다음을 통해 공유


용어집: Microsoft ID 플랫폼

설명서, Microsoft Entra 관리 센터, 인증 라이브러리, Microsoft Graph API를 사용할 때 해당 용어를 볼 수 있습니다. 일부 용어는 Microsoft 전용이지만 다른 용어는 OAuth와 같은 프로토콜 또는 Microsoft ID 플랫폼을 사용하는 다른 기술과 관련이 있습니다.

액세스 토큰

보호된 리소스 서버에 액세스하기 위해 권한 부여 서버에서 발급하고, 클라이언트 애플리케이션에서 사용하는 보안 토큰의 한 종류. 대개 리소스 소유자가 요청된 액세스 수준에 대해 클라이언트에 부여한 권한을 구현하는 JWT(JSON Web Token) 형식의 토큰입니다. 토큰은 주체에 관한 모든 적용 가능한 클레임을 포함하여 클라이언트 애플리케이션이 지정된 리소스에 액세스할 때 자격 증명의 형식으로 사용할 수 있습니다. 또는 이는 리소스 소유자의 필요를 제거하여 클라이언트에 자격 증명을 노출합니다.

액세스 토큰은 짧은 기간 동안만 유효하며 해지할 수 없습니다. 권한 부여 서버는 액세스 토큰이 발급될 때 새로 고침 토큰을 발급할 수도 있습니다. 새로 고침 토큰은 일반적으로 기밀 클라이언트 애플리케이션에만 제공됩니다.

액세스 토큰은 자격 증명이 표시되는 방식에 따라 때로 "사용자 + 앱" 또는 "앱 전용"이라고 합니다. 예를 들어 클라이언트 애플리케이션이 다음을 사용할 경우.

  • "인증 코드" 권한 부여 - 최종 사용자는 리소스 소유자로서 우선 권한 부여를 하여 클라이언트가 리소스에 액세스할 수 있도록 권한 부여를 위임합니다. 클라이언트는 액세스 토큰을 가져올 때 나중에 인증합니다. 토큰은 클라이언트 애플리케이션에 권한 부여하는 사용자와 애플리케이션을 나타냄으로 때로 더 구체적으로 "사용자 + 앱"이라고 합니다.
  • "클라이언트 자격 증명" 권한 부여 - 클라이언트에서 리소스 소유자의 인증/권한 부여 없이 작동하는 유일한 인증을 제공하므로 때로는 토큰을 “앱 전용” 토큰이라고도 할 수 있습니다.

자세한 내용은 액세스 토큰 참조를 참조하세요.

행위자

클라이언트 애플리케이션에 대한 또 다른 용어입니다. 행위자는 주체(리소스 소유자)를 대신하여 행동하는 당사자입니다.

애플리케이션(클라이언트) ID

애플리케이션 ID 또는 클라이언트 ID는 Microsoft Entra ID에 등록할 때 Microsoft ID 플랫폼이 애플리케이션에 할당하는 값입니다. 애플리케이션 ID는 ID 플랫폼 내에서 애플리케이션 및 해당 구성을 고유하게 식별하는 GUID 값입니다. 애플리케이션 코드에 앱 ID를 추가하면 인증 라이브러리는 애플리케이션 런타임 시 ID 플랫폼에 대한 요청에 값을 포함합니다. 애플리케이션(클라이언트) ID는 비밀이 아니므로 암호 또는 기타 자격 증명으로 사용하지 마세요.

애플리케이션 매니페스트.

애플리케이션 매니페스트는 연결된 애플리케이션ServicePrincipal 엔터티를 업데이트하기 위한 메커니즘으로 사용되는 애플리케이션 ID 구성의 JSON 표현을 생성하는 기능입니다. 자세한 내용은 Microsoft Entra 애플리케이션 매니페스트 이해를 참조하세요.

애플리케이션 개체

애플리케이션을 등록/업데이트하면 해당 테넌트에 대해 애플리케이션 개체와 해당 서비스 주체 개체가 모두 만들어지고 업데이트됩니다. 애플리케이션 개체는 애플리케이션의 ID 구성을 전역적으로(액세스하는 모든 테넌트에 걸쳐) 정의하며, 해당 서비스 주체 개체가 런타임 시 로컬로(특정 테넌트에서) 사용되도록 파생되는 템플릿을 제공합니다.

자세한 내용은 애플리케이션 및 서비스 주체 개체를 참조하세요.

애플리케이션 등록

애플리케이션을 Microsoft Entra ID와 통합하고 ID 및 액세스 관리 기능을 Azure AD에 위임할 수 있도록 허용하기 위해 Microsoft Entra 테넌트를 사용하여 등록해야 합니다. Microsoft Entra ID를 사용하여 애플리케이션을 등록하면 애플리케이션에 대한 ID 구성을 제공하여 Microsoft Entra ID와 통합하고 다음과 같은 기능을 사용할 수 있습니다.

자세한 내용은 Microsoft Entra ID와 애플리케이션 통합을 참조하세요.

인증

ID 및 액세스 제어에 사용할 보안 주체를 만들기 위한 기반을 제공하도록 당사자에게 합법적인 자격 증명을 하게 챌린지하는 작업. 예를 들어 OAuth2.0 권한 부여 시 당사자 인증은 사용된 권한 부여에 따라 리소스 소유자 또는 클라이언트 애플리케이션의 역할을 수행합니다.

Authorization

인증된 보안 주체에게 작업을 수행할 수 있게 사용 권한을 부여하는 작업. Microsoft Entra 프로그래밍 모델에는 두 가지 기본 사용 사례가 있습니다.

인증 코드

OAuth 2.0 권한 코드 부여 흐름 중에 권한 부여 엔드포인트에서 클라이언트 애플리케이션에 제공하는 수명이 짧은 값으로, OAuth 2.0 권한 부여 4개 중 하나입니다. 인증 코드라고도 하는 권한 부여 코드는 리소스 소유자의 인증에 대한 응답으로 클라이언트 애플리케이션에 반환됩니다. 인증 코드는 리소스 소유자가 해당 리소스에 액세스하기 위해 클라이언트 애플리케이션에 권한을 위임했음을 나타냅니다. 흐름의 일부로, 인증 코드는 나중에 액세스 토큰으로 교환됩니다.

권한 부여 엔드포인트

권한 부여 서버에서 구현하는 엔드포인트 중 하나로 OAuth2.0 권한 부여 흐름 중에 권한 부여를 제공하기 위해 리소스 소유자와 상호 작용하는 데 사용됩니다. 사용된 권한 부여 흐름에 따라 인증 코드 또는 보안 토큰을 포함하여 제공되는 실제 권한 부여는 다를 수 있습니다.

자세한 내용은 OAuth2.0 사양의 권한 부여 유형권한 부여 엔드포인트 섹션과 OpenIDConnect 사양을 참조하세요.

권한 부여

클라이언트 애플리케이션에 부여된 보호된 리소스에 액세스하기 위한 리소스 소유자의 권한 부여를 나타내는 자격 증명입니다. 클라이언트 애플리케이션은 클라이언트 유형/요구 사항에 따라 권한 부여를 얻기 위해 OAuth2.0 권한 부여 프레임워크에 의해 정의된 네 가지 권한 부여 중 하나를 사용할 수 있습니다. 그 유형은 “권한 부여 코드 부여”, “클라이언트 자격 증명 부여”, “암시적 허용” 및 “리소스 소유자 암호 자격 증명 부여”입니다. 클라이언트에 반환되는 자격 증명은 사용되는 권한 부여 유형에 따라 액세스 토큰 또는 인증 코드(나중에 액세스 토큰과 교환됨) 중 하나입니다.

리소스 소유자 암호 자격 증명 부여는 다른 흐름을 사용할 수 없는 경우를 제외하고 사용하면 안 됩니다. SPA를 빌드하는 경우 암시적 허용 대신 PKCE와 함께 인증 코드 흐름을 사용합니다.

권한 부여 서버

OAuth2.0 권한 부여 프레임워크에서 정의된 대로 리소스 소유자를 성공적으로 인증하고 권한 부여를 얻은 후에 클라이언트에 액세스 토큰 발급을 담당하는 서버입니다. 클라이언트 애플리케이션에서는 런타임 시 권한 부여에서 정의한 OAuth2.0에 따라 권한 부여토큰 엔드포인트를 통해 권한 부여 서버와 상호 작용합니다.

Microsoft ID 플랫폼 애플리케이션 통합의 경우 Microsoft ID 플랫폼은 Microsoft Entra 애플리케이션 및 Microsoft 서비스 API(예: Microsoft Graph API)에 권한을 부여하는 서버 역할을 구현합니다.

클레임

클레임은 한 엔터티가 만든 어설션을 다른 엔터티에 제공하는 보안 토큰의 이름/값 쌍입니다. 이러한 엔터티는 일반적으로 리소스 서버에 어설션을 제공하는 클라이언트 애플리케이션 또는 리소스 소유자입니다. 클레임은 토큰 주체(예: 권한 부여 서버에 의해 인증된 보안 주체의 ID)에 관한 팩트를 릴레이합니다. 토큰에 있는 클레임은 토큰 유형, 주체 인증에 사용되는 자격 증명 유형, 애플리케이션 구성 등과 같은 여러 요인에 따라 달라질 수 있습니다.

자세한 내용은 Microsoft ID 플랫폼 토큰 참조를 참조하세요.

클라이언트 애플리케이션

"작업자"라고도 합니다. OAuth2.0 권한 부여 프레임워크에 정의된 대로, 리소스 소유자 대신 보호된 리소스 요청을 하는 애플리케이션입니다. 리소스 소유자로부터 권한을 범위 형식으로 받습니다. “클라이언트”라는 용어는 특정 하드웨어 구현 특성(예: 애플리케이션이 서버, 데스크톱, 또는 다른 디바이스에서 실행할지 여부)을 의미하지 않습니다.

클라이언트 애플리케이션은 OAuth2.0 권한 부여 흐름에 참여하기 위해 리소스 소유자에게 권한 부여를 요청하고 리소스 소유자를 대신하여 API/데이터에 액세스할 수 있습니다. OAuth2.0 권한 부여 프레임워크는 해당 자격 증명의 기밀을 유지할 수 있는 클라이언트의 능력에 기반하여 “기밀”과 “퍼블릭”이란 두 가지 유형의 클라이언트를 정의합니다. 애플리케이션은 웹 서버에서 실행되는 웹 클라이언트(기밀), 디바이스에 설치된 네이티브 클라이언트(공용) 또는 디바이스의 브라우저에서 실행되는 사용자 에이전트 기반 클라이언트(공용)를 구현할 수 있습니다.

클라이언트 애플리케이션에 리소스 소유자를 대신하여 보호된 리소스에 액세스할 수 있는 특정 권한을 부여하는 리소스 소유자의 프로세스. 클라이언트가 요청한 사용 권한에 따라 관리자 또는 사용자에게 각기 자신의 조직/개인 데이터에 대한 액세스를 허용하는 데 동의하는지 묻는 메시지가 표시됩니다. 다중 테넌트 시나리오에서도 동의하는 사용자의 테넌트에 애플리케이션의 서비스 주체를 기록합니다.

자세한 정보는 동의 프레임워크를 참조하세요.

ID 토큰

최종 사용자 리소스 소유자의 인증과 관련된 클레임을 포함하는 권한 부여 서버의 권한 부여 엔드포인트에서 제공하는 OpenID Connect 보안 토큰입니다. 액세스 토큰과 마찬가지로 ID 토큰도 또한 디지털로 서명된 JWT(JSON Web Token)로 표시됩니다. 그렇지만 액세스 토큰과는 달리 ID 토큰의 클레임은 리소스 액세스 및 특히 액세스 제어와 관련된 용도로 사용되지 않습니다.

자세한 내용은 ID 토큰 참조를 참조하세요.

관리 ID

개발자가 자격 증명을 관리할 필요가 없습니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 사용할 애플리케이션의 ID를 제공합니다. 애플리케이션은 관리 ID를 사용하여 Microsoft ID 플랫폼 토큰을 가져올 수 있습니다. 예를 들어 애플리케이션은 관리 ID를 사용하여 개발자가 자격 증명을 안전하게 저장하거나 스토리지 계정에 액세스할 수 있는 Azure Key Vault와 같은 리소스에 액세스할 수 있습니다. 자세한 내용은 관리 ID 개요를 참조하세요.

Microsoft ID 플랫폼

Microsoft ID 플랫폼은 Microsoft Entra ID 서비스 및 개발자 플랫폼의 진화된 형태입니다. 이 플랫폼을 사용하면 개발자가 모든 Microsoft ID에 로그인하고, Microsoft Graph, 기타 Microsoft API 또는 개발자가 빌드한 API를 호출하기 위한 토큰을 가져오는 애플리케이션을 빌드할 수 있습니다. 인증 서비스, 라이브러리, 애플리케이션 등록 및 구성, 완전한 개발자 설명서, 코드 샘플 및 기타 개발자 콘텐츠로 구성된 모든 기능을 갖춘 플랫폼입니다. Microsoft ID 플랫폼은 OAuth 2.0 및 OpenID Connect 등의 산업 표준 프로토콜을 지원합니다.

다중 테넌트 애플리케이션

클라이언트를 등록한 테넌트 이외의 테넌트를 포함하여 Microsoft Entra 테넌트에 프로비전된 사용자가 로그인하고 동의할 수 있도록 하는 애플리케이션의 한 종류입니다. 네이티브 클라이언트 애플리케이션은 기본적으로 다중 테넌트인 반면 웹 클라이언트웹 리소스/API 애플리케이션은 단일 테넌트와 다중 테넌트 중에서 선택하는 기능이 있습니다. 반면 단일 테넌트로 등록된 웹 애플리케이션은 애플리케이션이 등록된 동일한 테넌트에서 프로비전된 사용자 계정에서만 로그인하는 것을 허용합니다.

자세한 내용은 다중 테넌트 애플리케이션 패턴을 사용하여 모든 Microsoft Entra 사용자를 로그인하는 방법을 참조하세요.

네이티브 클라이언트

디바이스에 고유하게 설치된 클라이언트 애플리케이션 의 유형. 모든 코드가 디바이스에서 실행되기 때문에 자격 증명을 비공개로/기밀로 저장할 수 없으므로 “퍼블릭” 클라이언트로 간주합니다. 더 자세한 내용은 OAuth2.0 클라이언트 형식 및 프로필을 참조하세요.

사용 권한

클라이언트 애플리케이션은 권한 요청을 선언하여 리소스 서버에 대한 액세스 권한을 얻습니다. 두 가지 유형을 사용할 수 있습니다.

  • 하나는 "위임된" 권한으로서 로그인된 리소스 소유자로부터 위임된 권한 부여를 사용하여 범위 기반 액세스를 지정하며, 런타임 시 클라이언트의 액세스 토큰에서 "scp" 클레임으로 리소스에 제공됩니다. 이는 주체에서 작업자에게 부여한 권한을 나타냅니다.
  • 또 하나는 "애플리케이션" 권한으로서 클라이언트 애플리케이션의 자격 증명/ID를 사용하여 역할 기반 액세스를 지정하며, 런타임 시 클라이언트의 액세스 토큰에서 "역할" 클레임으로 리소스에 제공됩니다. 이는 테넌트에서 주체에 부여한 권한을 나타냅니다.

또한 동의 프로세스 동안 표면화되어 관리자 또는 리소스 소유자에게 자신의 테넌트에 있는 리소스에 대한 클라이언트 액세스를 허용/거부할 기회를 제공합니다.

권한 요청은 애플리케이션에 대한 API 권한 페이지에서 원하는 "위임된 권한" 및 "애플리케이션 사용 권한"(후자는 전역 관리자 역할의 멤버 자격 필요)을 선택하여 구성됩니다. 공용 클라이언트는 자격 증명을 안전하게 유지할 수 없으므로 위임된 권한만 요청할 수 있는 반면에 기밀 클라이언트는 위임된 권한 및 애플리케이션 권한을 모두 요청할 수 있습니다. 클라이언트의 애플리케이션 개체는 선언된 사용 권한을 requiredResourceAccess 속성에 저장할 수 있습니다.

새로 고침 토큰

권한 부여 서버에서 발급한 보안 토큰의 유형입니다. 액세스 토큰이 만료되기 전에 클라이언트 애플리케이션은 권한 부여 서버에서 새 액세스 토큰을 요청할 때 연결된 새로 고침 토큰을 포함시킵니다. 새로 고침 토큰은 일반적으로 JWT(JSON 웹 토큰)로 형식이 지정됩니다.

액세스 토큰과 달리 새로 고침 토큰은 해지할 수 있습니다. 권한 부여 서버는 해지된 새로 고침 토큰을 포함하는 클라이언트 애플리케이션의 모든 요청을 거부합니다. 권한 부여 서버가 해지된 새로 고침 토큰을 포함하는 요청을 거부하면 클라이언트 애플리케이션은 리소스 소유자를 대신하여 리소스 서버에 액세스할 수 있는 권한을 잃게 됩니다.

자세한 내용은 토큰 새로 고침을 참조하세요.

리소스 소유자

OAuth2.0 권한 부여 프레임워크에 정의된 대로, 보호된 리소스에 대한 액세스 부여할 수 있는 엔터티입니다. 리소스 소유자가 사람인 경우 최종 사용자라고 합니다. 예를 들어, 클라이언트 애플리케이션Microsoft Graph API를 통해 사용자 사서함에 액세스하려 한다면 사서함의 리소스 소유자로부터 사용 권한 허가가 필요합니다. "리소스 소유자"를 주체라고도 합니다.

모든 보안 토큰은 리소스 소유자를 나타냅니다. 리소스 소유자는 주체 클레임, 개체 ID 클레임 및 토큰의 개인 데이터에서 나타내는 것입니다. 리소스 소유자는 클라이언트 애플리케이션에 위임된 권한을 범위 형식으로 부여하는 당사자입니다. 리소스 소유자는 테넌트 내 또는 애플리케이션에서 확장된 권한을 나타내는 역할의 수신자이기도 합니다.

리소스 서버

OAuth2.0 권한 부여 프레임워크에 정의된 대로, 액세스 토큰에 있는 클라이언트 애플리케이션에 의한 보호된 리소스 요청을 수락하고 응답할 수 있는, 보호된 리소스를 호스트하는 서버입니다. 보호된 리소스 서버 또는 리소스 애플리케이션이라고도 합니다.

리소스 서버는 API를 공개하고 OAuth 2.0 권한 부여 프레임워크를 사용하여 범위역할을 통해 보호된 리소스에 대한 액세스를 수행합니다. Microsoft Entra 테넌트 데이터에 대한 액세스를 제공하는 Microsoft Graph API 및 메일과 일정 등 데이터에 대한 액세스를 제공하는 Microsoft 365 API를 예로 들 수 있습니다.

클라이언트 애플리케이션과 마찬가지로 리소스 애플리케이션 ID 구성은 Microsoft Entra 테넌트에서 등록을 통해 설정되며 애플리케이션과 서비스 주체 개체를 모두 제공 합니다. Microsoft Graph API와 같은 일부 Microsoft 제공 API에는 프로비저닝 중에 모든 테넌트에서 사용할 수 있도록 미리 등록된 서비스 주체가 있습니다.

Roles

범위와 마찬가지로 앱 역할은 리소스 서버에서 보호된 리소스에 대한 액세스를 제어하는 방법을 제공합니다. 범위와 달리 역할은 기준을 초과하여 주체에게 부여된 권한을 나타냅니다. 따라서 사용자 고유의 이메일을 읽는 것이 범위이며, 모든 사용자의 이메일을 읽을 수 있는 이메일 관리자가 되는 것이 역할입니다.

앱 역할은 두 가지 할당 유형을 지원할 수 있습니다. '사용자' 할당은 리소스에 대한 액세스 권한이 필요한 사용자/그룹의 역할 기반 액세스 제어를 구현하는 반면, '애플리케이션' 할당은 액세스 권한이 필요한 클라이언트 애플리케이션에 대해 동일한 제어를 구현합니다. 앱 역할은 사용자 할당 가능, 앱 할당 가능 또는 둘 다로 정의할 수 있습니다.

역할은 리소스 정의 문자열(예: "비용 승인자", "읽기 전용", "Directory.ReadWrite.All")이며 리소스의 애플리케이션 매니페스트를 통해 관리되고 리소스의 appRoles 속성에 저장됩니다. 사용자는 "사용자" 할당 가능 역할에 할당될 수 있으며 클라이언트 애플리케이션 권한은 "애플리케이션" 할당 가능 역할을 요청하도록 구성될 수 있습니다.

Microsoft Graph API에 의해 노출된 애플리케이션 역할에 대한 자세한 내용은 Graph API 사용 권한 범위를 참조하세요. 단계별 구현 예는 Azure 역할 할당 추가 또는 제거를 참조하세요.

범위

역할과 마찬가지로 범위는 리소스 서버에서 보호된 리소스에 대한 액세스를 제어하는 방법을 제공합니다. 범위는 해당 소유자가 리소스에 대해 위임한 액세스를 부여한 클라이언트 애플리케이션에 대해 범위 기반 액세스 제어를 구현하는 데 사용됩니다.

범위는 리소스 정의 문자열(예: "Mail.Read", "Directory.ReadWrite.All")이며 리소스의 애플리케이션 매니페스트를 통해 관리되고 리소스의 oauth2Permissions 속성에 저장됩니다. 범위에 액세스하도록 클라이언트 애플리케이션 위임 권한을 구성할 수 있습니다.

모범 사례 명명 규칙은 "resource.operation.constraint" 형식을 사용 하는 것입니다. Microsoft Graph API에 의해 노출된 범위에 대한 자세한 내용은 Graph API 사용 권한 범위를 참조하세요. Microsoft 365 서비스에 의해 노출되는 범위는 Microsoft 365 API 사용 권한 참조를 참조하세요.

보안 토큰

OAuth2.0 토큰 또는 SAML 2.0 어설션과 같은 클레임을 포함한 서명된 문서입니다. OAuth2.0 권한 부여의 경우 액세스 토큰(OAuth2.0), 새로 고침 토큰ID 토큰은 보안 토큰의 유형으로서 둘 다 JWT(JSON Web Token) 형식으로 구현됩니다.

서비스 주체 개체

애플리케이션을 등록/업데이트하면 해당 테넌트에 대해 애플리케이션 개체와 해당 서비스 주체 개체가 모두 만들어지고 업데이트됩니다. 애플리케이션 개체는 애플리케이션의 ID 구성을 전역적으로(액세스 권한이 관련된 애플리케이션에 부여된 모든 테넌트에 걸쳐) 정의하며, 해당 서비스 주체 개체가 런타임 시 로컬로(특정 테넌트에서) 사용되도록 파생되는 템플릿입니다.

자세한 내용은 애플리케이션 및 서비스 주체 개체를 참조하세요.

로그인

보안 토큰을 요청하고 애플리케이션 세션의 범위를 해당 상태로 지정하기 위해 최종 사용자 인증을 시작하고 관련 상태를 캡처하는 클라이언트 애플리케이션의 프로세스. 상태는 사용자 프로필 정보, 토큰 클레임에서 파생된 정보 등과 같은 아티팩트를 포함할 수 있습니다.

애플리케이션의 로그인 기능은 일반적으로 Single Sign-On(SSO)을 구현하는 데 사용됩니다. (처음 로그인에 대해)애플리케이션에 액세스 권한을 가진 최종 사용자에 대한 진입점으로 "등록" 함수로 시작될 수도 있습니다. 등록 기능은 사용자에게 특유한 추가 상태를 수집하고 유지하기 위해 사용되며, 사용자 동의를 필요로 할 수 있습니다.

로그아웃

로그인클라이언트 애플리케이션 세션과 연결된 사용자 상태를 분리하여 최종 사용자의 인증을 무효화하는 프로세스

Subject

리소스 소유자라고도 합니다.

테넌트

Microsoft Entra 디렉터리의 인스턴스를 Microsoft Entra 테넌트라고 합니다. 다음과 같은 여러 기능을 제공합니다.

Microsoft Entra 테넌트는 등록 시 Azure 및 Microsoft 365 구독으로 생성/연결되어 구독에 대한 ID 및 액세스 관리 기능을 제공합니다. Azure 구독 관리자는 Microsoft Entra 테넌트를 추가로 만들 수도 있습니다. 테넌트에 액세스할 수 있는 다양한 방법에 대한 자세한 내용은 Microsoft Entra 테넌트를 가져오는 방법을 참조하세요. 구독과 Microsoft Entra 테넌트 간의 관계에 대한 자세한 내용과 Microsoft Entra 테넌트에 구독을 연결하거나 추가하는 방법에 대한 지침은 Microsoft Entra 테넌트에 Azure 구독 연결 또는 추가를 참조하세요.

토큰 엔드포인트

OAuth2.0 권한 부여를 지원하기 위해 권한 부여 서버에서 구현하는 엔드포인트 중 하나. 권한 부여에 따라 OpenID Connect 프로토콜과 함께 사용할 경우 클라이언트 또는 ID 토큰에 대한 액세스 토큰(및 관련된 "새로 고침" 토큰)을 얻기 위해 사용될 수 있습니다.

사용자 에이전트 기반 클라이언트

웹 서버에서 코드를 다운로드하고 SPA(단일 페이지 애플리케이션)와 같은 사용자 에이전트(예: 웹 브라우저) 내에서 실행하는 클라이언트 애플리케이션의 유형입니다. 모든 코드가 디바이스에서 실행되기 때문에 자격 증명을 비공개로/기밀로 저장할 수 없으므로 “퍼블릭” 클라이언트로 간주합니다. 자세한 내용은 OAuth2.0 클라이언트 형식 및 프로필을 참조하세요.

사용자 주체

서비스 주체 개체가 애플리케이션 인스턴스를 나타내는 데 사용되는 방식과 유사하게 사용자 계정 개체는 사용자를 나타내는 다른 유형의 보안 주체입니다. Microsoft Graph User리소스 종류는 이름과 성, 사용자 주체 이름, 디렉터리 역할 멤버 자격 등 사용자 관련 속성을 포함하는 사용자 개체에 대한 스키마를 정의합니다. Microsoft Entra ID에 대한 사용자 ID 구성을 제공하여 런타임 시 사용자 주체를 설정합니다. 사용자 주체는 Single Sign-On, 동의 위임 기록, 액세스 제어 결정 등을 위해 인증된 사용자를 나타내는 데 사용됩니다.

웹 클라이언트

웹 서버에 대한 모든 코드를 실행하고 서버에서 해당 자격 증명을 안전하게 저장할 수 있으므로 “기밀” 클라이언트로 작동하는 클라이언트 애플리케이션 유형입니다. 자세한 내용은 OAuth2.0 클라이언트 형식 및 프로필을 참조하세요.

워크로드 ID

애플리케이션, 서비스, 스크립트 또는 컨테이너처럼 다른 서비스 및 리소스를 인증하고 액세스하기 위해 소프트웨어 워크로드에서 사용하는 ID입니다. Microsoft Entra ID에서 워크로드 ID는 앱, 서비스 사용자 및 관리 ID입니다. 자세한 내용은 워크로드 ID 개요를 참조하세요.

워크로드 ID 페더레이션

비밀을 관리할 필요 없이 외부 앱 및 서비스에서 Microsoft Entra 보호 리소스에 안전하게 액세스할 수 있습니다(지원되는 시나리오의 경우). 자세한 내용은 워크로드 ID 페더레이션을 참조하세요.

다음 단계

이 용어집의 많은 용어는 OAuth 2.0 및 OpenID 커넥트 프로토콜과 관련이 있습니다. 프로토콜이 ID 플랫폼을 사용하기 위해 “유선”에서 작동하는 방식을 알 필요는 없지만 일부 프로토콜 기본 사항을 알고 있으면 앱에서 인증 및 권한 부여를 보다 쉽게 빌드하고 디버그하는 데 도움이 될 수 있습니다.