테넌트 멤버십 이해

테넌트 멤버십은 ID 공급자의 에코시스템 내 두 유형의 자산 사이의 단방향 연결을 나타냅니다.

  1. ID 공급자의 자산 - 예를 들어 사용자 계정, 그룹이나 리소스입니다.

  2. "테넌트" 자산 - 자산을 포함하는 광범위한 엔터티나 도메인을 나타냅니다. "테넌트"의 성격은 ID 공급자마다 다릅니다.

이 테넌트 멤버십을 이용하면 자산과 그 테넌트 사이의 관계를 파악하는 데 도움이 되며 자산 조직과 계층 구조에 대한 통찰을 얻을 수 있습니다.

자산을 테넌트에 연결

Active Directory(AD)의 경우, 자산은 자산의 고유 이름(DN)을 사용해 테넌트(AD 도메인)로 연결됩니다. DN을 보면 디렉터리 구조 내에서 자산의 위치에 관한 계층 구조 정보를 알 수 있으며, 이 정보를 사용해 테넌트를 결정합니다.

테넌트 식별

자산이 AD 개체(예: 사용자 또는 그룹)에 해당하는 경우, 테넌트를 식별하는 방법은 다음과 같습니다.

  • 자산의 고유 이름을 추출합니다.

  • DN의 도메인 구성 요소(DC) 항목에서 테넌트를 식별합니다.

  • 자산 DN: CN=UserA,CN=Users,DC=tenable,DC=corp

  • 테넌트: DC=tenable,DC=corp(AD 도메인을 나타냄).

특수 사례: 포리스트 루트 도메인 연결 이해

상황에 따라 Active Directory(AD) 자산과 그 테넌트(도메인) 사이의 관계가 AD에서 특정 개체를 처리하는 방식으로 인해 예상한 구조를 따르지 않을 가능성이 있습니다. 이 섹션에서는 명확성을 기하고자 이러한 "특수 사례"를 좀 더 자세히 설명합니다.

포리스트 루트 도메인이란?

Active Directory 포리스트는 계층 구조 방식으로 조직된 하나 이상의 도메인으로 구성됩니다. 포리스트 루트 도메인은 이 계층 구조에서 최상위 도메인으로, 포리스트 내의 다른 모든 도메인을 포함합니다. AD 내의 일부 개체는 다른 도메인에 소속되었더라도 고유 이름에서 포리스트 루트 도메인을 참조합니다. 이 동작으로 인해 테넌트 식별 방식에 영향이 발생할 수 있습니다.

특수 사례가 발생하는 과정

자산의 고유 이름(DN)에서 테넌트를 식별할 때, 도메인 구성 요소(DC=...)가 일반적으로 자산의 도메인을 나타냅니다. 하지만 예외가 있습니다.

  1. 포리스트 전반의 구성 개체

    • 특정 AD 개체는 특정 도메인이 아니라 포리스트 전체에 적용되는 구성이나 설정에 연결되어 있습니다.

    • 이러한 개체는 다음과 같이 끝나는 고유 이름을 갖습니다.

      • CN=Configuration,DC=...

    • 이러한 개체는 자신의 "실제" 도메인이 아니라 포리스트 루트 도메인에 연결됩니다.

  • DN: CN=Configuration,DC=forestRoot,DC=com

  • 테넌트: 포리스트 루트 도메인(DC=forestRoot,DC=com).

  1. 포리스트 DNS 영역

    • 일부 개체는 포리스트 전체에서 공유되는 DNS 영역을 관리합니다. 이러한 개체의 고유 이름은 다음으로 끝납니다.

      • DC=ForestDnsZones,DC=...

    • 이러한 개체는 자체 도메인이 아니라 포리스트 루트 도메인과 연결됩니다.

  • DN: DC=ForestDnsZones,DC=forestRoot,DC=com

  • 테넌트: 포리스트 루트 도메인(DC=forestRoot,DC=com).

이 정보가 중요한 이유

이러한 특수 사례를 이해하는 것은 테넌트 멤버십을 정확하게 해석하는 데 매우 중요합니다. 주요 영향은 다음과 같습니다.

  1. 테넌트 식별이 예상과 다를 수 있음

    • 특정 도메인에 속하는 것으로 보이는 개체가 사실은 포리스트 루트 도메인과 연결되었을 수 있습니다.

    • 명명 컨텍스트 "Configuration" 또는 "ForestDnsZones"의 개체는 범위가 포리스트 전체이기 때문에 포리스트 루트 도메인에 연결됩니다.

  2. 계층 구조 및 범위 규명

    • 포리스트 루트 도메인에 연결된 개체는 포리스트 수준에서 설정을 관리하거나 나타내기 때문에 적용 범위가 더 넓을 때가 많습니다.

  3. 문제 해결 및 감사에 사용

    • 이러한 사례를 잘못 해석하면 도메인 구조를 감사할 때나 ID 관련 문제를 해결할 때 오류를 초래할 수 있습니다.

이러한 미묘한 차이를 잘 이해하면 발견 사항을 자신 있게 해석하고 감사와 문제 해결 작업 시 정확도를 유지할 수 있습니다.

Tenable Identity Explorer에서 루트 컨테이너 이름을 "테넌트"로 선택한 이유

이 이름은 각 ID 공급자(IdP)의 루트 컨테이너에 해당하는 일반적이고 IdP를 구분하지 않는 이름이며, 이렇게 이름을 정해야 다양한 시스템(예: "Entra 테넌트" 및 "AD 도메인")에서 통용될 수 있습니다.

"테넌트"라는 용어는 ID 관리 분야에서 보편적으로 이해되고 플랫폼 중립적이며 Microsoft Entra와 같은 기존 표준과 이미 부합하기 때문에 선택한 것입니다. 이렇게 하면 다양한 IdP 구현을 관리할 때 명확성, 일관성과 유연성이 보장됩니다.