🔐

Microsoft Entra ID

보안클라우드 ID 인증과 접근 제어의 중앙 관리

▶아키텍처 다이어그램

👤User

🔐Entra ID

📲MFA

🛡️Conditional Access

🎫Access Token

📱Application

👥RBAC

점선 애니메이션은 데이터 또는 요청의 흐름 방향을 나타냅니다

왜 필요한가요?

애플리케이션이 하나일 때는 사용자 테이블에 비밀번호 해시를 넣고 세션으로 관리하면 됩니다. 그런데 서비스가 여러 개로 늘어나면 문제가 달라집니다. 각 서비스마다 로그인 화면을 따로 두면 사용자는 비밀번호를 여러 벌 관리해야 하고, 팀은 인증 로직을 서비스마다 반복 구현해야 합니다. 퇴사자의 접근 권한을 한 곳에서 끊을 수 없고, 어떤 서비스에서 누가 언제 접속했는지 통합 감사도 어렵습니다. 외부 SaaS까지 쓰기 시작하면 계정 분산은 더 심해지고, 비밀번호 유출 한 건이 여러 시스템에 파급됩니다. Entra ID는 인증과 권한을 하나의 ID 계층으로 통합해서 이 분산 문제를 구조적으로 해결합니다.

왜 이런 방식이 등장했나요?

초기에는 각 서버와 애플리케이션이 자체 사용자 데이터베이스를 갖고 인증을 처리했습니다. 서비스가 적을 때는 이것으로 충분했지만, 기업 환경에서 시스템이 수십 개로 늘어나면서 계정 분산, 비밀번호 피로, 퇴사자 접근 통제 누락 같은 운영 문제가 반복됐습니다. 온프레미스에서는 Active Directory가 이 문제를 사내망 안에서 해결했지만, 클라우드 서비스와 SaaS가 사내망 바깥에서 늘어나면서 AD만으로는 커버할 수 없는 영역이 생겼습니다. 사용자는 어디서든 접속하고, 앱은 여러 클라우드에 흩어져 있고, API 호출도 서비스 간에 자동으로 일어나는 환경에서는 네트워크 경계가 아닌 ID 자체를 보안의 중심으로 삼아야 했습니다. Entra ID가 등장한 배경에는 이처럼 '신뢰의 경계가 네트워크에서 ID로 이동한' 현실이 있습니다.

안에서 어떻게 동작하나요?

Entra ID는 사용자가 로그인 요청을 보내면 자격 증명을 확인한 뒤 토큰을 발급하고, 애플리케이션은 이 토큰만으로 사용자 신원과 권한을 판단합니다. 토큰은 OAuth 2.0과 OpenID Connect 표준을 따르기 때문에, 애플리케이션이 직접 비밀번호를 다루지 않고도 인증을 위임할 수 있습니다. 로그인 과정에서 조건부 접근 정책이 끼어들어, 접속 위치나 디바이스 상태, 로그인 위험 수준에 따라 추가 인증을 요구하거나 접근을 차단할 수 있습니다. MFA는 비밀번호가 유출되더라도 추가 인증 수단(앱 알림, 생체 인식 등)이 있어야 통과시키는 방식으로 계정 탈취를 줄입니다. Azure 리소스에 접근하는 서비스에는 Managed Identity를 부여해서, 코드에 자격 증명을 넣지 않고도 Key Vault나 Storage 같은 리소스에 인증할 수 있습니다. 결국 Entra ID의 핵심은 '누가 무엇에 접근할 수 있는가'를 중앙의 정책으로 관리하고, 개별 서비스는 토큰 검증만 하면 되는 구조를 만드는 것입니다.

무엇과 헷갈리나요?

Entra ID와 온프레미스 Active Directory(AD)는 둘 다 조직의 사용자와 권한을 관리한다는 점에서 같은 문제를 다룹니다. 하지만 AD는 사내 네트워크 안에서 Kerberos와 LDAP 기반으로 동작하는 디렉터리 서비스이고, Entra ID는 클라우드와 SaaS를 전제로 OAuth/OIDC 기반으로 동작하는 ID 플랫폼입니다. AD는 도메인 가입된 윈도우 PC와 서버를 관리하는 데 강하고, Entra ID는 웹 앱, 모바일 앱, 외부 SaaS에 대한 SSO와 조건부 접근에 강합니다. 많은 조직이 두 시스템을 AD Connect로 동기화해서 함께 쓰지만, 클라우드 네이티브 환경에서 처음 시작하는 경우에는 Entra ID만으로 충분한 경우가 많습니다. 판단 기준은 '관리 대상이 사내 도메인 장비 중심인가, 클라우드 앱과 API 중심인가'입니다.

🔑

Key Vault

비밀 값, 암호화 키, 인증서의 중앙 보관소

Entra ID는 '누구인가'를 확인하는 인증·권한 플랫폼이고, Key Vault는 '무엇을 보호할 것인가'를 다루는 비밀 저장소입니다. 둘 다 보안 영역이지만 관심사가 다릅니다.

언제 쓰나요?

Entra ID는 Azure 리소스에 대한 접근 제어뿐 아니라, Microsoft 365, 외부 SaaS, 자체 개발 API 등 조직 전체의 인증을 통합하는 자리에 놓입니다. 새 웹 앱을 만들 때 인증 로직을 직접 구현하지 않고 앱 등록으로 OAuth 플로우를 연결하면 SSO와 MFA를 바로 쓸 수 있고, 퇴사자의 계정을 Entra ID에서 비활성화하면 연결된 모든 서비스 접근이 한 번에 끊깁니다. 서비스 간 통신에서는 Managed Identity를 쓰면 비밀번호나 API 키를 코드에 넣지 않아도 되므로 자격 증명 유출 위험이 줄어듭니다. 반면 Entra ID는 인증과 권한의 '누가, 어디에' 문제를 다루는 것이지, 데이터 암호화나 비밀 값 보관까지 대신하지는 않습니다. 또한 네트워크 수준의 격리나 방화벽 규칙은 별도 설계가 필요합니다.

SSO조건부 접근RBAC앱 등록

다음에 볼 개념

🔑

Key Vault

비밀 값, 암호화 키, 인증서의 중앙 보관소

Entra ID로 사용자와 서비스의 신원을 확인한 뒤에도, 그 서비스가 사용하는 API 키나 연결 문자열을 안전하게 보관하는 문제가 남으므로 Key Vault가 다음에 필요해집니다.

🌐

App Service

인프라 관리 없이 웹 앱을 배포하고 운영하는 관리형 플랫폼

Entra ID에서 앱 등록과 인증 흐름을 이해한 뒤에는 실제로 그 인증을 적용할 웹 앱을 배포해야 하므로, App Service에서의 인증 통합이 자연스러운 다음 단계입니다.

함께 보면 좋은 개념

🔑

Key Vault

비밀 값, 암호화 키, 인증서의 중앙 보관소

Key Vault에 저장된 비밀 값에 접근할 때 Entra ID의 Managed Identity로 인증하는 구조가 가장 일반적입니다. Entra ID가 신원을 증명하고, Key Vault가 그 신원에 따라 비밀 값을 내줍니다.

☸️

AKS

Azure에서 관리되는 Kubernetes 컨테이너 오케스트레이션

AKS 클러스터의 API 서버 접근 제어와 Pod의 Azure 리소스 접근에 Entra ID의 RBAC와 Workload Identity가 쓰입니다.

Official Docs

더 깊게 보기

현재 페이지의 개념 설명을 본 뒤 공식 문서로 바로 이동합니다.

AZURE

시작하기

빠른 입문과 핵심 개념

개발자 가이드

설정, API, 심화 사용법