Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증이란 무엇인가요?

적용 대상:Azure SQL Managed Instance

Azure SQL Managed Instance는 가장 광범위한 SQL Server 데이터베이스 엔진 호환성과 완전 관리형 에버그린 PaaS(Platform as a Service)의 이점이 결합된 크기 조정이 가능한 인텔리전트 클라우드 데이터베이스 서비스입니다. Microsoft Entra ID(이전의 Azure Active Directory)에 대한 Kerberos 인증을 사용하면 Windows 인증에서 Azure SQL Managed Instance에 액세스할 수 있습니다. 관리되는 인스턴스용 Windows 인증은 고객이 기존 서비스를 클라우드로 이동하면서 원활한 사용자 환경을 유지하고 인프라 최신화를 위한 기반을 제공할 수 있도록 합니다.

참고 항목

Microsoft Entra ID는 이전에 Azure AD(Azure Active Directory)로 알려졌습니다.

주요 기능 및 시나리오

고객이 인프라, 애플리케이션 및 데이터 계층을 최신화하면서 Microsoft Entra ID로 전환하여 ID 관리 기능도 최신화합니다. Azure SQL은 여러 Microsoft Entra 인증 옵션을 제공합니다.

• 비밀번호는 Microsoft Entra 자격 증명을 사용하여 인증을 제공합니다.
• MFA를 통한 유니버설은 다단계 인증을 추가합니다.
• 통합에서는 ADFS(Active Directory Federation Services)와 같은 페더레이션 공급자를 사용하여 SSO(Single Sign-On) 환경을 사용하도록 설정합니다.
• 서비스 주체는 Azure 애플리케이션에서 인증할 수 있습니다.
• 관리 ID를 사용하면 Microsoft Entra ID가 할당된 애플리케이션에서 인증할 수 있습니다.

그러나 일부 레거시 앱은 Microsoft Entra ID에 대한 인증을 변경할 수 없습니다. 레거시 애플리케이션 코드를 더 이상 사용할 수 있고 레거시 드라이버에 대한 종속성이 있을 수 있으며 클라이언트를 변경하지 못할 수 있습니다. Microsoft Entra 보안 주체에 대한 Windows 인증은 이 마이그레이션 방해 요소를 제거하고 더 광범위한 고객 애플리케이션에 대한 지원을 제공합니다.

관리되는 인스턴스의 Microsoft Entra 보안 주체에 대한 Windows 인증은 Active Directory, Microsoft Entra ID 또는 하이브리드 Microsoft Entra ID에 조인된 디바이스 또는 VM(가상 머신)에 사용할 수 있습니다. 하이브리드 Microsoft Entra 사용자 ID는 Microsoft Entra ID 및 Active Directory에 모두 존재하며 Microsoft Entra Kerberos를 사용하여 Azure의 관리되는 인스턴스에 액세스할 수 있습니다.

관리되는 인스턴스에 대해 Windows 인증을 사용하도록 설정하면 고객이 새로운 온-프레미스 인프라를 배포하거나 도메인 서비스 설정 오버헤드를 관리할 필요가 없습니다.

Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증을 사용하면 최소한의 변경으로 온-프레미스 SQL Server를 Azure로 마이그레이션하고 보안 인프라를 최신화하는 두 가지 주요 시나리오가 가능합니다.

최소한의 변경으로 온-프레미스 SQL Server를 Azure로 리프트 앤 시프트

Microsoft Entra 보안 주체에 대해 Windows 인증을 사용하도록 설정하면 고객은 애플리케이션 인증 스택에 대한 변경 내용을 구현하거나 Microsoft Entra Domain Services를 배포하지 않고도 Azure SQL Managed Instance로 마이그레이션할 수 있습니다. 고객은 Windows 인증을 사용하여 Active Directory 또는 Microsoft Entra 조인 디바이스에서 관리되는 인스턴스에 액세스할 수도 있습니다.

Microsoft Entra 보안 주체에 대한 Windows 인증은 관리되는 인스턴스에서 다음 패턴도 사용하도록 설정합니다. 이러한 패턴은 기존 온-프레미스 SQL Server에서 자주 사용됩니다.

• "이중 홉" 인증: 웹 애플리케이션은 IIS ID 가장을 사용하여 최종 사용자의 보안 컨텍스트에서 인스턴스에 대해 쿼리를 실행합니다.
• 확장 이벤트 및 SQL Server Profiler를 사용하는 추적은 Windows 인증을 사용하여 시작할 수 있으므로 이 워크플로에 익숙한 데이터베이스 관리자와 개발자가 쉽게 사용할 수 있습니다. Microsoft Entra 보안 주체에 대한 Windows 인증을 사용하여 Azure SQL Managed Instance에 대한 추적 실행 방법을 알아봅니다.

보안 인프라 최신화

Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대해 Windows 인증을 사용하도록 설정하면 고객이 보안 방식을 최신화할 수 있습니다.

예를 들어 고객은 Windows 인증에 의존하는 입증된 도구를 사용하여 모바일 분석가가 생체 인식 자격 증명을 사용하여 관리되는 인스턴스에 인증하도록 할 수 있습니다. 이는 모바일 분석가가 Microsoft Entra ID에 조인된 랩톱에서 작업하는 경우에도 수행할 수 있습니다.

다음 단계

Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증 구현에 대해 자세히 알아봅니다.

• Azure SQL Managed Instance에 대한 Windows 인증이 Microsoft Entra ID 및 Kerberos를 사용하여 구현되는 방법
• Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 설정하는 방법을 참조하세요.