기
애플리케이션은 Graph 서비스를 사용할 수 있습니다. 아니요
애플리케이션은 로그인에 ID 공급자를 사용할 수 있습니다. 예(앱이 온-프레미스 AD FS 인스턴스와 페더레이션해야 함)
관리 ID 아니요

토폴로지

다음 섹션에서는 사용할 수 있는 다양한 ID 토폴로지에 대해 설명합니다.

Azure AD: 단일 테넌트 토폴로지

기본적으로 Azure Stack Hub를 설치하고 Azure AD를 사용할 경우 Azure Stack Hub는 단일 테넌트 토폴로지를 사용합니다.

단일 테넌트 토폴로지는 다음 경우에 유용합니다.

  • 모든 사용자가 동일한 테넌트에 속합니다.
  • 단일 서비스 공급자가 조직의 Azure Stack Hub 인스턴스를 호스트합니다.

Azure Stack Hub single-tenant topology with Azure AD

이 토폴로지에는 다음과 같은 특징이 있습니다.

  • Azure Stack Hub는 모든 앱 및 서비스를 동일한 Azure AD 테넌트 디렉터리에 등록합니다.
  • Azure Stack Hub는 토큰을 포함하여 해당 디렉터리의 사용자 및 앱만 인증합니다.
  • 관리자(클라우드 운영자) 및 테넌트 사용자의 ID가 동일한 디렉터리 테넌트에 있습니다.
  • 다른 디렉터리의 사용자가 이 Azure Stack Hub 환경에 액세스할 수 있도록 하려면 사용자를 테넌트 디렉터리에 게스트로 초대 해야 합니다.

Azure AD: 다중 테넌트 토폴로지

클라우드 운영자는 하나 이상의 조직에서 테넌트가 앱에 액세스할 수 있도록 Azure Stack Hub를 구성할 수 있습니다. 사용자는 Azure Stack Hub 사용자 포털을 통해 앱에 액세스합니다. 이 구성에서 클라우드 운영자가 사용하는 관리자 포털은 단일 디렉터리의 사용자로 제한됩니다.

다중 테넌트 토폴로지는 다음 경우에 유용합니다.

  • 단일 서비스 공급자가 여러 조직에서 사용자가 Azure Stack Hub에 액세스할 수 있도록 허용하려고 합니다.

Azure Stack Hub multi-tenant topology with Azure AD

이 토폴로지에는 다음과 같은 특징이 있습니다.

  • 리소스에 대한 액세스는 조직별로 설정해야 합니다.
  • 한 조직의 사용자가 조직 외부의 사용자에게 리소스에 대한 액세스 권한을 부여할 수 없습니다.
  • 관리자(클라우드 운영자)의 ID는 사용자의 ID와 별도의 디렉터리 테넌트에 있을 수 있습니다. 이러한 분리는 ID 공급자 수준에서 계정 격리를 제공합니다.

AD FS

AD FS 토폴로지는 다음 조건 중 하나가 true인 경우에 필요합니다.

  • Azure Stack Hub가 인터넷에 연결되지 않는 경우
  • Azure Stack Hub가 인터넷에 연결할 수 있지만 ID 공급자로 AD FS를 사용하도록 선택하는 경우

Azure Stack Hub topology using AD FS

이 토폴로지에는 다음과 같은 특징이 있습니다.

  • 프로덕션에서 이 토폴로지를 사용하도록 지원하려면 기본 제공 Azure Stack Hub AD FS 인스턴스를 페더레이션 트러스트를 통해 Active Directory에 의해 지원되는 기존 AD FS 인스턴스와 통합해야 합니다.

  • Azure Stack Hub의 Graph 서비스를 기존 Active Directory 인스턴스와 통합할 수 있습니다. Azure AD Graph API와 일관되는 API를 지원하는 OData 기반 Graph API 서비스를 사용할 수도 있습니다.

    Active Directory 인스턴스와 상호 작용하려면 Graph API Active Directory 인스턴스에 대한 읽기 전용 권한이 있는 사용자 자격 증명이 필요하며 다음과 같이 액세스합니다.

    • 기본 제공 AD FS 인스턴스입니다.
    • AD FS 및 Active Directory 인스턴스는 Windows Server 2012 이상을 기반으로 해야 합니다.

    Active Directory 인스턴스와 기본 제공 AD FS 인스턴스 간에 상호 작용은 OpenID Connect로 제한되지 않으며 상호 지원되는 프로토콜을 사용할 수 있습니다.

    • 사용자 계정은 온-프레미스 Active Directory 인스턴스에서 만들고 관리합니다.
    • 앱의 서비스 주체 및 등록은 기본 제공 Active Directory 인스턴스에서 관리합니다.

다음 단계