Microsoft Entra 애플리케이션 프록시는 기본적으로 인증에 헤더를 사용하는 애플리케이션에 대한 SSO(Single Sign-On) 액세스를 지원합니다. 애플리케이션에 필요한 헤더 값을 Microsoft Entra ID로 구성합니다. 헤더 값은 애플리케이션 프록시를 통해 애플리케이션으로 전송됩니다. 애플리케이션 프록시에서 헤더 기반 인증에 대한 네이티브 지원을 사용하는 이점은 다음과 같습니다.
온-프레미스 앱 대한 원격 액세스를 간소화합니다. 애플리케이션 프록시는 기존 원격 액세스 아키텍처를 간소화합니다. 이러한 앱에 대한 VPN(가상 사설망) 액세스를 대체합니다. 인증을 위해 온-프레미스 ID 솔루션에 대한 종속성을 제거합니다. 사용자 환경을 간소화하면 회사 애플리케이션을 사용할 때 다른 것을 알 수 없습니다. 사용자는 모든 디바이스의 어디에서나 작업할 수 있습니다.
앱 추가 소프트웨어 또는 변경 내용 없음 - 기존 프라이빗 네트워크 커넥터를 사용합니다. 추가 소프트웨어가 필요하지 않습니다.
사용할 수 있는 다양한 특성 및 변환 목록 - 사용 가능한 모든 헤더 값은 Microsoft Entra ID에서 발급한 표준 클레임을 기반으로 합니다. SAML(Security Assertion Markup Language) 또는 OIDC(OpenID Connect) 애플리케이션의 클레임 구성을 위해 사용할 수 있는 모든 특성과 변환은 헤더 값으로도 제공됩니다.
필수 구성 요소
애플리케이션 프록시를 사용하도록 설정하고 애플리케이션에 대한 직접 네트워크 액세스 권한이 있는 커넥터를 설치합니다. 자세한 내용은 애플리케이션 프록시통해 원격 액세스를 위한 온-프레미스 애플리케이션 추가를 참조하세요.
지원되는 기능
이 표에는 헤더 기반 인증 애플리케이션에 필요한 일반적인 기능이 나와 있습니다.
| 요구사항 | 묘사 |
|---|---|
| 페더레이션된 SSO | 사전 인증 모드에서는 모든 애플리케이션이 Microsoft Entra 인증으로 보호되고 사용자에게 Single Sign-On이 있습니다. |
| 원격 액세스 | 애플리케이션 프록시는 앱에 대한 원격 액세스를 제공합니다. 사용자는 외부 URL(Uniform Resource Locator)을 사용하여 모든 웹 브라우저에서 인터넷에서 애플리케이션에 액세스합니다. 애플리케이션 프록시는 일반 회사 액세스를 위한 것이 아닙니다. 일반적인 회사 액세스는 microsoft Entra Private Access 참조하세요. |
| 헤더 기반 통합 | 애플리케이션 프록시는 Microsoft Entra ID와 SSO 통합을 처리한 다음 ID 또는 기타 애플리케이션 데이터를 HTTP 헤더로 애플리케이션에 전달합니다. |
| 애플리케이션 권한 부여 | 일반적인 정책은 액세스 중인 애플리케이션, 사용자의 그룹 멤버 자격 및 기타 정책에 따라 지정됩니다. Microsoft Entra ID에서 정책은 조건부 액세스사용하여 구현됩니다. 애플리케이션 권한 부여 정책은 초기 인증 요청에만 적용됩니다. |
| 단계별 인증 | 정책은 예를 들어 중요한 리소스에 액세스하기 위해 강제로 추가된 인증을 위해 정의됩니다. |
| 세분화된 권한 부여 | URL 수준에서 액세스 제어를 제공합니다. 추가된 정책은 액세스되는 URL에 따라 적용할 수 있습니다. 앱에 대해 구성된 내부 URL은 정책이 적용되는 앱의 범위를 정의합니다. 가장 세분화된 경로에 대해 구성된 정책이 적용됩니다. |
메모
이 문서에서는 애플리케이션 프록시를 사용하는 헤더 기반 인증 애플리케이션과 Microsoft Entra ID 간의 연결을 설명하고 권장되는 패턴입니다. 또는 Microsoft Entra ID와 함께 PingAccess를 사용하여 헤더 기반 인증을 사용하도록 설정하는 통합 패턴이 있습니다. 자세한 내용은 애플리케이션 프록시 및 PingAccess 사용한 Single Sign-On에 대한헤더 기반 인증을 참조하세요.
작동 방식
- 관리자는 Microsoft Entra 관리 센터에서 애플리케이션에 필요한 특성 매핑을 사용자 지정합니다.
- 애플리케이션 프록시는 사용자가 Microsoft Entra ID를 사용하여 인증되도록 합니다.
- 애플리케이션 프록시 클라우드 서비스는 필요한 특성을 알고 있습니다. 따라서 서비스는 인증 중에 받은 ID 토큰에서 해당 클레임을 가져옵니다. 그런 다음 서비스는 커넥터에 대한 요청의 일부로 값을 필요한 HTTP 헤더로 변환합니다.
- 그런 다음 요청이 커넥터에 전달된 다음 백 엔드 애플리케이션에 전달됩니다.
- 애플리케이션은 헤더를 수신하고 필요에 따라 이러한 헤더를 사용할 수 있습니다.
애플리케이션 프록시를 사용하여 애플리케이션 게시
애플리케이션 프록시 사용하여 애플리케이션 게시설명된 지침에 따라 애플리케이션을 게시합니다.
- 내부 URL 값은 애플리케이션의 범위를 결정합니다. 애플리케이션의 루트 경로에서 내부 URL 값을 구성하고 루트 아래의 모든 하위 경로는 동일한 헤더 및 애플리케이션 구성을 받습니다.
- 구성한 애플리케이션과 더 세분화된 경로에 대해 다른 헤더 구성 또는 사용자 할당을 설정하는 새 애플리케이션을 만듭니다. 새 애플리케이션에서 필요한 특정 경로로 내부 URL을 구성한 다음 이 URL에 필요한 특정 헤더를 구성합니다. 애플리케이션 프록시는 항상 구성 설정을 애플리케이션에 대해 설정된 가장 세분화된 경로와 일치합니다.
Microsoft Entra ID을 사전 인증 방법으로 선택합니다.
사용자 및 그룹으로 이동하여 적절한 사용자 및 그룹을 할당함으로써 테스트 사용자를 지정합니다.
브라우저를 열고 애플리케이션 프록시 설정에서 외부 URL로 이동합니다.
애플리케이션에 연결할 수 있는지 확인합니다. 연결할 수 있지만 헤더가 구성되지 않았으므로 앱에 아직 액세스할 수 없습니다.
싱글 사인온(Single Sign-On) 구성
헤더 기반 애플리케이션에 대한 Single Sign-On을 시작하기 전에 프라이빗 네트워크 커넥터를 설치합니다. 커넥터는 대상 애플리케이션에 액세스할 수 있어야 합니다. 자세한 내용은 자습서: Microsoft Entra 애플리케이션 프록시참조하세요.
- 애플리케이션이 엔터프라이즈 애플리케이션 목록에 표시되면 애플리케이션을 선택하고 Single Sign-On선택합니다.
- Single Sign-On 모드를 헤더 기반로 설정합니다.
- 기본 구성Microsoft Entra ID 기본값으로 선택됩니다.
- 헤더에서 편집 연필을 선택하여 애플리케이션에 보낼 헤더를 구성합니다.
- 새 헤더 추가를 선택합니다. 헤더의 이름을 입력하고 특성 또는 변환 선택하고 드롭다운에서 애플리케이션에 필요한 헤더를 선택합니다.
- 사용 가능한 특성 목록에 대한 자세한 내용은 클레임 사용자 지정 - 특성참조하세요.
- 사용 가능한 변환 목록에 대한 자세한 내용은 클레임 사용자 지정 - 클레임 변환참조하세요.
- 그룹 헤더추가할 수 있습니다. 그룹을 값으로 구성하는 방법에 대한 자세한 내용은 애플리케이션에 대한 그룹 클레임 구성을 참조하세요.
- 저장을 선택합니다.
앱 테스트
이제 애플리케이션이 실행 중이며 사용할 수 있습니다. 앱을 테스트하려면 다음을 수행합니다.
- 새 브라우저 또는 프라이빗 브라우저 창을 열어 이전에 캐시된 헤더를 지웁니다.
- 외부 URL로 이동합니다. 이 설정은 애플리케이션 프록시 설정에서 외부 URL 나열되어 있습니다.
- 앱에 할당한 테스트 계정으로 로그인합니다.
- SSO를 사용하여 애플리케이션을 로드하고 로그인할 수 있는지 확인합니다.
고려 사항
- 애플리케이션 프록시는 온-프레미스 또는 프라이빗 클라우드에서 앱에 대한 원격 액세스를 제공합니다. 애플리케이션 프록시는 의도한 애플리케이션과 동일한 네트워크 내에서 발생하는 트래픽에는 권장되지 않습니다.
- 헤더 기반 인증 애플리케이션에 대한 액세스는 커넥터 또는 기타 허용된 헤더 기반 인증 솔루션트래픽으로만 제한되어야 합니다. 액세스 제한은 일반적으로 애플리케이션 서버에서 방화벽 또는 IP 제한을 사용하여 수행됩니다.