Microsoft Azure, Active Directory에 대해서… (6), 위임된 그룹 관리(Delegated Group Management)


image

오늘 포스팅은 Microsoft Azure AD Premium(AADP)에서 제공하는 그룹 관리입니다. 일반적인 IT 엔지니어 분들의 업무 중 하나가 사내의 그룹에 대한 관리입니다. 어떠한 형태의 리소스에 대해서 접근 보안을 고려할 때, 그룹의 형태를 많이 사용하시는 형태일 것입니다. 이러한 그룹의 소속원 정보를 업데이트하는 요청이 종종 발생할 것이고, 이에 대한 업데이트가 업무가 되는 것이죠.

Microsoft는 내부적으로 대부분의 그룹 관리를 리소스를 사용하는 사람들간에 진행하게 됩니다. 예를 들어, 꼬알라가 그룹을 통해서 접근을 제어하고자 할때, 사내 IDentity 관련 포탈에서, 그룹을 생성하고, 사용자를 추가해주는 형태죠. 이에 대한 그룹 소속원 관리는 접근을 하고자하는 사용자들이 그룹에 대해서 소속원 가입을 요청하여, 자동으로 처리되거나, 그룹 소유자의 승인을 받는 형태로 처리됩니다. 이러한 사내 IDentity 관련 포탈은 Forefront Identity Manager(FIM)에서 제공하는 기술 중 하나죠.

Microsoft Azure에서 제공하는 AD에서도 그룹 관리라는 기술이 제공됩니다. AAD를 기반으로 제공하는 응용 프로그램 서비스에 대해서(대표적으로 Office 365) 접근 및 여러 사유로 그룹을 사용하고자 할때, IT 엔지니어에게 요청하지 않고, 필요시 생성하고, 소속원을 관리할 수 있는 형태입니다. 이러한 그룹 관리자는 AAD의 프리미엄 버전에서 제공됩니다. (아래 그림내 사항 중, Self-Service Group Management for cloud users입니다.)

image

이미 여러 포스팅에서 살펴본 바와 같이 사내 AD와 AAD는 인증 연동 및 디렉터리 동기화가 가능합니다. 여기서 그룹에 대한 관리는 AAD에서 생성된 그룹에 대한 부분을 의미합니다.

image

AAD의 구성 페이지를 살펴보면, 그룹 관리라는 항목이 있습니다. 일단 그룹 관리를 할 것인지에 대한 옵션과, 사용자가 직접 그룹을 만들 수 있는지에 대한 부분을 설정할 수 있습니다. 그렇다면, 사용자는 어디서 그룹을 만들 것인가에 대해서 궁금하실 수 있습니다. https://myapps.microsoft.com 에서 그룹에 대한 부분을 개인적으로 설정할 수 있습니다. 해당 포탈은 AAD에서 제공하는 응용 프로그램뿐만 아니라, AAD에 대한 전반적인 개인 설정을 다룰 수 있는 페이지입니다. 해당 사이트에 AAD와 연계된 계정으로 로그인을 합니다. (AAD 인증, ADFS 인증 모두)

해당 사이트에 그룹 관리를 설정하면 두개의 페이지(그룹, 승인)가 더 나타납니다.

image

그룹 페이지에서 그룹을 생성할 수 있으며, 승인 페이지에서는 본인이 생성한 그룹에 대한 가입을 처리하는 페이지입니다.

image

그룹을 생성할 경우, 옵션이 두가지가 있습니다. 가입 요청시 승인을 받는 형태, 바로 가입이 되는 형태입니다. 이렇게 생성한 그룹을 AAD와 연계된 응용 프로그램 서비스에서 활용할 수 있습니다. Office 365내 SharePoint 사이트에서 사이트, 라이브러리 폴더, 그리고 파일에 대해서 개별적으로 접근을 제어할 수 있습니다.

image

이후 새로운 사용자가 그룹에 가입을 요청할 수 있습니다.

image

가입을 신청하면, 관련된 소유자에게 요청이 전달되었다는 메시지가 표시됩니다.

image

해당 사항은 사용자의 전자 메일로 전송됩니다. 이에 대한 처리를 위해서, 포탈로 돌아와서, 승인 페이지로 가면, 사용자의 요청이 표시됩니다.

image

이를 처리하는 형태로 그룹이 관리됩니다. 당연한 이야기지만, Microsoft Azure 관리 포탈에서도 전역 관리자가 확인이 가능합니다.

image

이렇게 손쉽게, AAD내 그룹 관리를 이용하면, 사용자와 그룹에 대한 관리를 손쉽게 처리, 혹은 위임할 수 있게 됩니다. 그룹에 대한 관리 위임은 조직내 문화와도 관련된 부분이 있기에, 사용자들이 직접 그룹을 관리하는 형태가 쉽지 않을 수도 있지만, 그룹에 대한 관리는 리소스를 관리하는 조직에서 하는 것이 가장 효율적인 형태이기 때문에, 활용을 검토해보시는 것이 어떨까요?

Comments (0)

Skip to main content