고객 ID 및 액세스 관리 계획

Microsoft Entra 외부 ID 앱에 CIAM(고객 ID 및 액세스 관리)을 추가하기 위한 사용자 지정 가능하고 확장 가능한 솔루션입니다. Microsoft Entra 플랫폼을 기반으로 빌드되었으므로 직원 및 고객 시나리오 전반에서 앱 통합, 테넌트 관리, 운영의 일관성을 누릴 수 있습니다. 구성을 디자인할 때는 외부 테넌트의 구성 요소와 고객 시나리오에 사용할 수 있는 Microsoft Entra 기능을 이해하는 것이 중요합니다.

이 문서에서는 앱을 통합하고 Microsoft Entra 외부 ID 구성하기 위한 일반적인 프레임워크를 제공합니다. 외부 테넌트에서 사용할 수 있는 기능을 설명하고 통합의 각 단계에 대한 중요한 계획 고려 사항을 간략하게 설명합니다.

앱에 보안 로그인을 추가하고 고객 ID 및 액세스 관리를 설정하려면 다음 네 가지 주요 단계가 필요합니다.

이 문서에서는 이러한 각 단계를 설명하고 중요한 계획 고려 사항을 간략하게 설명합니다. 다음 표에서 세부 정보 및 계획 고려 사항을 보려면 단계를 선택하거나 방법 가이드로 직접 이동합니다.

단계	방법 가이드
1단계: 외부 테넌트 만들기	• 외부 테넌트 만들기• 또는 평가판 시작
2단계: 애플리케이션 등록	• 애플리케이션 등록
3단계: 앱에 로그인 흐름 통합	• 사용자 흐름 만들기 • 사용자 흐름에 앱 추가
4단계: 로그인 사용자 지정 및 보안	• 브랜딩 사용자 지정 • ID 공급자 추가 • 등록 시 특성 수집 • 토큰에 특성 추가 • MFA(다단계 인증) 추가

1단계: 외부 테넌트 만들기

외부 테넌트는 Microsoft Entra 외부 ID 시작하기 위해 만들어야 하는 첫 번째 리소스입니다. 외부 테넌트는 애플리케이션을 등록하는 위치입니다. 또한 직원 테넌트와 별도로 고객 ID 및 액세스를 관리하는 디렉터리도 포함되어 있습니다.

외부 테넌트를 만들 때 올바른 지리적 위치와 do기본 이름을 설정할 수 있습니다. 현재 Azure AD B2C를 사용하는 경우 새 인력 및 외부 테넌트 모델은 기존 Azure AD B2C 테넌트에 영향을 주지 않습니다.

외부 테넌트에서 사용자 계정

외부 테넌트에 있는 디렉터리에는 관리자 및 고객 사용자 계정이 포함됩니다. 외부 테넌트에 대한 관리자 계정을 만들고 관리할 수 있습니다. 고객 계정은 일반적으로 셀프 서비스 등록을 통해 만들어지지만 고객 로컬 계정을 만들고 관리할 수도 있습니다.

고객 계정에는 기본 사용 권한 집합이 있습니다. 고객은 외부 테넌트에 있는 다른 사용자에 대한 정보에 액세스할 수 없습니다. 기본적으로 고객은 다른 사용자, 그룹 또는 디바이스에 대한 정보에 액세스할 수 없습니다.

외부 테넌트를 만드는 방법

• Microsoft Entra 관리 센터에서 외부 테넌트를 만듭니다.

• Microsoft Entra 테넌트가 아직 없고 Microsoft Entra 외부 ID 시도하려는 경우 시작 환경을 사용하여 평가판을 시작하는 것이 좋습니다.

2단계: 애플리케이션 등록

애플리케이션이 Microsoft Entra 외부 ID 상호 작용하려면 외부 테넌트에 등록해야 합니다. Microsoft Entra ID는 등록된 애플리케이션에 대해서만 ID 및 액세스 관리를 수행합니다. 앱을 등록하면 트러스트 관계가 설정되고 앱을 Microsoft Entra 외부 ID 통합할 수 있습니다.

그런 다음 Microsoft Entra ID와 앱 간의 신뢰 관계를 완료하려면 애플리케이션(클라이언트) ID, 디렉터리(테넌트) 하위 도메인, 클라이언트 암호 등 앱 등록 중에 할당된 값으로 애플리케이션 소스 코드를 업데이트합니다.

Microsoft는 다양한 앱 형식과 언어에 대한 코드 샘플 가이드와 심층 통합 가이드를 제공합니다. 등록하려는 앱 형식에 따라 앱 형식 및 언어별 샘플 페이지에서 지침을 확인할 수 있습니다.

애플리케이션을 등록하는 방법

• 앱 형식 및 언어별 샘플 페이지에서 등록하려는 애플리케이션과 관련된 지침을 찾아보세요.

• 플랫폼 또는 언어 관련 가이드가 없는 경우 외부 테넌트에 애플리케이션을 등록하기 위한 일반적인 지침을 참조하세요.

3단계: 앱에 로그인 흐름 통합

외부 테넌트를 설정하고 애플리케이션을 등록한 후에는 등록 및 로그인 사용자 흐름을 만듭니다. 그런 다음 애플리케이션에 액세스하는 모든 사람이 설계한 등록 및 로그인 환경을 경험할 수 있도록 애플리케이션을 사용자 흐름과 통합합니다.

애플리케이션을 사용자 흐름과 통합하려면 사용자 흐름 속성에 애플리케이션을 추가하고 테넌트 정보 및 권한 부여 엔드포인트로 애플리케이션 코드를 업데이트합니다.

인증 흐름

고객이 애플리케이션에 로그인을 시도하면 애플리케이션은 앱을 사용자 흐름과 연결할 때 제공한 엔드포인트에 권한 부여 요청을 보냅니다. 사용자 흐름은 고객의 로그인 환경을 정의하고 제어합니다.

사용자가 처음으로 로그인하는 경우 등록 환경이 표시됩니다. 수집하기로 선택한 기본 제공 또는 사용자 지정 사용자 특성을 기반으로 정보를 입력합니다.

등록이 완료되면 Microsoft Entra ID는 토큰을 생성하고 고객을 애플리케이션으로 리디렉션합니다. 디렉터리에 고객에 대한 고객 계정이 만들어집니다.

등록 및 로그인 사용자 흐름

등록 및 로그인 환경을 계획할 때 요구 사항을 결정합니다.

• 사용자 흐름 수. 각 애플리케이션에는 등록 및 로그인 사용자 흐름이 하나만 있을 수 있습니다. 여러 애플리케이션이 있는 경우 모든 애플리케이션에 대해 단일 사용자 흐름을 사용할 수 있습니다. 또는 각 애플리케이션에 대해 서로 다른 환경을 원하는 경우 여러 사용자 흐름을 만들 수 있습니다. 최대 외부 테넌트당 10개의 사용자 흐름입니다.

• 회사 브랜딩 및 언어 사용자 지정 나중에 4단계에서 회사 브랜딩 및 언어 사용자 지정 구성을 설명하지만 앱을 사용자 흐름과 통합하기 전이나 후에 언제든지 구성할 수 있습니다. 사용자 흐름을 만들기 전에 회사 브랜딩을 구성하면 로그인 페이지에 해당 브랜딩이 반영됩니다. 그렇지 않으면 로그인 페이지에 기본 중립 브랜드가 반영됩니다.

• 수집할 특성. 사용자 흐름 설정에서 고객으로부터 수집하려는 내장 사용자 특성 집합에서 선택할 수 있습니다. 고객이 가입 페이지에 정보를 입력하면 프로필과 함께 디렉터리에 저장됩니다. 더 많은 정보를 수집하려면 사용자 지정 특성을 정의하고 이를 사용자 흐름에 추가할 수 있습니다.

• 사용 약관 동의. 사용자 지정 사용자 특성을 사용하여 사용자에게 사용 약관에 동의하라는 메시지를 표시할 수 있습니다. 예를 들어 등록 양식에 검사box를 추가하고 사용 약관 및 개인 정보 보호 정책에 대한 링크를 포함할 수 있습니다.

• 토큰 클레임 요구 사항. 애플리케이션에 특정 사용자 특성이 필요한 경우 이를 애플리케이션에 전송된 토큰에 포함할 수 있습니다.

• 소셜 ID 공급자. 소셜 ID 공급자인 Microsoft 및 Facebook을 설정한 다음 이를 사용자 흐름에 로그인 옵션으로 추가할 수 있습니다.

사용자 흐름을 앱과 통합하는 방법

• 기본 제공 사용자 특성 이외의 정보를 고객으로부터 수집하려면 사용자 흐름을 구성할 때 사용할 수 있도록 사용자 지정 특성을 정의합니다.

• 고객을 위한 등록 및 로그인 사용자 흐름 만들기.

• 사용자 흐름에 애플리케이션을 추가합니다.

4단계: 로그인 사용자 지정 및 보안

회사 브랜딩, 언어 사용자 지정 및 사용자 지정 확장 구성을 계획할 때 다음 사항을 고려합니다.

• 회사 브랜딩. 새 외부 테넌트를 만든 후 로그인하거나 등록하는 고객을 위해 웹 기반 애플리케이션의 모양을 사용자 지정하여 최종 사용자 환경을 개인 설정할 수 있습니다. Microsoft Entra ID에서는 설정을 사용자 지정하기 전에 기본 Microsoft 브랜드가 로그인 페이지에 표시됩니다. 이 브랜딩은 테넌트에 대한 모든 로그인에 적용되는 글로벌 모양과 느낌을 나타냅니다. 로그인 모양과 느낌 사용자 지정에 대해 자세히 알아봅니다.

• 인증 토큰 클레임 확장. Microsoft Entra 외부 ID 유연성을 위해 설계되었습니다. 사용자 지정 인증 확장을 사용하면 토큰이 애플리케이션에 발급되기 직전에 외부 시스템의 클레임을 애플리케이션 토큰에 추가할 수 있습니다. 사용자 지정 인증 확장을 사용한 고유한 비즈니스 논리 추가에 대해 자세히 알아보세요.

• MFA(다단계 인증) 사용. 또한 이메일 일회용 암호를 통해 확인을 요구함으로써 사용자 로그인에 중요한 두 번째 보안 계층을 추가하는 MFA를 적용하여 애플리케이션 액세스 보안을 사용하도록 설정할 수도 있습니다. 고객을 위한 MFA에 대해 자세히 알아봅니다.

• 네이티브 인증. 네이티브 인증을 사용하면 브라우저에 인증을 위임하는 대신 클라이언트 애플리케이션에서 사용자 인터페이스를 호스트할 수 있습니다. Microsoft Entra 외부 ID 네이티브 인증에 대해 자세히 알아봅니다.

• 보안 및 거버넌스. ID 보호와 같은 외부 테넌트에서 사용할 수 있는 보안 및 거버넌스 기능에 대해 알아봅니다.

로그인을 사용자 지정하고 보호하는 방법

• 브랜딩 사용자 지정
• ID 공급자 추가
• 등록 시 특성 수집
• 토큰에 특성 추가
• 다단계 인증 추가

다음 단계

• 평가판을 시작하거나 외부 테넌트를 만듭니다.
• 앱 통합을 위한 샘플 및 지침을 찾습니다.
• 최신 개발자 콘텐츠 및 리소스에 대한 Microsoft Entra 외부 ID 개발자 센터도 참조하세요.