빠른 시작: 토큰을 획득하고 Python 디먼 앱에서 Microsoft Graph 호출

아티클
10/26/2023

이 빠른 시작에서는 Python 애플리케이션이 앱의 ID를 사용하여 액세스 토큰을 가져와 Microsoft Graph API를 호출하고 디렉터리에 사용자 목록을 표시하는 방법을 보여주는 코드 샘플을 다운로드하고 실행합니다. 코드 샘플에서는 사용자의 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행할 수 있는 방법을 보여줍니다.

Diagram showing how the sample app generated by this quickstart works.

필수 조건

이 샘플을 실행하려면 다음이 필요합니다.

빠른 시작 앱 등록 및 다운로드

1단계: 애플리케이션 등록

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

애플리케이션을 등록하고 앱의 등록 정보를 솔루션에 수동으로 추가하려면 다음 단계를 따르세요.

Microsoft Entra 관리 센터에 로그인합니다.
여러 테넌트에 액세스할 수 있는 경우 위쪽 메뉴의 설정 아이콘을 사용하여 디렉터리 + 구독 메뉴에서 애플리케이션을 등록하려는 테넌트로 전환합니다.
ID>애플리케이션>앱 등록으로 이동하고 신규 등록을 선택합니다.
애플리케이션에 대한 이름을 입력합니다(예: Daemon-console). 이 이름은 앱의 사용자에게 표시될 수 있으며 나중에 변경할 수 있습니다.
등록을 선택합니다.
관리에서 인증서 및 비밀을 선택합니다.
클라이언트 암호에서 새 클라이언트 암호를 선택하고 이름을 입력한 다음, 추가를 선택합니다. 이후 단계에서 사용할 수 있도록 안전한 위치에 비밀 값을 기록합니다.
관리에서 API 권한>권한 추가를 선택합니다. Microsoft Graph를 선택합니다.
애플리케이션 권한 선택.
사용자 노드 아래에서 User.Read.All을 선택한 다음, 권한 추가를 선택합니다.

2단계: Python 프로젝트 다운로드

Python 디먼 프로젝트 다운로드

3단계: Python 프로젝트 구성

zip 파일을 디스크 루트에 가까운 로컬 폴더(예: C:\Azure-Samples)로 추출합니다.
하위 폴더 1-Call-MsGraph-WithSecret으로 이동합니다.
parameters.json을 편집하고 authority, client_id 및 secret 필드의 값을 다음 코드 조각으로 바꿉니다.
```
"authority": "https://login.microsoftonline.com/Enter_the_Tenant_Id_Here",
"client_id": "Enter_the_Application_Id_Here",
"secret": "Enter_the_Client_Secret_Here"
```
여기서
- Enter_the_Application_Id_Here - 등록한 애플리케이션의 애플리케이션(클라이언트) ID입니다.
- Enter_the_Tenant_Id_Here - 이 값을 테넌트 ID 또는 테넌트 이름(예: contoso.microsoft.com)으로 바꿉니다.
- Enter_the_Client_Secret_Here - 1단계에서 만든 클라이언트 비밀로 이 값을 바꿉니다.

팁

애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID의 값을 찾아보려면 Microsoft Entra 관리 센터에서 앱의 개요 페이지로 이동합니다. 새 키를 생성하려면 인증서 및 비밀 페이지로 이동합니다.

이 시점에서 애플리케이션을 실행하려고 시도하면 HTTP 403 - 사용할 수 없음 오류: Insufficient privileges to complete the operation 메시지가 표시됩니다. 이 오류는 앱 전용 권한에 관리 동의가 필요하기 때문에 발생합니다. 디렉터리의 전역 관리주인은 애플리케이션에 동의해야 합니다. 역할에 따라 아래 옵션 중 하나를 선택합니다.

글로벌 테넌트 관리자

전역 테넌트 관리자인 경우 Microsoft Entra 관리 센터의 앱 등록에서 API 권한 페이지로 이동하고 {Tenant Name}에 대한 관리자 동의 허용을 선택합니다(여기서 {Tenant Name}은 디렉터리의 이름임).

표준 사용자

테넌트의 표준 사용자인 경우 전역 관리자에게 애플리케이션에 대한 관리자 동의를 부여하도록 요청합니다. 이렇게 하려면 관리자에게 다음 URL을 제공합니다.

https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here

여기서

Enter_the_Tenant_Id_Here - 이 값을 테넌트 ID 또는 테넌트 이름(예: contoso.microsoft.com)으로 바꿉니다.
Enter_the_Application_Id_Here - 이전에 등록한 애플리케이션의 애플리케이션(클라이언트) ID입니다.

5단계: 애플리케이션 실행

이 샘플의 종속성을 한 번 설치해야 합니다.

pip install -r requirements.txt

그런 다음, 명령 프롬프트 또는 콘솔을 통해 애플리케이션을 실행합니다.

python confidential_client_secret_sample.py parameters.json

콘솔에서 Microsoft Entra 디렉터리의 사용자 목록을 나타내는 일부 JSON 조각을 출력하는 것을 볼 수 있습니다.

Important

이 빠른 시작 애플리케이션에서는 클라이언트 비밀을 사용하여 자체를 기밀 클라이언트로 식별합니다. 클라이언트 비밀은 보안상의 이유로 프로젝트 파일에 일반 텍스트로 추가되므로, 이 애플리케이션을 프로덕션 애플리케이션으로 사용하는 방안을 고려하기 전에 클라이언트 비밀 대신 인증서를 사용하는 것이 좋습니다. 인증서를 사용하는 방법에 대한 자세한 내용은 이 샘플에 대한 동일한 GitHub 리포지토리의 두 번째 폴더 2-Call-MsGraph-WithCertificate에 있는 다음 지침을 참조하세요.

자세한 정보

MSAL Python

MSAL Python은 사용자를 로그인하고 Microsoft ID 플랫폼으로 보호되는 API 액세스에 사용되는 토큰을 요청할 때 사용되는 라이브러리입니다. 설명한 것과 같이 이 빠른 시작은 위임된 권한 대신 애플리케이션 소유 ID를 사용하여 토큰을 요청합니다. 이 경우에 사용되는 인증 흐름을 클라이언트 자격 증명 oauth 흐름이라고 합니다. MSAL Python을 디먼 앱과 함께 사용하는 방법에 대한 자세한 내용은 이 문서를 참조하세요.

다음 pip 명령을 실행하여 MSAL Python을 설치할 수 있습니다.

pip install msal

MSAL 초기화

다음 코드를 추가하여 MSAL에 대한 참조를 추가할 수 있습니다.

import msal

그런 다음, 아래 코드를 사용하여 MSAL을 초기화합니다.

app = msal.ConfidentialClientApplication(
    config["client_id"], authority=config["authority"],
    client_credential=config["secret"])

여기서	설명
`config["secret"]`	Microsoft Entra 관리 센터에서 애플리케이션을 위해 만들어진 클라이언트 암호입니다.
`config["client_id"]`	Microsoft Entra 관리 센터에 등록된 애플리케이션의 애플리케이션(클라이언트) ID입니다. 이 값은 Microsoft Entra 관리 센터의 앱 개요 페이지에서 찾을 수 있습니다.
`config["authority"]`	사용자가 인증하는 STS 엔드포인트 일반적으로 퍼블릭 클라우드에 대한 `https://login.microsoftonline.com/{tenant}`입니다. 여기서 {tenant}는 테넌트의 이름 또는 테넌트 ID입니다.

자세한 내용은 ConfidentialClientApplication에 대한 참조 설명서를 참조하세요.

토큰 요청

앱의 ID를 사용하여 토큰을 요청하려면 AcquireTokenForClient 메서드를 사용합니다.

result = None
result = app.acquire_token_silent(config["scope"], account=None)

if not result:
    logging.info("No suitable token exists in cache. Let's get a new one from AAD.")
    result = app.acquire_token_for_client(scopes=config["scope"])

여기서 설명

config["scope"] 요청된 범위를 포함합니다. 기밀 클라이언트의 경우 요청되는 범위가 Microsoft Entra 관리 센터에서 설정된 앱 개체에서 정적으로 정의된 것임을 나타내기 위해 {Application ID URI}/.default와 유사한 양식을 사용해야 합니다(Microsoft Graph의 경우 {Application ID URI}는 https://graph.microsoft.com을 가리킴). 사용자 지정 웹 API의 경우 {Application ID URI}는 Microsoft Entra 관리 센터 앱 등록에서 API 노출 섹션 아래에 정의됩니다.

여기서	설명
`config["scope"]`	요청된 범위를 포함합니다. 기밀 클라이언트의 경우 요청되는 범위가 Microsoft Entra 관리 센터에서 설정된 앱 개체에서 정적으로 정의된 것임을 나타내기 위해 `{Application ID URI}/.default`와 유사한 양식을 사용해야 합니다(Microsoft Graph의 경우 `{Application ID URI}`는 `https://graph.microsoft.com`을 가리킴). 사용자 지정 웹 API의 경우 `{Application ID URI}`는 Microsoft Entra 관리 센터 앱 등록에서 API 노출 섹션 아래에 정의됩니다.

자세한 내용은 AcquireTokenForClient에 대한 참조 설명서를 참조하세요.

도움말 및 지원

도움이 필요하거나, 문제를 보고하거나, 지원 옵션에 대해 알아보려면 개발자를 위한 도움말 및 지원을 참조하세요.

다음 단계

디먼 애플리케이션에 대해 자세히 알아보려면 시나리오 방문 페이지를 참조하세요.

웹 API를 호출하는 디먼 애플리케이션