Azure Active Directory B2C 사용자 지정 정책에서 OAuth2 기술 프로필 정의
참고
Azure Active Directory B2C에서 사용자 지정 정책은 주로 복잡한 시나리오를 해결하기 위해 설계되었습니다. 대부분의 시나리오에서 기본 제공 사용자 흐름을 사용하는 것이 좋습니다. 아직 수행하지 않았다면 Active Directory B2C에서 사용자 지정 정책 시작하기에서 사용자 지정 정책 스타터 팩에 대해 알아봅니다.
Azure AD B2C(Azure Active Directory B2C)는 OAuth2 프로토콜 ID 공급자를 지원합니다. OAuth2는 권한 부여 및 위임된 인증에 대한 기본 프로토콜입니다. 자세한 내용은 RFC 6749 OAuth 2.0 권한 부여 프레임워크를 참조하세요. OAuth2 기술 프로필을 사용하면 Facebook과 같은 OAuth2 기반 ID 공급자와 페더레이션할 수 있습니다. ID 공급자와의 페더레이션을 통해 사용자는 기존 소셜 또는 엔터프라이즈 ID로 로그인할 수 있습니다.
프로토콜
Protocol 요소의 Name 특성은 OAuth2로 설정해야 합니다. 예를 들어 Facebook-OAUTH 기술 프로필의 프로토콜은 OAuth2입니다.
<TechnicalProfile Id="Facebook-OAUTH">
<DisplayName>Facebook</DisplayName>
<Protocol Name="OAuth2" />
...
입력 클레임
InputClaims 및 InputClaimsTransformations 요소는 필요하지 않습니다. 그러나 ID 공급자에게 더 많은 매개 변수를 보내는 것이 좋습니다. 다음 예제는 값이 contoso.com인 domain_hint 쿼리 문자열 매개 변수를 권한 부여 요청에 추가합니다.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
출력 클레임
OutputClaims 요소는 OAuth2 ID 공급자가 반환한 클레임 목록을 포함합니다. 정책에 정의된 클레임 이름을 ID 공급자에 정의된 이름에 매핑해야 할 수도 있습니다. DefaultValue 특성만 설정하면, ID 공급자가 반환하지 않은 클레임도 포함할 수 있습니다.
OutputClaimsTransformations 요소는 출력 클레임을 수정하거나 새 출력 클레임을 생성하는 데 사용되는 OutputClaimsTransformation 요소 컬렉션을 포함할 수 있습니다.
다음 예제는 Facebook ID 공급자가 반환한 클레임을 보여 줍니다.
- first_name 클레임은 givenName 클레임에 매핑됩니다.
- last 클레임은 surname 클레임에 매핑됩니다.
- 이름 매핑이 없는 displayName 클레임입니다.
- 이름 매핑이 없는 email 클레임입니다.
기술 프로필은 ID 공급자가 반환하지 않은 클레임도 반환합니다.
- ID 공급자의 이름을 포함하는 identityProvider 클레임입니다.
- 기본값이 socialIdpAuthentication인 authenticationSource 클레임입니다.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
권한 부여 엔드포인트 메타데이터
권한 부여 흐름은 Azure AD B2C가 사용자를 OAuth2 ID 공급자 /authorize 엔드포인트로 보낼 때 시작됩니다. 권한 부여 엔드포인트에 대한 호출은 사용자가 작업을 수행하는 흐름의 대화형 부분입니다. 이 시점에서 사용자에게 OAuth2 ID 공급자의 로그인을 완료하라는 메시지가 표시됩니다. 예를 들어, 사용자 이름 및 암호를 입력합니다.
Azure AD B2C는 ID 공급자로부터 액세스 토큰을 획득하는 데 필요한 클라이언트 ID, 범위, 리디렉션 URI 및 기타 매개 변수를 제공하여 권한 부여 요청을 만듭니다. 섹션에서는 /authorize ID 공급자의 엔드포인트에 대한 요청을 구성할 수 있도록 하는 권한 부여 엔드포인트 메타데이터에 관해 설명합니다.
권한 부여 엔드포인트에 대한 요청은 항상 HTTP GET입니다. 다음 샘플에서는 권한 부여 엔드포인트에 대한 호출을 보여 줍니다.
GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...
다음 표에서는 권한 부여 엔드포인트 메타데이터를 나열합니다.
| 특성 | 필수 | Description |
|---|---|---|
authorization_endpoint |
예 | RFC 6749에 따른 권한 부여 엔드포인트의 URL입니다. |
client_id |
예 | ID 공급자의 애플리케이션 식별자입니다. |
AdditionalRequestQueryParameters |
아니요 | 추가 요청 쿼리 매개 변수입니다. 예를 들어 ID 공급자에 추가 매개 변수를 보내려고 할 수 있습니다. 쉼표 구분 기호를 사용하여 여러 매개 변수를 포함할 수 있습니다. |
response_mode |
예 | ID 공급자가 결과를 다시 Azure AD B2C에 보내는 데 사용하는 방법입니다. 가능한 값은 query, form_post(기본값) 또는 fragment입니다. |
scope |
예 | OAuth2 ID 공급자 사양에 따라 정의된 요청의 범위입니다. 예를 들어 openid, profile 및 email입니다. |
UsePolicyInRedirectUri |
예 | 리디렉션 URI를 구성할 때 정책을 사용할지 여부를 나타냅니다. ID 공급자에서 애플리케이션을 구성할 때 리디렉션 URI를 지정해야 합니다. 리디렉션 URI는 Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp를 가리킵니다. true를 지정하는 경우 사용하는 각 정책에 대해 리디렉션 URI를 추가해야 합니다. 예: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp |
토큰 엔드포인트 메타데이터
사용자가 ID 공급자의 권한 부여 엔드포인트에서 인증을 완료하면 권한 부여를 포함하는 응답 code이 Azure AD B2C로 반환됩니다. Azure AD B2C는 /token ID 공급자의 엔드포인트에 POST 요청을 전송하여 액세스 토큰에 대한 인증 코드를 교환합니다. 섹션에서는 /token ID 공급자의 엔드포인트에 대한 요청을 구성할 수 있도록 하는 토큰 엔드포인트 메타데이터에 관해 설명합니다.
다음 HTTP 요청은 ID 공급자의 토큰 엔드포인트에 대한 Azure AD B2C 호출을 보여 줍니다.
POST https://contoso/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq...
다음 표에서는 토큰 엔드포인트 메타데이터를 나열합니다.
| 특성 | 필수 | Description |
|---|---|---|
AccessTokenEndpoint |
예 | 토큰 엔드포인트의 URL입니다. 예들 들어 https://www.linkedin.com/oauth/v2/accessToken입니다. |
HttpBinding |
예 | 토큰 엔드포인트에 대한 예상 HTTP 바인딩입니다. 가능한 값은 GET 또는 POST입니다. |
AccessTokenResponseFormat |
예 | 액세스 토큰 엔드포인트 호출의 형식입니다. 예를 들어 Facebook에는 HTTP GET 메서드가 필요하지만 액세스 토큰 응답은 JSON 형식입니다. 가능한 값: Default, Json 및 JsonP. |
ExtraParamsInAccessTokenEndpointResponse |
예 | 일부 ID 공급자가 AccessTokenEndpoint의 응답으로 반환할 수 있는 추가 매개 변수를 포함합니다. 예를 들어 AccessTokenEndpoint의 응답에는 ClaimsEndpoint 요청 쿼리 문자열에서 access_token 이외의 필수 매개 변수인 openid와 같은 추가 매개 변수가 포함됩니다. 여러 매개 변수 이름은 이스케이프되고 쉼표 ',' 구분 기호로 구분되어야 합니다. |
token_endpoint_auth_method |
예 | Azure AD B2C가 인증 헤더를 토큰 엔드포인트로 전송하는 방법을 지정합니다. 가능한 값: client_secret_post(기본값) 및 client_secret_basic, private_key_jwt. 자세한 내용은 OpenID Connect 클라이언트 인증 섹션을 참조하세요. |
token_signing_algorithm |
예 | token_endpoint_auth_method가 private_key_jwt로 설정된 경우 사용할 서명 알고리즘을 지정합니다. 가능한 값은 RS256(기본값) 또는 RS512입니다. |
HTTP 바인딩 메서드 구성
기본적으로 토큰 엔드포인트에 대한 요청은 HTTP POST를 사용합니다.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>
다음 HTTP 호출은 HTTP POST 요청을 사용하여 토큰 엔드포인트에 대한 호출을 보여 줍니다.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
/token 엔드포인트에서 HTTP GET 메서드를 사용해야 하는 ID 공급자의 경우 HttpBinding 메타데이터를 GET으로 설정합니다. 다음 예에서는 토큰 엔드포인트가 JSON 형식으로 응답을 반환하기 때문에 AccessTokenResponseFormat이 json로 설정되었다는 점에 유의하세요.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
액세스 토큰 응답 형식 구성
HTTP POST 메서드를 지원하는 ID 공급자의 경우 AccessTokenResponseFormat는 기본적으로 json로 설정됩니다. ID 공급자가 HTTP GET 요청을 지원하는 경우 액세스 토큰 응답 형식을 명시적으로 json로 설정해야 합니다.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
다음 예제에서는 JSON 형식의 토큰 엔드포인트 응답을 보여줍니다.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1637924390,
"expires_in": 960000,
}
인증 방법 구성
토큰 엔드포인트에 대한 요청은 항상 인증이 필요합니다. 기본적으로 Azure AD B2C가 ID 공급자에 클라이언트 자격 증명을 제공합니다. 기본적으로 인증 방법은 요청 본문의 클라이언트 자격 증명(client_id 및 client_secret)을 포함하여 client_secret_post입니다.
토큰 엔드포인트에 대한 다음 HTTP 요청에는 POST 데이터의 client_id 및 client_secret이 포함됩니다. GET 요청의 경우 쿼리 문자열 매개 변수에 client_id 및 client_secret이 포함되어 있습니다.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
/token 엔드포인트에서 HTTP 기본 인증 사용을 요구하는 ID 공급자의 경우, token_endpoint_auth_method 메타데이터를 client_secret_basic로 구성합니다. 이 유형의 인증 방법을 사용하면 HTTP 기본 인증 체계를 사용하여 클라이언트 자격 증명이 ID 공급자에 전달됩니다.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
다음 HTTP 요청은 HTTP 기본 인증을 사용하여 토큰 엔드포인트를 호출하는 방법을 보여줍니다. 권한 부여 헤더에는 base64로 인코딩된 client_ID:client_secret 형식의 클라이언트 ID 및 클라이언트 암호가 포함됩니다.
POST /oauth2/token
Authorization: Basic YWJjZDoxMjM0
redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
프라이빗 키 JWT 인증을 지원하는 ID 공급자의 경우 token_endpoint_auth_method 메타데이터를 private_key_jwt로 구성합니다. 이 유형의 인증 방법을 사용하면 Azure AD B2C에 제공된 인증서를 사용하여 서명된 어설션을 생성합니다. 해당 어설션은 매개 변수 client_assertion를 통해 ID 공급자에 전달됩니다. urn:ietf:params:oauth:client-assertion-type:jwt-bearer로 설정된 client_assertion_type token_signing_algorithm 메타데이터는 JWT 토큰의 서명 알고리즘을 지정합니다.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>
다음 HTTP 요청은 프라이빗 키 JWT 인증을 사용하여 토큰 엔드포인트를 호출하는 방법을 보여 줍니다.
POST /oauth2/token
client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
사용자 정보 엔드포인트 메타데이터
Azure AD가 B2C OAuth2 ID 공급자로부터 액세스 토큰을 가져오면 사용자 정보 엔드포인트를 호출합니다. 클레임 엔드포인트라고도 하는 사용자 정보 엔드포인트는 인증된 사용자에 대한 클레임을 검색하도록 설계되었습니다. Azure AD B2C는 전달자 토큰 인증을 사용하여 ID 공급자 사용자 정보 엔드포인트를 인증합니다. 전달자 토큰은 Azure AD B2C가 ID 공급자 /token 엔드포인트에서 가져오는 액세스 토큰입니다.
사용자 정보 엔드포인트에 대한 요청은 항상 HTTP GET입니다. 액세스 토큰은 access_token라는 쿼리 문자열 매개 변수로 전송됩니다. 다음 HTTP 요청은 쿼리 문자열 매개 변수에서 액세스 토큰을 사용하여 사용자 정보 엔드포인트에 대한 호출을 보여줍니다.
GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
다음 표에서는 사용자 정보 엔드포인트 메타데이터를 나열합니다.
| 특성 | 필수 | Description |
|---|---|---|
ClaimsEndpoint |
예 | 사용자 정보 엔드포인트의 URL입니다. 예들 들어 https://api.linkedin.com/v2/me입니다. |
ClaimsEndpointAccessTokenName |
예 | 액세스 토큰 쿼리 문자열 매개 변수의 이름입니다. 기본값은 access_token입니다. |
ClaimsEndpointFormatName |
예 | 형식 쿼리 문자열 매개 변수의 이름입니다. 예를 들어 이 LinkedIn 클레임 엔드포인트 https://api.linkedin.com/v1/people/~?format=json에서 이름을 format으로 설정할 수 있습니다. |
ClaimsEndpointFormat |
예 | 형식 쿼리 문자열 매개 변수의 값입니다. 예를 들어 이 LinkedIn 클레임 엔드포인트 https://api.linkedin.com/v1/people/~?format=json에서 값을 json으로 설정할 수 있습니다. |
BearerTokenTransmissionMethod |
예 | 토큰을 보내는 방법을 지정합니다. 기본 방법은 쿼리 문자열입니다. 토큰을 요청 헤더로 보내려면 AuthorizationHeader로 설정합니다. |
ExtraParamsInClaimsEndpointRequest |
예 | 일부 ID 공급자가 ClaimsEndpoint 요청으로 반환할 수 있는 추가 매개 변수를 포함합니다. 여러 매개 변수 이름은 이스케이프되고 쉼표 ',' 구분 기호로 구분되어야 합니다. |
액세스 토큰 쿼리 문자열 매개 변수 구성
사용자 정보 엔드포인트는 액세스 토큰이 특정 쿼리 문자열 매개 변수로 전송되도록 요청할 수 있습니다. 액세스 토큰을 포함하는 쿼리 문자열 매개 변수의 이름을 변경하려면 ClaimsEndpointAccessTokenName 메타데이터를 사용합니다. 다음 예제에서는 액세스 토큰 쿼리 문자열 매개 변수가 token로 설정됩니다.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>
다음 HTTP 호출은 ClaimsEndpointAccessTokenName이 token로 설정된 사용자 정보 엔드포인트에 대한 호출을 보여 주는 것입니다.
GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
클레임 형식 구성
ClaimsEndpointFormatName 및 ClaimsEndpointFormat를 통해 사용자 정보 엔드포인트에 키-값 쌍 쿼리 문자열 매개 변수를 보낼 수 있습니다. 다음 예제에서는 json 값으로 format라는 쿼리 문자열 매개 변수를 구성합니다.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>
다음 HTTP 요청은 ClaimsEndpointFormatName 및 ClaimsEndpointFormat가 구성된 사용자 정보 엔드포인트에 대한 호출을 보여 주는 것입니다.
GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
전달자 토큰 전송 방법 구성
기본적으로 액세스 토큰은 쿼리 문자열 매개 변수를 통해 ID 공급자 사용자 정보 엔드포인트로 전송됩니다. HTTP Authorization 헤더 내에서 토큰을 전송하려면 BearerTokenTransmissionMethod 메타데이터를 AuthorizationHeader로 설정합니다.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
다음 HTTP 요청은 BearerTokenTransmissionMethod가 AuthorizationHeader로 설정된 경우 액세스 토큰이 전달되는 방법을 보여줍니다.
GET /oauth2/claims
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
토큰 엔드포인트에서 반환된 매개 변수 전달
일부 ID 공급자는 토큰 엔드포인트에서 사용자 정보 엔드포인트로 반환되는 추가 매개 변수를 전달해야 합니다. 예를 들어 토큰 엔드포인트의 응답에는 액세스 토큰 외에 사용자 정보 엔드포인트의 필수 매개 변수인 resource라는 매개 변수가 포함됩니다. ExtraParamsInClaimsEndpointRequest 메타데이터를 사용하여 전송할 추가 매개 변수를 지정합니다. 여러 매개 변수 이름은 이스케이프되고 쉼표 ',' 구분 기호로 구분되어야 합니다.
다음 JSON은 resource라는 매개 변수를 사용하여 토큰 엔드포인트에서 반환되는 JSON 페이로드를 보여 줍니다.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1549647431,
"expires_in": 960000,
"resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}
resource 매개 변수를 사용자 정보 엔드포인트에 전달하려면 다음 메타데이터를 추가합니다.
<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>
다음 HTTP 요청은 resource 매개 변수가 사용자 정보 엔드포인트에 전달되는 방법을 보여줍니다.
GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
세션 엔드포인트 종료
애플리케이션에서 로그아웃하려면 Azure AD B2C 로그아웃 엔드포인트(OAuth2 및 OpenID Connect 모두용)로 리디렉션하거나 LogoutRequest(SAML용)를 보냅니다. Azure AD B2C가 브라우저에서 사용자의 세션을 삭제할 것입니다. 로그아웃 요청 시 Azure AD B2C는 사용자가 로그인했을 수 있는 모든 페더레이션 ID 공급자에서 로그아웃하려고 시도합니다. OAuth2 ID 공급자의 로그아웃 URI는 end_session_endpoint 메타데이터에서 구성됩니다. Azure AD B2C 통해 애플리케이션에서 로그아웃하면 Azure AD B2C 로그아웃 페이지에서 end_session_endpoint를 호출하는 숨겨진 iframe이 만들어집니다.
다음 표에서는 사용자 정보 엔드포인트 메타데이터를 나열합니다.
| 특성 | 필수 | Description |
|---|---|---|
end_session_endpoint |
예 | RFC 6749에 따른 종료 세션 엔드포인트의 URL입니다. |
SingleLogoutEnabled |
예 | 로그인 중에 기술 프로필에서 페더레이션 ID 공급자에 대한 로그아웃을 시도하는지 여부를 나타냅니다. 자세한 내용은 Azure AD B2C 세션 로그 아웃을 참조하세요. 가능한 값은 true(기본값) 또는 false입니다. |
OAuth2 일반 메타데이터
다음 표에서는 OAuth2 ID 공급자 일반 메타데이터를 나열합니다. 메타데이터는 OAuth2 기술 프로필이 토큰 유효성 검사를 처리하고, 클레임을 가져와서 오류 메시지에 반응하는 방법을 설명합니다.
| 특성 | 필수 | Description |
|---|---|---|
IdTokenAudience |
예 | id_token의 대상 그룹입니다. 지정된 경우 Azure AD B2C는 토큰이 ID 공급자에서 반환된 클레임에 있고 지정된 토큰과 같은지 확인합니다. |
ProviderName |
예 | ID 공급자의 이름입니다. |
ResponseErrorCodeParamName |
예 | HTTP 200 (Ok)을 통해 반환된 오류 메시지를 포함하는 매개 변수의 이름입니다. |
IncludeClaimResolvingInClaimsHandling |
예 | 입력 및 출력 클레임의 경우 기술 프로필에 클레임 해결이 포함되는지 여부를 지정합니다. 가능한 값은 true 또는 false(기본값)입니다. 기술 프로필에서 클레임 해결 프로그램을 사용하려면 이를 true로 설정합니다. |
ResolveJsonPathsInJsonTokens |
예 | 기술 프로필이 JSON 경로를 확인하는지 여부를 나타냅니다. 가능한 값은 true 또는 false(기본값)입니다. 이 메타데이터를 사용하여 중첩된 JSON 요소에서 데이터를 읽습니다. OutputClaim에서 PartnerClaimType을 출력하려는 JSON 경로 요소로 설정합니다. 예를 들면 firstName.localized 또는 data[0].to[0].email입니다. |
암호화 키
CryptographicKeys 요소에는 다음 특성이 포함됩니다.
| attribute | 필수 | Description |
|---|---|---|
client_secret |
예 | ID 공급자 애플리케이션의 클라이언트 암호입니다. 암호화 키는 response_types 메타데이터가 code로 설정된 경우에만 필요합니다. 이 경우 Azure AD B2C는 액세스 토큰에 대한 인증 코드를 교환하는 다른 호출을 수행합니다. 메타데이터가 id_token으로 설정된 경우 암호화 키를 생략할 수 있습니다. |
assertion_signing_key |
아니요 | token_endpoint_auth_method 메타데이터가 private_key_jwt로 설정되면, X509 인증서를 제공하여 JWT 키에 서명합니다. OAuth2 ID 공급자를 통해 해당 키를 제공해야 합니다. |
리디렉션 URI
ID 공급자의 리디렉션 URI를 구성할 때 https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp를 입력합니다. {tenant-name}을 사용자의 테넌트 이름(예: contosob2c)으로 바꿉니다. 리디렉션 URI는 모두 소문자여야 합니다.
다음 단계
- Azure Active Directory B2C 테넌트에 ID 공급자를 추가하는 방법을 알아봅니다.