시나리오 1: AD 커넥터를 사용하여 온-프레미스 Active Directory 서비스에 대한 프록시 인증 - 배포 모범 사례 WorkSpaces
AWS고객

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

시나리오 1: AD 커넥터를 사용하여 온-프레미스 Active Directory 서비스에 대한 프록시 인증

이 시나리오는 온-프레미스 AD 서비스를 확장하고 싶지 않거나 AD DS를 새로 배포할 AWS 수 없는 고객을 위한 것입니다. 다음 그림은 각 구성 요소와 사용자 인증 흐름을 개괄적으로 보여줍니다.

각 구성 요소 및 사용자 인증 흐름을 개괄적으로 보여 주는 샘플 아키텍처.

그림 5: 온-프레미스 액티브 디렉터리에 대한 AD 커넥터

이 시나리오에서는 AD Connector를 통해 고객 온-프레미스 AD DS로 프록시되는 모든 사용자 또는 MFA 인증에 AWS 디렉터리 서비스 (AD 커넥터) 가 사용됩니다 (다음 그림 참조). 인증 프로세스에 사용되는 프로토콜 또는 암호화에 대한 자세한 내용은 이 문서의 보안 섹션을 참조하십시오.

AD Connector를 통해 고객 온-프레미스 AD DS로 프록시되는 모든 사용자 또는 MFA 인증에 AD Connector를 사용하는 방법을 보여주는 샘플 아키텍처입니다.

그림 6: 인증 게이트웨이를 통한 사용자 인증

시나리오 1은 고객이 이미 리소스를 보유하고 있을 수 있는 하이브리드 아키텍처와 WorkSpaces Amazon을 통해 액세스할 수 있는 온 프레미스 데이터 센터의 리소스를 보여줍니다. AWS 고객은 기존 온프레미스 AD DS 및 RADIUS 서버를 사용자 및 MFA 인증에 활용할 수 있습니다.

이 아키텍처는 다음 구성 요소 또는 구조를 사용합니다.

AWS

  • Amazon VPC — 두 AZ에 걸쳐 최소 두 개의 프라이빗 서브넷이 있는 Amazon VPC를 생성합니다.

  • DHCP 옵션 세트 — Amazon VPC DHCP 옵션 세트 생성. 이를 통해 고객이 지정한 도메인 이름 및 DNS (도메인 이름 서버) (온프레미스 서비스) 를 정의할 수 있습니다. 자세한 내용은 DHCP 옵션 세트를 참조하십시오.

  • Amazon 가상 사설 게이트웨이 — IPsec VPN 터널 또는 AWS Direct Connect 연결을 통해 자체 네트워크와 통신할 수 있습니다.

  • AWS 디렉터리 서비스 — AD Connector는 한 쌍의 Amazon VPC 프라이빗 서브넷에 배포됩니다.

  • Amazon WorkSpaces — AD Connector와 동일한 프라이빗 서브넷에 WorkSpaces 배포됩니다. 자세한 내용은 이 문서의 Active Directory: 사이트 및 서비스 섹션을 참조하십시오.

고객

  • 네트워크 연결 — 기업 VPN 또는 Direct Connect 엔드포인트.

  • AD DS — 기업 AD DS.

  • MFA (선택 사항) — 기업 RADIUS 서버.

  • 최종 사용자 디바이스 — Amazon 서비스에 액세스하는 데 사용되는 기업용 또는 BYOL (BYOL) 최종 사용자 디바이스 (예: Windows, Mac, iPad, Android 태블릿, 제로 클라이언트, 크롬북). WorkSpaces 지원되는 장치 및 웹 브라우저는 이 클라이언트 애플리케이션 목록을 참조하십시오.

이 솔루션은 AD DS를 클라우드에 배포하지 않으려는 고객에게 유용하지만 몇 가지 주의 사항이 있습니다.

  • 연결 의존 — 데이터 센터에 대한 연결이 끊어지면 사용자는 해당 WorkSpaces 데이터 센터에 로그인할 수 없으며 기존 연결은 Kerberos/Ticket-Granting Ticket (TGT) 수명 기간 동안 활성 상태로 유지됩니다.

  • 지연 시간 — 연결을 통해 대기 시간이 발생하는 경우 (Direct Connect보다 VPN의 경우 더 많음), WorkSpaces 인증 및 모든 ADDS 관련 활동 (예: 그룹 정책 (GPO) 적용에 더 많은 시간이 소요됩니다.

  • 트래픽 비용 — 모든 인증은 VPN 또는 Direct Connect 링크를 통과해야 하므로 연결 유형에 따라 달라집니다. 이는 Amazon EC2에서 인터넷으로의 데이터 전송 또는 데이터 송신 (직접 연결) 입니다.

참고

AD 커넥터는 프록시 서비스입니다. 사용자 자격 증명을 저장하거나 캐시하지 않습니다. 대신 모든 인증, 조회 및 관리 요청은 AD에서 처리합니다. 디렉터리 서비스에는 모든 사용자 정보를 읽고 컴퓨터를 도메인에 가입시킬 수 있는 권한이 있는 위임 권한이 있는 계정이 필요합니다.

일반적으로 WorkSpaces 경험은 이전 그림에 표시된 Active Directory 인증 프로세스에 따라 크게 달라집니다. 이 시나리오에서 WorkSpaces 인증 환경은 고객 AD와 WorkSpaces VPC 간의 네트워크 링크에 크게 의존합니다. 고객은 링크의 가용성이 높은지 확인해야 합니다.