[Azure] AD | Active Directory에 사용자 추가 및 권한 할당

관리자가 Microsoft Azure를 처음 사용하고 팀 동료 또는 추가 관리가 필요한 사용자를 추가해야 되는 상황이 있습니다. 
Azure에는 Active Directory를 제공하고 있어 MS 제품을 많이 사용해 본 사람이면 쉽게 적응이 가능하겠지만 AD환경에 익숙하지 않은 사람은 처음에 어려울 수 있는 서비스입니다. 

  < For Example > 
 우리 부서에 처음으로 Azure프로젝트를 맡게 되었다. 관리자는 A가 맡아서 하고 B, C, D도 같이 Azure프로젝트에 참여하게 되었는데 처음 Azure계정을 생성한 A는 B, C, D를 Azure Active Directory에 사용자 추가를 하였는데도 B, C, D는 접속을 할 수 없는 상황이 되었다..

 

 

 

1. Azure Active Directory에서 사용자 추가

 Azure Active Directory에서 사용자 추가 페이지로 갑니다. 여기서 사용자 만들기를 하여 신규 @outlook.onmicrosoft.com 도메인의 계정을 생성해 줄 수 있고, 외부 메일 주소(gamil.com, daum.net 등)를 사용하는 사용자를 초대할 수 있습니다. 
 사용자 초대로 진행하면, 추가할 때 등록한 이메일로 초대 메일이 날라옵니다. (스팸메일 확인 필요!)

 여기서 중요한, 여러 Azure계정을 사용하여 여러 프로젝트를 하고 있다면 사용자 초대를 통해 해당 계정을 초대해야 합니다.  이 말은, Azure 디렉터리 + 구독으로 계정을 스위칭하기 위함입니다. 

Azure Directory Switching

 

사용자를 추가하면 Azure Active Directory 사용자(Users)에 아래와 같이 추가된 사용자가 보입니다. 빨간색 표기된 사용자는 외부 사용자 초대를 통해 들어온 사용자이며, 그림 우측에 "초대"라고 표기됩니다.

Azure Active Directory Users

 

 

 

2. 사용자 역할 할당

추가된 사용자는 Azure Portal에 접속해도 어떠한 리소스에 접근을 할 수 없습니다. 해당 사용자에게 맞는 역할(Role)을 할당해주어야 합니다. 초대 또는 추가된 사용자를 선택하면 할당된 역할을 볼 수 있습니다. 아래 그림의 선택된 사용자는 "전역 관리자" 역할이 할당되어 있습니다. "전역 관리자"는 전체 Azure서비스를 관리할 수 있습니다. 

Azure Active Directory User's Roles

 

 

 

3. 구독(Subscriptions) Access Control (IAM) 역할 할당

위의 사용자를 AD에 추가를 하여도 해당 사용자가 Azure Portal에 접속했을 때, 리소스(Azure Resources)에 접근하면 권한이 없다고 한다. 이는 해당 AD와는 별개로 Azure Portal에 할당되어 있는 Subscription 권한이 없기 때문이다. 따라서 Azure Subscription(구독)에 해당 사용자의 Access Control(IAM) 역할을 할당해 주어야 합니다.

Azure Subscriptions

Azure Subscriptions(구독) 서비스의 좌측 패널 Access Control(IAM) 액세스 제어를 선택하여 "역할 할당 추가"로 사용자를 추가해주어야 합니다.
사용자를 추가할 때 역할, 다음에 대한 액세스 할당으로 추가된 사용자 역할에 맞는 권한을 할당하면 됩니다. 대부분의 권한은 만들어져 있어 읽기 전용만 필요한 경우 독자(Read Only), 전체 권한을 주는 소유자(Owner)를 줄 수 있다.

Azure Subscription's Access Control Roles

 

About Active Directory

Microsoft의 Active Directory는 Hyper-V, WVD(Windows Virtual Desktop), MS-SQL Clustering, System Center 등 Microsoft 제품 사용 시 반드시 필요한 서비스입니다. Active Directory는 Windows Server제품군에서 간단하게 서비스를 설치할 수 있으나, Azure에서는 Azure Active Directory로 자체 서비스를 제공하고 있습니다. 또한 On-Premise에서 사용하던 AD와 연동할 수 있는 Azure AD Connect도 제공합니다. 

* Azure Active Directory는 사용자 계정 관리 중심인 것으로 보이고, AD서비스를 통한 인증 절차가 필요한 경우 "Azure AD Domain Service"를 사용해야 합니다.