페푸리의 Office Server 이야기

Entra는 Azure AD와 Windows Server AD의 혼동을 줄이기 위하여, Azure AD를 Entra ID로 변경하면서 Entra 제품군의 출발을 알렸습니다.

Microsoft는 제품의 다중 클라우드, 다중 플랫폼 기능을 전달하고 Windows Server Active Directory와의 혼동을 완화하며 Microsoft Entra 제품군을 통합하기 위해 Azure AD(Azure Active Directory)의 이름을 Microsoft Entra ID로 변경했습니다.

관련자료: New name for Azure Active Directory - Microsoft Entra | Microsoft Learn

그도 그럴만한 것이 사람들이 알고 있는 AD는 사실 Active Directory Domain Service로 AD DS입니다. Azure AD는 극단적으로 설명하면 Identity만 관리하며, Azure AD에 Join된 장치들의 정책을 관리하는 것은 Intune의 Configuration Profile입니다. 즉, AD의 클라우드 버전은 Azure AD + Intune입니다. 오랜 기간 AD개념이 자리 잡혀 있는 분들에게는 설명이 매우 어려웠습니다.

Entra로 브랜드 네임을 변경하면서 포괄적인 Identity 및 Access 관리 플랫폼으로 자리잡기 시작했습니다.

Entra 관리센터에 접속하면, Azure AD라고 불리던 시절보다 다양한 기능들을 제공하는 것을 알 수 있습니다.

그 중에서 Verified ID에 대해서 알아보도록 하겠습니다. 아래의 기술자료로 출발해 보겠습니다.

Introduction to Microsoft Entra Verified ID - Microsoft Entra Verified ID | Microsoft Learn

우선 Verified ID의 등장 배경은 다음과 같습니다.

오늘날의 우리의 디지털 및 물리적 생활은 우리가 사용하는 앱, 서비스 및 장치와 점점 더 얽혀지고 있습니다. 이 디지털 혁명은 가능성의 세계를 열어, 우리가 이전에는 상상할 수 없었던 방법으로 수많은 회사 및 개인과 연결할 수 있도록 합니다.

이렇게 증가된 연결성으로 ID 도용 및 데이터 침해의 위험이 더 커지게 됩니다. 이러한 침해는 우리의 개인적, 직업적 삶에 엄청난 영향을 미칠 수 있습니다. 그러나 희망이 있습니다. Microsoft는 다양한 커뮤니티와 협력하여 개인이 자신의 디지털 ID를 제어하도록 하는 탈중앙화 ID 솔루션을 만들고 중앙 집중식 기관 또는 중개자 없이 ID 데이터를 관리하는 안전하고 사적인 방법을 제공합니다.

-> 여기서 핵심은 탈 중앙화 ID 솔루션(Decentralized Identity solution) 입니다. 사실 그 이외의 개념은 조금 어려워서… 지금 제 수준에서 그 것을 더 풀어서 설명하기는 어렵습니다. 이런 것을 보면… Identity만 제대로 Deep Dive를 했었다면, 먹고 사는데 지장이 없었을 것 같습니다.

이 것을 실용적으로 어떻게 사용할 수 있는지 테스트를 하고, 결과론적으로 이해해야 할 것 같습니다.

개방형 표준 주도 (Lead with open standards)

MS는 다음과 같은 표준이 구현되어 있다고 합니다.

W3C 탈중앙화 식별자

W3C 확인 가능한 자격 증명

DIF Sidetree

DIF Well Known DID Configuration

DIF DID-SIOP

DIF Presentation Exchange

-> 이 내용을 보면 단순히 M365에서 사용하는 것이 아니라 SSO와 같거나 혹은 다른 개념으로 다른 시스템과 연동한다는 의미로 해석됩니다.

DID(탈중앙화 ID)란?

신원 정보의 소유와 관리 권한을 중앙 기관이나 기업이 아닌 개인이 직접 통제할 수 있도록 하는 신원 관리 방식입니다.

중앙 서버나 기관에 의존하지 않고, 분산된 네트워크를 통해 신원 정보의 무결성과 보안을 보장합니다. 블록체인과 같은 분산 원장 기술이 주로 사용되며, 개인이 자신의 신원 정보에 대한 완전한 통제권을 가지는 것을 목표로 합니다.

그렇다면 MS에서 제공하는 Verified ID는 무엇일까? 라고 했을 때, 발급자(Issuer), 검증자(Verifier), 중개자(Role Modeler)의 역할을 한다. 라고 이해하였습니다.

그림 상의 각 항목이 설명하는 내용은 다음과 같습니다.

1. W3C DID(탈중앙화 식별자)번호

- 고유의 ID

2. Trust System

- DID 문서를 확인할 수 있도록 검증하고 인증하는 역할을 합니다.

3. MS Authenticate App

- 디지털 지갑 역할. 사용자가 신분증을 넣고 다니는 지갑이라고 생각하면 될 것 같습니다.

4. Microsoft Resolver

- did:web메서드를 사용하여 DID를 조회하고 확인하고 DDO(DID 문서 개체)를 반환하는 API

5. Microsoft Entra Verified ID API

- Azure의 발급 및 확인 서비스와 did:web 메서드로 서명된 W3C 확인 가능한 자격 증명용 REST API

이 흐름을 자세히 다루기 위해서는 구체적인 샘플환경을 구축 해야 이해를 할 수 있을 것 같습니다.

샘플을 구축하고 포스팅을 하고 어느정도 이해가 되면 이 포스팅을 다시 업데이트 하겠습니다.