Azure Active Directory B2C에서 로그인 흐름 설정

시작하기 전에 이 페이지의 맨 위에 있는 정책 유형 선택기를 사용하여 설정하려는 정책 유형을 선택합니다. Azure Active Directory B2C는 사용자가 애플리케이션과 상호 작용하는 방법을 정의하는 두 가지 방법, 즉 미리 정의된 사용자 흐름 또는 완전히 구성 가능한 사용자 지정 정책을 통해 제공합니다. 이 문서에서 필요한 단계는 각 방법마다 다릅니다.

로그인 흐름 개요

로그인 정책을 통해 사용자는 다음을 수행할 수 있습니다.

• Azure AD B2C 로컬 계정으로 로그인
• 사용자는 소셜 계정으로 로그인할 수 있습니다.
• 암호 재설정
• 사용자는 Azure AD B2C 로컬 계정에 등록할 수 없습니다. 관리자는 Azure Portal 또는 Microsoft Graph API를 사용하여 계정을 만들 수 있습니다.

필수 조건

• 아직 등록 하지 않은 경우 Azure Active Directory B2C에 웹 애플리케이션을 등록합니다.
• Azure Active Directory B2C에서 사용자 흐름 및 사용자 지정 정책 만들기 단계를 완료합니다.

로그인 사용자 흐름 만들기

로그인 정책을 추가하려면 다음을 따릅니다.

1. Azure Portal에 로그인합니다.

2. 여러 테넌트에 액세스할 수 있는 경우 맨 위 메뉴에서 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.

3. Azure Portal에서 Azure AD B2C를 검색하고 선택합니다.

4. 정책 아래에서 사용자 흐름을 선택한 다음, 새 사용자 흐름을 선택합니다.

5. 사용자 흐름 만들기 페이지에서 로그인 사용자 흐름을 선택합니다.

6. 버전 선택 아래에서 추천을 선택한 다음, 만들기를 선택합니다. (사용자 흐름 버전에 대해 자세히 알아보세요.)

7. 사용자 흐름에 대한 이름을 입력합니다. 예를 들어 signupsignin1입니다.

8. ID 공급자에서 하나 이상의 ID 공급자를 선택합니다.

   • 로컬 계정에서 이메일 로그인, 사용자 ID 로그인, 전화 로그인, 전화/전자 메일 로그인, 사용자 ID/전자 메일 로그인 또는 없음 중 하나를 선택합니다. 자세히 알아보기.
   • 소셜 ID 공급자에서 설정한 외부 소셜 또는 엔터프라이즈 ID 공급자를 선택합니다. 자세히 알아보기.

9. 다단계 인증에서 사용자가 두 번째 인증 방법으로 ID를 확인하도록 하려면 방법 유형 및 MFA(다단계 인증)를 적용할 시기를 선택해야 합니다. 자세히 알아보기.

10. 조건부 액세스에서 Azure AD B2C 테넌트에 대한 조건부 액세스 정책을 구성하고 이 사용자 흐름에 대해 조건부 액세스 정책을 사용하도록 설정하려는 경우 조건부 액세스 정책 적용 검사 상자를 선택합니다. 정책 이름을 지정할 필요가 없습니다. 자세히 알아보기.

11. 애플리케이션 클레임 아래에서 토큰의 애플리케이션에 반환하려는 클레임을 선택합니다. 전체 값 목록에서 자세히 표시를 선택하고 값, 확인을 차례로 선택합니다.

    참고 항목

    Azure AD B2C 테넌트에서 사용할 사용자 지정 특성을 만들 수도 있습니다.

12. 만들기를 클릭하여 사용자 흐름을 추가합니다. B2C_1이라는 접두사가 이름 앞에 자동으로 붙습니다.

사용자 흐름 테스트

1. 만든 사용자 흐름을 선택하여 개요 페이지를 연 다음 사용자 흐름 실행을 선택합니다.
2. 애플리케이션으로 이전에 등록한 webapp1이라는 웹 애플리케이션을 선택합니다. 회신 URL에는 https://jwt.ms가 표시되어야 합니다.
3. 사용자 흐름 실행을 클릭합니다.
4. 가입 링크를 통하지 않고 만든 계정(MS Graph API 사용)을 사용하여 로그인할 수 있어야 합니다. 반환된 토큰에는 선택한 클레임이 포함됩니다.

등록 링크 제거

SelfAsserted-LocalAccountSignin-Email 기술 프로필은 가입 또는 로그인 흐름 중에 호출되는 자체 어설션입니다. 가입 링크를 제거하려면 setting.showSignupLink 메타데이터를 false로 설정합니다. 확장 파일에서 SelfAsserted-LocalAccountSignin-Email 기술 프로필을 재정의합니다.

1. 정책의 확장 파일을 엽니다. 예: SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

2. ClaimsProviders 요소를 찾습니다. 요소가 존재하지 않는 경우 추가합니다.

3. ClaimsProviders 요소에 다음 클레임 공급자를 추가합니다.

   <!--
   <ClaimsProviders> -->
     <ClaimsProvider>
       <DisplayName>Local Account</DisplayName>
       <TechnicalProfiles>
         <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
           <Metadata>
             <Item Key="setting.showSignupLink">false</Item>
           </Metadata>
         </TechnicalProfile>
       </TechnicalProfiles>
     </ClaimsProvider>
   <!--
   </ClaimsProviders> -->
   

4. 요소 내에서 <BuildingBlocks> 다음 ContentDefinition 을 추가하여 버전 1.2.0 또는 최신 데이터 URI를 참조합니다.

   <!-- 
   <BuildingBlocks> 
     <ContentDefinitions>-->
       <ContentDefinition Id="api.localaccountsignup">
         <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
       </ContentDefinition>
     <!--
     </ContentDefinitions>
   </BuildingBlocks> -->
   

정책 업데이트 및 테스트

1. Azure Portal에 로그인합니다.
2. 여러 테넌트에 액세스할 수 있는 경우 맨 위 메뉴에서 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
3. Azure Portal의 왼쪽 위 모서리에 있는 모든 서비스를 선택한 다음, 앱 등록 검색하여 선택합니다.
4. ID 경험 프레임워크를 선택합니다.
5. 사용자 지정 정책 업로드를 선택한 다음 변경한 정책 파일을 업로드하고 TrustFrameworkExtensions.xml.
6. 업로드한 로그인 정책을 선택하고 지금 실행 단추를 클릭합니다.
7. 가입 링크를 통하지 않고 만든 계정(MS Graph API 사용)을 사용하여 로그인할 수 있어야 합니다.

다음 단계

• 소셜 ID 공급자를 사용하여 로그인을 추가합니다.
• 암호 재설정 흐름을 설정합니다.