Azure Active Directory B2C 배포 계획
Azure AD B2C(Azure Active Directory B2C)는 인프라와의 통합을 용이하게 할 수 있는 ID 및 액세스 관리 솔루션입니다. 다음 지침을 사용하여 Azure AD B2C 배포 전체의 요구 사항 및 규정 준수를 이해할 수 있습니다.
Azure AD B2C 배포 계획
요구 사항
- 시스템을 끄는 주요 이유 평가
- 새 애플리케이션의 경우 CIAM(고객 ID 액세스 관리) 시스템의 계획 및 설계
- 참조: 계획 및 설계
- 고객의 위치를 식별하고 해당 데이터 센터에서 테넌트 만들기
- 애플리케이션 유형 및 지원되는 기술 확인:
- MSAL(Microsoft 인증 라이브러리) 개요
- Azure에서 오픈 소스 언어, 프레임워크, 데이터베이스, 도구를 사용하여 개발합니다.
- 백 엔드 서비스의 경우 클라이언트 자격 증명 흐름 사용
- IdP(ID 공급자)에서 마이그레이션하려면 다음을 수행합니다.
- 원활한 마이그레이션
user-migration으로 이동
- 프로토콜 선택
- Kerberos, Microsoft Windows NTLM(NT LAN Manager) 및 WS-Fed(Web Services Federation)를 사용하는 경우 Azure AD B2C로 애플리케이션 및 ID 마이그레이션 동영상을 참조하세요.
애플리케이션이 마이그레이션되면 OAuth(Open Authorization) 2.0 및 OIDC(OpenID Connect)와 같은 최신 ID 프로토콜을 지원할 수 있습니다.
이해관계자
기술 프로젝트의 성공은 기대치, 결과, 책임 관리에 따라 달라집니다.
- 애플리케이션 설계자, 기술 프로그램 관리자, 소유자 식별
- Microsoft 계정 또는 엔지니어링 팀과 통신할 DL(배포 목록) 만들기
- 질문하고, 답변을 얻으며, 알림 받기
- 사용자를 지원할 조직 외부의 파트너 또는 리소스 식별
자세히 알아보기: 올바른 이해관계자 포함
커뮤니케이션
보류 중인 변경 내용과 현재 변경 내용에 대해 사전에 정기적으로 사용자와 커뮤니케이션합니다. 환경이 변경되는 방식, 변경 시기에 대해 알리고 지원을 위해 연락처를 제공합니다.
타임라인
현실적인 기대치 설정을 지원하고 다음과 같은 주요 마일스톤을 충족하기 위한 대체 계획 수립 지원:
- 파일럿 날짜
- 시작 날짜
- 제공에 영향을 주는 날짜
- 종속성
Azure AD B2C 배포 구현
- 애플리케이션 및 사용자 ID 배포 - 클라이언트 애플리케이션 배포 및 사용자 ID 마이그레이션
- 클라이언트 애플리케이션 온보딩 및 결과물 - 클라이언트 애플리케이션 온보딩 및 솔루션 테스트
- 보안 - ID 솔루션 보안 향상
- 규정 준수 - 규정 요구 사항 해결
- 사용자 환경 - 사용자에게 친숙한 서비스 사용
인증 및 권한 부여 배포
- 애플리케이션이 Azure AD B2C와 상호 작용하려면 먼저 사용자가 관리하는 테넌트에 등록
- 권한 부여의 경우 IEF(Identity Experience Framework) 샘플 사용자 경험 사용
- 클라우드 네이티브 환경에 정책 기반 제어 사용
openpolicyagent.org로 이동하여 OPA(Open Policy Agent)에 대해 알아보기
개발자를 위한 과정인 Microsoft ID PDF, Azure AD B2C를 사용하여 전문 지식 습득에서 자세히 알아보세요.
가상 사용자, 사용 권한, 위임, 호출에 대한 체크리스트
- 애플리케이션에 액세스하는 가상 사용자 식별
- 현재와 미래의 시스템 권한 및 자격을 관리하는 방법 정의
- 사용 권한 저장소가 있는지, 디렉터리에 추가할 수 있는 사용 권한이 있는지 확인
- 위임된 관리를 관리하는 방법 정의
- 예를 들어 고객의 고객 관리가 있음
- 애플리케이션이 APIM(API Manager)를 호출했는지 확인
- 애플리케이션이 토큰을 발급하기 전에 IdP에서 호출해야 할 수 있음
애플리케이션 및 사용자 ID 배포
모든 Azure AD B2C 프로젝트는 하나 이상의 클라이언트 애플리케이션으로 시작합니다.
- Azure Active Directory B2C의 새로운 앱 등록 환경
- 사용자 지정 사용자 흐름에 따라 사용자 경험 설정
애플리케이션 배포 체크리스트
- CIAM 배포에 포함된 애플리케이션
- 사용 중인 애플리케이션
- 예를 들어 웹 애플리케이션, API, SPA(단일 페이지 웹앱) 또는 네이티브 모바일 애플리케이션
- 사용 중인 인증:
- 예를 들어 SAML(Security Assertion Markup Language)과 페더레이션되거나 OIDC와 페더레이션된 양식
- OIDC인 경우 응답 유형 확인: 코드 또는 id_token
- 프런트 엔드 및 백 엔드 애플리케이션이 호스트되는 위치 확인: 온-프레미스, 클라우드 또는 하이브리드 클라우드
- 사용 중인 플랫폼 또는 언어 확인:
- 예를 들어 ASP.NET, Java, Node.js
- 참조: 빠른 시작: Azure AD B2C를 사용하여 ASP.NET 애플리케이션의 로그인 설정
- 사용자 특성이 저장되는 위치 확인
- 예를 들어 LDAP(Lightweight Directory Access Protocol) 또는 데이터베이스
사용자 ID 배포 체크리스트
- 애플리케이션에 액세스하는 사용자 수 확인
- 필요한 IdP 유형 확인:
- 예를 들어 Facebook, 로컬 계정, AD FS(Active Directory Federation Services)
- 참조: Active Directory Federation Services
- 해당하는 경우 애플리케이션, Azure AD B2C, IdP에 필요한 클레임 스키마를 간략히 설명
- 참조: ClaimsSchema
- 로그인 및 등록 중에 수집할 정보 결정
클라이언트 애플리케이션 온보딩 및 결과물
애플리케이션 온보딩을 위해 다음 체크리스트 사용
| 영역 | 설명 |
|---|---|
| 애플리케이션 대상 사용자 그룹 | 최종 고객, 비즈니스 고객 또는 디지털 서비스 중에서 선택합니다. 직원 로그인의 필요성을 확인합니다. |
| 애플리케이션 비즈니스 가치 | 최상의 Azure AD B2C 솔루션 및 다른 클라이언트 애플리케이션과의 통합을 결정하는 비즈니스 필요 또는 목표를 이해합니다. |
| ID 그룹 | B2C(기업-소비자), B2B(Business to Business) B2E(Business to Employee), IoT 디바이스 로그인 및 서비스 계정용 B2M(Business to Machine)과 같은 요구 사항이 있는 그룹으로 ID를 클러스터합니다. |
| IdP(ID 공급자) | ID 공급자 선택을 참조하세요. 예를 들어 C2C(Customer to Customer) 모바일 앱의 경우 간편한 로그인 프로세스를 사용합니다. 디지털 서비스를 사용하는 B2C에는 규정 준수 요구 사항이 있습니다. 이메일 로그인을 고려합니다. |
| 규제 제약 조건 | 원격 프로필 또는 개인 정보 보호 정책의 필요성을 확인합니다. |
| 로그인 및 가입 흐름 | 가입하는 동안 이메일 확인을 확인합니다. 체크 아웃 프로세스는 작동 방식: Microsoft Entra 다단계 인증을 참조하세요. Microsoft Graph API를 사용한 Azure AD B2C 사용자 마이그레이션 동영상을 참조하세요. |
| 애플리케이션 및 인증 프로토콜 | 웹 애플리케이션, SPA(단일 페이지 애플리케이션) 또는 네이티브와 같은 클라이언트 애플리케이션을 구현합니다. 클라이언트 애플리케이션 및 Azure AD B2C에 대한 인증 프로토콜: OAuth, OIDC 및 SAML. Microsoft Entra ID로 웹 API 보호 동영상을 참조하세요. |
| 사용자 마이그레이션 | Azure AD B2C로 사용자를 마이그레이션하는 경우 적시 마이그레이션 및 대량 가져오기/내보내기를 확인합니다. Azure AD B2C 사용자 마이그레이션 전략 동영상을 참조하세요. |
제공 시 다음 체크리스트를 사용합니다.
| 영역 | 설명 |
|---|---|
| 프로토콜 정보 | 두 변형의 기본 경로, 정책, 메타데이터 URL을 수집합니다. 샘플 로그인, 클라이언트 애플리케이션 ID, 비밀, 리디렉션과 같은 특성을 지정합니다. |
| 애플리케이션 샘플 | Azure Active Directory B2C 코드 샘플을 참조하세요. |
| 침투 테스트 | 펜 테스트에 대해 운영 팀에 알린 다음, OAuth 구현을 포함한 사용자 흐름을 테스트합니다. 침투 테스트 및 계약의 침투 테스트 규칙을 참조하세요. |
| 단위 테스트 | 단위 테스트 및 토큰 생성. Microsoft ID 플랫폼 및 OAuth 2.0 리소스 소유자 암호 자격 증명을 참조하세요. Azure AD B2C 토큰 한도에 도달하면 Azure AD B2C: 파일 지원 요청을 참조하세요. 토큰을 재사용하여 인프라에 대한 조사 작업을 줄입니다. Azure Active Directory B2C에서 리소스 소유자 암호 자격 증명 흐름을 설정합니다. ROPC 흐름을 사용하여 앱에서 사용자를 인증해서는 안 됩니다. |
| 부하 테스트 | Azure AD B2C 서비스 한도 및 제한 사항에 대해 알아봅니다. 월별 예상 인증 및 사용자 로그인을 계산합니다. 고부하 트래픽 기간과 비즈니스 이유(휴일, 마이그레이션, 이벤트)를 평가합니다. 등록, 트래픽, 지리적 분포에 대한 예상 최고 속도(예: 초당)를 확인합니다. |
보안
다음 체크리스트를 사용하여 애플리케이션 보안을 강화합니다.
- 다단계 인증과 같은 인증 방법:
- 다단계 인증은 높은 가치의 트랜잭션 또는 기타 위험 이벤트를 트리거하는 사용자에게 권장됩니다. 예를 들어 은행, 금융, 결제 프로세스가 이에 해당합니다.
- 참조: Microsoft Entra ID에서 사용할 수 있는 인증 및 확인 방법은 무엇인가요?
- 봇 방지 메커니즘 사용 확인
- 사기성 계정을 만들거나 로그인하려는 시도의 위험 평가
- 로그인 또는 등록의 일부로 필요한 조건부 상태 확인
조건부 액세스 및 Microsoft Entra ID Protection
- 이제 최신 보안 경계는 조직의 네트워크 너머로 확장됩니다. 경계에는 사용자 및 디바이스 ID가 포함됩니다.
- 참조: 조건부 액세스란?
- Microsoft Entra ID Protection을 통해 Microsoft Entra ID B2C의 보안 강화
규정 준수
규정 요구 사항을 준수하고 백 엔드 시스템 보안을 강화하기 위해 VNet(가상 네트워크), IP 제한, Web Application Firewall 등을 사용할 수 있습니다. 다음 요구 사항을 고려합니다.
- 규정 준수 요구 사항
- 예를 들어 PCI DSS(Payment Card Industry Data Security Standard)
- pcisecuritystandards.org로 이동하여 PCI 보안 표준 위원회에 대해 자세히 알아보기
- 별도의 데이터베이스 저장소에 데이터 저장
- 이 정보를 디렉터리에 쓸 수 없는지 확인
사용자 환경
다음 체크리스트를 사용하여 사용자 환경 요구 사항을 정의할 수 있습니다.
- CIAM 기능을 확장하고 원활한 최종 사용자 환경을 구축할 통합 식별
- 애플리케이션 최종 사용자 환경을 보여주는 스크린샷과 사용자 사례 사용
- 예를 들어 로그인, 등록, SUSI(등록/로그인), 프로필 편집, 암호 재설정 스크린샷
- CIAM 솔루션에서 쿼리 문자열 매개 변수를 사용하여 전달되는 힌트 찾기
- 고도의 사용자 환경 사용자 지정을 위해 프런트 엔드 개발자 사용 고려
- Azure AD B2C에서 HTML 및 CSS를 사용자 지정할 수 있음
- 참조: JavaScript 사용 지침
- iframe 지원을 사용하여 포함된 환경을 구현합니다.
- 참조: 포함된 가입 또는 로그인 환경
- 단일 페이지 애플리케이션의 경우
<iframe>요소에 로드되는 두 번째 로그인 HTML 페이지 사용
모니터링, 감사, 로깅
모니터링, 감사, 로깅에 다음 체크리스트를 사용합니다.
- 모니터링
- 감사 및 로깅
리소스
- Microsoft Graph 애플리케이션 등록
- Microsoft Graph로 Azure AD B2C 관리
- Azure Pipelines를 사용하여 사용자 지정 정책 배포
- Azure PowerShell을 사용하여 Azure AD B2C 사용자 지정 정책 관리