피드로 돌아가기
Dev.toDevOps
원문 읽기
2027년 7월까지 WIF Issuer를 Microsoft Entra로 단일화하는 표준화 전환
Azure DevOps issuer in WIF service connections heads for July 2027 retirement
AI 요약
Context
Azure DevOps의 Workload Identity Federation(WIF)이 서로 다른 Issuer URL을 통해 신뢰 관계를 구축하던 파편화된 구조. Microsoft Entra Issuer로의 표준화를 통해 Azure 서비스 전반의 ID 체계 일관성을 확보하려는 목적.
Technical Solution
- 기존 vstoken.dev.azure.com 기반 Issuer를 Microsoft Entra Issuer로 교체하는 Federated Credential 재설계
- OIDC 토큰 교환 프로토콜과 기존 Trust Relationship은 유지하되 인증 주체인 Issuer URL만 변경하는 최소 영향 설계
- 서비스 연결(Service Connection) 재구축 없이 대상 Entra Application 및 Managed Identity의 Credential 정보만 갱신
- 가용성 확보를 위해 기존 Issuer와 신규 Entra Issuer를 병렬로 등록하는 Blue-Green 방식의 전환 전략 채택
- 저위험 파이프라인 대상의 선제적 Cutover 수행 후 기존 Credential을 제거하는 단계적 마이그레이션 경로 설정
- Public Cloud의 Single-tenant 환경을 우선 적용 대상으로 지정하여 점진적 표준화 추진
실천 포인트
1. Entra Application과 Azure DevOps 서비스 연결 간의 소유권 불일치 여부 사전 확인
2. Multi-tenant 앱 및 Sovereign Cloud 제외 대상 분류를 통한 마이그레이션 범위 확정
3. 신규 Entra Issuer용 Subject 값을 테스트 파이프라인에서 직접 추출하여 설정
4. 병렬 Credential 등록을 통한 롤백 경로 확보 및 단계적 트래픽 전환 수행