다음을 통해 공유


Azure Active Directory B2C에 사용자 지정 도메인 사용

시작하기 전에 이 페이지의 맨 위에 있는 정책 유형 선택기를 사용하여 설정하려는 정책 유형을 선택합니다. Azure Active Directory B2C는 사용자가 애플리케이션과 상호 작용하는 방법을 정의하는 두 가지 방법, 즉 미리 정의된 사용자 흐름 또는 완전히 구성 가능한 사용자 지정 정책을 통해 제공합니다. 이 문서에서 필요한 단계는 각 방법마다 다릅니다.

이 문서에서는 Azure AD B2C(Azure Active Directory B2C)의 리디렉션 Url에 사용자 지정 도메인을 사용하도록 설정하는 방법을 설명합니다. 확인된 사용자 지정 작업을 사용하면기본 다음과 같은 다양한 이점이 있습니다.

  • 보다 원활한 사용자 환경을 제공합니다. 사용자의 관점에서 이들은 로그인 과정에서 Azure AD B2C 기본 도메인인 <tenant-name>.b2clogin.com으로 리디렉션되지 않고 도메인에 그대로 있습니다.

  • 로그인하는 동안 애플리케이션의 도메인을 동일하게 유지하면 타사 쿠키 차단이 미치는 영향을 완화할 수 있습니다.

  • Azure AD B2C 테넌트에서 만들 수 있는 개체(사용자 계정 및 애플리케이션)의 수를 기본값 125만에서 525만으로 늘립니다.

    Screenshot of a browser window with the domain name highlighted in the address bar to show the custom domain experience.

사용자 지정 도메인 개요

Azure Front Door를 사용하여 Azure AD B2C에서 사용자 지정 도메인을 사용하도록 설정할 수 있습니다. Azure Front Door는 Microsoft 글로벌 경계 네트워크를 사용하여 빠르고, 안전하고, 스케일링 가능한 웹 애플리케이션을 만드는 글로벌 진입점입니다. Azure Front Door 뒤에 Azure AD B2C 콘텐츠를 렌더링한 다음, 애플리케이션 URL의 사용자 지정 도메인을 통해 콘텐츠를 제공하도록 Azure Front Door에서 옵션을 구성할 수 있습니다.

Azure AD B2C 사용자 지정 도메인에 대해 알아보려면 이 비디오를 시청하세요.

다음 다이어그램은 Azure Front Door 통합을 보여 줍니다.

  1. 애플리케이션에서 사용자는 로그인 단추를 선택하여 Azure AD B2C 로그인 페이지로 이동합니다. 이 페이지에서는 사용자 지정 도메인 이름을 지정합니다.
  2. 웹 브라우저에서는 Azure Front Door IP 주소에 대한 사용자 지정 도메인 이름을 확인합니다. DNS를 확인하는 동안 사용자 지정 도메인 이름이 포함된 CNAME(정식 이름) 레코드는 Front Door 기본 프런트 엔드 호스트(예: contoso-frontend.azurefd.net)를 가리킵니다.
  3. 사용자 지정 도메인(예: login.contoso.com)으로 가는 트래픽은 지정된 Front Door 기본 프런트 엔드 호스트(contoso-frontend.azurefd.net)로 라우팅됩니다.
  4. Azure Front Door가 Azure AD B2C <tenant-name>.b2clogin.com 기본 도메인을 사용하여 Azure AD B2C 콘텐츠를 호출합니다. Azure AD B2C 엔드포인트에 대한 요청은 원래 사용자 지정 도메인 이름을 포함합니다.
  5. Azure AD B2C는 관련 콘텐츠와 원래 사용자 지정 도메인을 표시하여 요청에 응답합니다.

Flow diagram showing the custom domain networking flow with steps numbered to correspond with the explanations above.

Important

브라우저에서 Azure Front Door로의 연결은 항상 IPv6 대신 IPv4를 사용해야 합니다.

사용자 지정 도메인을 사용하는 경우 다음을 고려합니다.

  • 여러 사용자 지정 도메인을 설정할 수 있습니다. 지원되는 사용자 지정 도메인의 최대 개수에 대한 자세한 내용은 Azure AD B2C의 경우 Microsoft Entra 서비스 제한 및 제한 사항을, Azure Front Door의 경우 Azure 구독 및 서비스 제한, 할당량, 제약 조건을 참조하세요.
  • Azure Front Door는 별도의 Azure 서비스이므로 추가 요금이 발생합니다. 자세한 내용은 Front Door 가격 책정을 참조하세요.
  • 사용자 지정 도메인을 구성한 후에도 사용자 지정 정책을 사용하고 액세스를 차단하지 않는 한 Azure AD B2C 기본 도메인 이름인 <tenant-name>.b2clogin.com을 계속 사용할 수 있습니다.
  • 여러 애플리케이션이 있는 경우 브라우저에서 현재 사용 중인 도메인 이름으로 Azure AD B2C 세션을 저장하므로 사용자 지정 도메인으로 애플리케이션을 모두 마이그레이션합니다.

필수 조건

1단계: Azure AD B2C 테넌트에 사용자 지정 도메인 이름 추가

Azure AD B2C 테넌트를 만들 때 초기 do기본 이름, <do기본name.onmicrosoft.com> 함께 제공됩니다. 초기 do기본 이름을 변경하거나 삭제할 수는 없지만 고유한 사용자 지정 작업을 추가할 수 있습니다기본.

다음 단계에 따라 Azure AD B2C 테넌트에 사용자 지정 도메인을 추가합니다.

  1. 사용자 지정 도메인 이름을 Microsoft Entra ID에 추가합니다.

    Important

    관련 단계를 수행하려면 Azure AD B2C 테넌트에 로그인하고 Microsoft Entra ID 서비스를 선택해야 합니다.

  2. 도메인 등록 기관에 DNS 정보를 추가합니다. Microsoft Entra ID에 사용자 지정 도메인 이름을 추가한 후 도메인의 DNS TXT 또는 MX 레코드를 만듭니다. 도메인의 이 DNS 레코드를 만들면 도메인 이름의 소유권이 확인됩니다.

    다음 예제에서는 login.contoso.comaccount.contoso.com의 TXT 레코드를 보여 줍니다.

    이름(호스트 이름) Type 데이터
    login TXT MS=ms12345678
    어카운트 TXT MS=ms87654321

    TXT 레코드는 도메인의 하위 도메인 또는 호스트 이름과 연결해야 합니다. 예를 들어, contoso.com 도메인의 login 부분입니다. 호스트 이름이 비어 있거나 @이면 Microsoft Entra ID는 추가된 사용자 지정 도메인을 확인할 수 없습니다. 다음 예제에서는 두 레코드가 모두 잘못 구성되었습니다.

    이름(호스트 이름) Type 데이터
    TXT MS=ms12345678
    @ TXT MS=ms12345678

    GoDaddy와 같이 공개적으로 사용할 수 있는 DNS 서비스를 사용하여 사용자 지정 도메인을 관리할 수 있습니다. DNS 서버가 없는 경우 Azure DNS 영역 또는 App Service 도메인을 사용할 수 있습니다.

  3. 사용자 지정 도메인 이름을 확인합니다. 사용할 계획인 각 하위 도메인이나 호스트 이름을 확인합니다. 예를 들어 login.contoso.comaccount.contoso.com을 사용하여 로그인하려면 최상위 도메인인 contoso.com뿐만 아니라 하위 도메인을 모두 확인해야 합니다.

    Important

    도메인을 확인한 후에는 만든 DNS TXT 레코드를 삭제합니다.

2단계: Azure Front Door 인스턴스 만들기

다음 단계에 따라 Azure Front Door를 만듭니다.

  1. Azure Portal에 로그인합니다.

  2. Azure AD B2C 테넌트가 포함된 디렉터리가 아닌 Azure Front Door에 사용할 Azure 구독이 포함된 디렉터리를 선택하려면 맨 위 메뉴에서 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.

  3. Front Door 프로필 만들기 - 빠른 만들기의 단계에 따라 다음 설정을 사용하여 Azure AD B2C 테넌트에 대한 Front Door를 만듭니다.

    Subscription Azure 구독을 선택합니다.
    Resource group 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
    이름 프로젝트 이름을 지정합니다(예: b2cazurefrontdoor).
    서비스 계층 표준 또는 프리미엄 계층을 선택합니다. 표준 계층은 콘텐츠 배달에 최적화되어 있습니다. 프리미엄 계층은 표준 계층을 기반으로 하며 보안에 중점을 둡니다. 계층 비교를 참조하세요.
    끝점 이름 엔드포인트의 전역적으로 고유한 이름을 입력합니다(예: b2cazurefrontdoor). 엔드포인트 호스트 이름이 자동으로 생성됩니다.
    기원 타입 Custom(을)를 선택합니다.
    원본 호스트 이름 <tenant-name>.b2clogin.com를 입력합니다. <tenant-name>contoso.b2clogin.com과 같은 Azure AD B2C 테넌트의 이름으로 바꿉니다.

    캐싱WAF 정책은 비워 둡니다.

  4. Azure Front Door 리소스가 만들어지면 개요를 선택하고 엔드포인트 호스트 이름을 복사합니다. 나중에 이 항목이 필요합니다. 이는 b2cazurefrontdoor-ab123e.z01.azurefd.net과 비슷합니다.

  5. 원본의 호스트 이름원본 호스트 헤더의 값이 같은지 확인합니다.

    1. 설정에서 원본 그룹을 선택합니다.
    2. 목록에서 원본 그룹(예: default-origin-group)을 선택합니다.
    3. 오른쪽 창에서 원본 호스트 이름(예: contoso.b2clogin.com)을 선택합니다.
    4. 원본 업데이트 창에서 호스트 이름원본 호스트 헤더를 동일한 값으로 업데이트합니다.

    Screenshot of the Origin groups menu from the Azure portal with Host name and Origin host header text boxes highlighted.

3단계: Azure Front Door에 사용자 지정 도메인 설정

이 단계에서는 1단계에서 등록한 사용자 지정 도메인을 Azure Front Door에 추가합니다.

3.1. CNAME DNS 레코드 만들기

사용자 지정 도메인을 추가하려면 도메인 공급자를 사용하여 CNAME(정식 이름) 레코드를 만듭니다. CNAME 레코드는 원본 도메인을 대상 도메인 이름(별칭)에 매핑하는 DNS 레코드의 형식입니다. Azure Front Door의 경우 원본 도메인 이름은 사용자 지정 도메인 이름이고, 대상 도메인 이름은 2단계 Azure Front Door 인스턴스 만들기에서 구성한 Front Door 기본 호스트 이름입니다. 예: b2cazurefrontdoor-ab123e.z01.azurefd.net.

Front Door가 사용자가 만든 CNAME 레코드를 확인하면, 원본 사용자 지정 도메인(예: login.contoso.com)에 전달되는 트래픽은 지정된 대상 Front Door 기본 프런트 엔드 호스트(예: contoso-frontend.azurefd.net)로 라우팅됩니다. 자세한 내용은 Front Door에 사용자 지정 도메인 추가를 참조하세요.

사용자 지정 도메인에 대한 CNAME 레코드를 만들려면:

  1. 사용자 지정 도메인에 대한 도메인 공급자의 웹 사이트에 로그인합니다.

  2. 공급자의 설명서를 참조하거나 이름이 도메인 이름, DNS, 또는 이름 서버 관리인 웹 사이트 부분을 검색하여 DNS 레코드 관리 페이지를 찾습니다.

  3. 사용자 지정 도메인에 대한 CNAME 레코드 항목을 만들고 다음 표와 같이 필드에 입력합니다(필드 이름 다를 수 있음).

    원본 Type 대상
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • 원본: 사용자 지정 도메인 이름(예: login.contoso.com)을 입력합니다.

    • 형식: CNAME를 입력합니다.

    • 대상: 2단계에서 만드는 기본 Front Door 프런트 엔드 호스트를 입력합니다. format:<hostname>.azurefd.net 형식이어야 합니다. 예: contoso-frontend.azurefd.net.

  4. 변경 내용을 저장합니다.

3.2. 사용자 지정 도메인을 Front Door와 연결

  1. Azure Portal 홈에서 myb2cazurefrontdoor Azure Front Door 리소스를 검색하여 선택하여 엽니다.

  2. 왼쪽 메뉴의 설정에서 도메인을 선택합니다.

  3. 도메인 추가를 선택합니다.

  4. DNS 관리의 경우 다른 모든 DNS 서비스를 선택합니다.

  5. 사용자 지정 도메인의 경우 사용자 지정 도메인(예: login.contoso.com)을 입력합니다.

  6. 다른 값을 기본값으로 유지하고 추가를 선택합니다. 사용자 지정 도메인이 목록에 추가됩니다.

  7. 방금 추가한 도메인의 유효성 검사 상태에서 보류 중을 선택합니다. TXT 레코드 정보가 있는 창이 열립니다.

    1. 사용자 지정 도메인에 대한 도메인 공급자의 웹 사이트에 로그인합니다.

    2. 공급자의 설명서를 참조하거나 이름이 도메인 이름, DNS, 또는 이름 서버 관리인 웹 사이트 부분을 검색하여 DNS 레코드 관리 페이지를 찾습니다.

    3. 아래와 같이 새 TXT DNS 레코드를 만들고 필드를 완료합니다.

      1. 이름: _dnsauth.contoso.com, _dnsauth만 입력만 하면 됩니다.
      2. 유형: TXT
      3. 값: 다음과 같습니다. 75abc123t48y2qrtsz2bvk......

      TXT DNS 레코드를 추가하면 Front Door 리소스의 유효성 검사 상태가 결국 보류 중에서 승인됨으로 변경됩니다. 변경이 발생하려면 페이지를 다시 로드해야 할 수 있습니다.

  8. Azure Portal로 돌아갑니다. 방금 추가한 도메인의 엔드포인트 연결 에서 연결되지 않음을 선택합니다.

  9. 엔드포인트 선택의 경우 드롭다운에서 호스트 이름 엔드포인트를 선택합니다.

  10. 경로 선택 목록에서 기본 경로를 선택한 다음 연결을 선택합니다.

3.3. 경로 사용

기본 경로는 클라이언트에서 Azure Front Door로 트래픽을 라우팅합니다. 그런 다음, Azure Front Door는 구성을 사용하여 Azure AD B2C로 트래픽을 보냅니다. 기본 경로를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Front Door 관리자를 선택합니다.

  2. 기본 경로를 사용하도록 설정하려면 먼저 Front Door 관리자의 엔드포인트 목록에서 엔드포인트를 확장합니다. 그런 다음 기본 경로를 선택합니다.

    다음 스크린샷에서는 기본 경로를 선택하는 방법을 보여 줍니다.

    Screenshot of the Front Door manager page from the Azure portal with the default route highlighted.

  3. 경로 사용 확인란을 선택합니다.

  4. 업데이트를 선택하여 변경 내용을 저장합니다.

4단계: CORS 구성

사용자 지정 HTML 템플릿을 사용하여 Azure AD B2C 사용자 인터페이스를 사용자 지정하는 경우 사용자 지정 작업을 사용하여 CORS를 구성해야 합니다기본.

다음 단계를 수행하여 CORS(원본 간 리소스 공유)에 Azure Blob Storage를 구성합니다.

  1. Azure Portal에서 스토리지 계정으로 이동합니다.
  2. 메뉴에서 CORS를 선택합니다.
  3. 허용된 원본https://your-domain-name을 입력합니다. your-domain-name을 실제 도메인 이름으로 바꿉니다. 예: https://login.contoso.com. 테넌트 이름을 입력할 때는 모두 소문자를 사용합니다.
  4. 허용된 메소드에서 GETOPTIONS를 모두 선택합니다.
  5. 허용된 헤더에 별표(*)를 입력합니다.
  6. 노출된 헤더에 별표(*)를 입력합니다.
  7. 최대 기간에 200을 입력합니다.
  8. 저장을 선택합니다.

사용자 지정 도메인 테스트

  1. Azure Portal에 로그인합니다.

  2. 여러 테넌트에 액세스할 수 있는 경우 맨 위 메뉴에서 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.

  3. Azure Portal에서 Azure AD B2C를 검색하고 선택합니다.

  4. 정책에서 사용자 흐름(정책)을 선택합니다.

  5. 사용자 흐름을 선택한 다음 사용자 흐름 실행을 선택합니다.

  6. 애플리케이션으로 이전에 등록한 webapp1이라는 웹 애플리케이션을 선택합니다. 회신 URL에는 https://jwt.ms가 표시되어야 합니다.

  7. 사용자 흐름 엔드포인트 실행 아래에 있는 URL을 복사합니다.

    Screenshot of the Run user flow page from the Azure portal with the copy button for the Run userflow endpoint text box highlighted.

  8. 사용자 지정 do기본 사용하여 로그인을 시뮬레이션하려면 웹 브라우저를 열고 방금 복사한 URL을 사용합니다. Azure AD B2C 도메인(<tenant-name>.b2clogin.com)을 사용자 지정 도메인으로 바꿉니다.

    예를 들어 다음 식을 사용하는 대신

    https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    다음을 사용합니다.

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login    
    
  9. Azure AD B2C 올바르게 로드되었는지 확인합니다. 그런 다음, 로컬 계정으로 로그인합니다.

  10. 나머지 정책에 대한 테스트를 반복합니다.

ID 공급자 구성

사용자가 소셜 ID 공급자를 통한 로그인을 선택하면 Azure AD B2C는 권한 부여 요청을 시작하고 선택한 ID 공급자로 사용자를 이동하여 로그인 프로세스를 완료합니다. 권한 부여 요청은 redirect_uri를 Azure AD B2C 기본 도메인 이름으로 지정합니다.

https://<tenant-name>.b2clogin.com/<tenant-name>/oauth2/authresp

외부 ID 공급자를 사용하여 로그인할 수 있도록 정책을 구성한 경우에는 OAuth 리디렉션 Uri를 사용자 지정 도메인으로 업데이트합니다. 대부분의 ID 공급자는 여러 리디렉션 Uri 등록을 허용합니다. Azure AD B2C 기본 도메인 이름을 사용하는 애플리케이션에 영향을 주지 않고 사용자 지정 정책을 테스트할 수 있도록 리디렉션 Uri를 바꾸는 것보다는 추가하는 것이 좋습니다.

다음 리디렉션 URI에서 다음과 같이 바꿉니다.

https://<custom-domain-name>/<tenant-name>/oauth2/authresp
  • 사용자 지정 do기본 이름으로 대체 <custom-domain-name> 합니다.
  • 테넌트 이름 또는 테넌트 ID로 바꿉 <tenant-name> 니다.

다음 예제에서는 유효한 OAuth 리디렉션 URI를 보여 줍니다.

https://login.contoso.com/contoso.onmicrosoft.com/oauth2/authresp

SAML ID 공급자 메타데이터는 다음 샘플과 같습니다.

https://<custom-domain-name>.b2clogin.com/<tenant-name>/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

애플리케이션 사용

사용자 지정 도메인을 구성하고 테스트한 후에는 Azure AD B2C 도메인 대신 호스트 이름으로 사용자 지정 도메인을 지정하는 URL을 로드하도록 애플리케이션을 업데이트할 수 있습니다.

사용자 지정 도메인 통합은 Azure AD B2C 정책(사용자 흐름 또는 사용자 지정 정책)을 사용하여 사용자를 인증하는 인증 엔드포인트에 적용됩니다. 해당 엔드포인트는 다음 샘플과 같이 나타낼 수 있습니다.

  • https://<custom-domain>/<tenant-name>/<policy-name>/v2.0/.well-known/openid-configuration

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/authorize

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/token

다음을

  • <custom-domain>사용자 지정 작업을 수행합니다기본
  • <tenant-name> 테넌트 이름 또는 테넌트 ID를 사용하여
  • <policy-name> 정책 이름으로 지정합니다.

SAML 서비스 공급자 메타데이터는 다음 샘플과 같이 나타낼 수 있습니다.

https://custom-domain-name/tenant-name/policy-name/Samlp/metadata

(선택 사항) 필드 테넌트 ID 사용

URL의 “B2C”에 대한 모든 참조를 제거하기 위해 URL의 B2C 테넌트 이름을 테넌트 ID GUID로 바꿀 수 있습니다. Azure Portal의 B2C 개요 페이지에서 테넌트 ID GUID를 찾을 수 있습니다. 예를 들어 https://account.contosobank.co.uk/contosobank.onmicrosoft.com/https://account.contosobank.co.uk/<tenant ID GUID>/로 변경합니다.

테넌트 이름 대신 테넌트 ID를 사용하도록 선택하는 경우 ID 공급자의 OAuth 리디렉션 URI도 그에 따라 업데이트해야 합니다. 테넌트 이름 대신 테넌트 ID를 사용하는 경우 유효한 OAuth 리디렉션 URI는 다음 샘플과 같습니다.

https://login.contoso.com/11111111-1111-1111-1111-111111111111/oauth2/authresp

자세한 내용은 ID 공급자 구성을 참조하세요.

토큰 발급

토큰 발급자 이름(iss) 클레임은 사용 중인 사용자 지정 도메인에 따라 변경됩니다. 예시:

https://<domain-name>/11111111-1111-1111-1111-111111111111/v2.0/

(선택 사항) 기본 도메인 이름에 대한 액세스 차단

사용자 지정 도메인을 추가하고 애플리케이션을 구성한 후에도 사용자는 <tenant-name>.b2clogin.com 도메인에 액세스할 수 있습니다. 액세스를 방지하려면 허용된 할 일 목록에 대해 권한 부여 요청 "호스트 이름"을 검사 정책을 구성할 수 기본. 호스트 이름은 URL에 표시되는 도메인 이름입니다. 호스트 이름은 {Context:HostName}클레임 확인자를 통해 확인할 수 있습니다. 그런 다음 사용자 지정 오류 메시지를 표시할 수 있습니다.

  1. GitHub에서 호스트 이름을 확인하는 조건부 액세스 정책의 예를 가져옵니다.
  2. 각 파일에서 yourtenant 문자열을 Azure AD B2C 테넌트의 이름으로 바꿉니다. 예를 들어 B2C 테넌트의 이름이 contosob2c인 경우 모든 yourtenant.onmicrosoft.com 인스턴스는 contosob2c.onmicrosoft.com이 됩니다.
  3. 정책 파일, B2C_1A_TrustFrameworkExtensions_HostName.xmlB2C_1A_signup_signin_HostName.xml을 차례대로 업로드합니다.

(선택 사항) Azure Front Door 고급 구성

Azure Front Door 고급 구성(예: WAF(웹 애플리케이션 방화벽))을 사용할 수 있습니다. Azure WAF는 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다.

사용자 지정 도메인을 사용하는 경우 다음 사항을 고려합니다.

  • WAF 정책은 Azure Front Door 프로필과 동일한 계층이어야 합니다. Azure Front Door에서 사용할 WAF 정책을 만드는 방법에 대한 자세한 내용은 WAF 정책 구성을 참조하세요.
  • WAF 관리 규칙 기능은 가양성 발생 및 합법적인 요청 통과를 방지할 수 있으므로 공식적으로 지원되지 않으므로 요구 사항을 충족하는 경우에만 WAF 사용자 지정 규칙을 사용합니다.

문제 해결

Azure AD B2C에서 페이지를 찾을 수 없다는 오류 반환

  • 증상 - 사용자 지정 도메인을 구성하지만 사용자 지정 도메인을 사용하여 로그인하려고 하면 HTTP 404 오류 메시지가 표시됩니다.
  • 가능한 원인 - 이 문제는 DNS 구성 또는 Azure Front Door 백 엔드 구성과 관련이 있을 수 있습니다.
  • 해결 방법:
    • Azure AD B2C 테넌트에서 사용자 지정 도메인을 등록하고 확인합니다.
    • 사용자 지정 도메인을 올바르게 구성합니다. 사용자 지정 도메인의 CNAME 레코드는 Azure Front Door 기본 프런트 엔드 호스트(예: contoso-frontend.azurefd.net)를 가리켜야 합니다.

현재 서비스를 사용할 수 없음

  • 증상 - 사용자 지정 도메인을 구성하지만 사용자 지정 도메인으로 로그인하려고 하면 다음과 같은 오류 메시지가 표시됩니다. 현재 서비스를 사용할 수 없습니다. 가능한 한 빨리 모든 서비스를 복원하기 위해 노력하고 있습니다. 조금만 기다렸다가 다시 확인해 주세요.

  • 가능한 원인 - 이 문제는 Azure Front Door 경로 구성과 관련이 있을 수 있습니다.

  • 해결 방법: 기본 경로의 상태를 확인합니다. 사용하지 않도록 설정된 경우 경로를 사용하도록 설정합니다. 다음 스크린샷은 기본 경로가 어떻게 표시되는지 보여 줍니다.

    Screenshot of the Front Door manager page from the Azure portal with the default route, Status and Provisioning state items highlighted.

Azure AD B2C는 찾고 있는 리소스가 제거되었거나, 해당 이름이 변경되었거나, 일시적으로 사용할 수 없음을 반환합니다.

  • 증상 - 사용자 지정 도메인을 구성하지만 사용자 지정 도메인으로 로그인하려고 할 때 찾고 있는 리소스가 제거되었거나, 이름이 변경되었거나, 일시적으로 사용할 수 없음 오류 메시지가 표시됩니다.
  • 가능한 원인 - 이 문제는 Microsoft Entra 사용자 지정 도메인 확인과 관련이 있을 수 있습니다.
  • 해결 방법: Azure AD B2C 테넌트에서 사용자 지정 도메인이 등록되고 성공적으로 확인되었는지 확인합니다.

ID 공급자가 오류를 반환합니다.

  • 증상 - 사용자 지정 도메인을 구성한 후 로컬 계정을 사용하여 로그인할 수 있습니다. 그러나 외부 소셜 또는 엔터프라이즈 ID 공급자의 자격 증명을 사용하여 로그인하는 경우 ID 공급자가 오류 메시지를 표시합니다.
  • 가능한 원인 - Azure AD B2C에서 사용자가 페더레이션 ID 공급자를 사용하여 로그인하도록 하는 경우 Azure AD B2C는 리디렉션 URI를 지정합니다. 리디렉션 URI는 ID 공급자가 토큰을 반환하는 엔드포인트입니다. 리디렉션 URI는 애플리케이션이 권한 부여 요청에 사용하는 것과 동일한 도메인입니다. 리디렉션 URI가 아직 ID 공급자에 등록되지 않은 경우 새 리디렉션 URI를 신뢰하지 않을 수 있으며, 이로 인해 오류 메시지가 발생합니다.
  • 해결 방법 - ID 공급자 구성의 단계에 따라 새 리디렉션 URI를 추가합니다.

자주 묻는 질문

지금 실행을 사용하여 내 정책을 실행하려고 할 때 사용자 지정 도메인이 표시되지 않는 이유는 무엇인가요?

URL을 복사하고 도메인 이름을 수동으로 변경한 다음 브라우저에 다시 붙여넣으세요.

Azure AD B2C에 어떤 IP 주소가 제공되나요? 사용자의 IP 주소인가요? 아니면 Azure Front Door IP 주소인가요?

Azure Front Door는 사용자의 원래 IP 주소를 전달합니다. 이는 감사 보고나 사용자 지정 정책에 표시되는 IP 주소입니다.

Important

클라이언트가 Azure Front Door에 x-forwarded-for 헤더를 보내는 경우 Azure AD B2C는 송신자의 x-forwarded-for을(를) 조건부 액세스 평가에 대한 사용자의 IP 주소와 {Context:IPAddress}클레임 확인자로 사용합니다.

B2C에 타사 WAF(웹 애플리케이션 방화벽)를 사용할 수 있나요?

예, Azure AD B2C는 BYO-WAF(Bring Your Own Web Application Firewall)를 지원합니다. 그러나 WAF를 테스트하여 B2C 사용자 흐름 또는 사용자 지정 정책을 Azure AD 합법적인 요청을 차단하거나 경고하지 않는지 확인해야 합니다. Azure AD B2C를 사용하여 Akamai WAFCloudflare WAF를 구성하는 방법을 알아봅니다.

내 Azure Front Door 인스턴스를 내 Azure AD B2C 테넌트와 다른 구독에서 호스팅할 수 있나요?

예, Azure Front Door는 다른 구독에 있을 수 있습니다.

참고 항목