Azure API Management에서 Azure Active Directory를 사용하여 개발자 계정에 권한 부여

이 문서에서는 다음을 수행하는 방법을 알아봅니다.

• Azure AD(Azure Active Directory)의 사용자에게 개발자 포털에 액세스할 수 있도록 설정합니다.
• 사용자가 포함된 외부 그룹을 추가하여 Azure AD 사용자 그룹을 관리합니다.

개발자 포털 보안 옵션에 대한 개요는 API Management의 인증 및 권한 부여를 참조하세요.

중요

• 이 문서는 Microsoft 인증 라이브러리(MSAL)를 사용하여 Azure AD 앱을 구성하는 단계로 업데이트되었습니다.
• 이전에 ADAL(Azure AD 인증 라이브러리)를 사용하여 사용자 로그인을 위해 Azure AD 앱을 구성한 경우 MSAL로 마이그레이션하는 것이 좋습니다.

사전 요구 사항

• Azure API Management 인스턴스 만들기 빠른 시작을 완료합니다.

• Azure API Management 인스턴스에서 API를 가져오고 게시합니다.

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

가용성

중요

이 기능은 API Management의 프리미엄, 표준 및 개발자 계층에서 사용할 수 있습니다.

API Management 인스턴스로 이동

1. Azure Portal에서 API Management Services를 검색하여 선택합니다.

   

2. API Management 서비스 페이지에서 API Management 인스턴스를 선택합니다.

   

Azure AD를 사용하여 사용자 로그인 활성화 - 포털

구성을 간소화하기 위해 API Management는 개발자 포털 사용자에 대해 Azure AD 애플리케이션 및 ID 공급자를 자동으로 사용하도록 설정할 수 있습니다. 또는 Azure AD 애플리케이션 및 ID 공급자를 수동으로 사용하도록 설정할 수 있습니다.

Azure AD 애플리케이션 및 ID 공급자를 자동으로 사용하도록 설정

1. API Management 인스턴스의 왼쪽 메뉴에 있는 개발자 포털에서 포털 개요를 선택합니다.

2. 포털 개요 페이지에서 아래로 스크롤하여 Azure Active Directory로 사용자 로그인을 사용하도록 설정합니다.

3. Azure AD 사용을 선택합니다.

4. Azure AD 사용 페이지에서 Azure AD 사용을 선택합니다.

5. 닫기를 선택합니다.

   

Azure AD 공급자를 사용하도록 설정한 후:

• 지정된 Azure AD 인스턴스의 사용자는 Azure AD 계정을 사용하여 개발자 포털에 로그인할 수 있습니다.
• 포털의 개발자 포털>ID 페이지에서 Azure AD 구성을 관리할 수 있습니다.
• 필요에 따라 ID>설정을 선택하여 다른 로그인 설정을 구성합니다. 예를 들어 익명 사용자를 로그인 페이지로 리디렉션할 수 있습니다.
• 구성이 변경된 후 개발자 포털을 다시 게시합니다.

Azure AD 애플리케이션 및 ID 공급자를 수동으로 사용하도록 설정

1. API Management 인스턴스의 왼쪽 메뉴에 있는 개발자 포털에서 ID를 선택합니다.

2. 위쪽에서 + 추가를 선택하여 오른쪽에 있는 ID 공급업체 추가 창을 엽니다.

3. 유형 아래의 드롭다운 메뉴에서 Azure Active Directory를 선택합니다. 선택되면 다른 필요한 정보를 입력할 수 있습니다.

   • 클라이언트 라이브러리 드롭다운에서 MSAL을 선택합니다.
   • 클라이언트 ID 및 클라이언트 암호를 추가하려면 문서 뒷부분의 단계를 참조하세요.

4. 나중에 사용할 수 있도록 리디렉션 URL을 저장합니다.

   

   참고

   리디렉션 URL에는 다음 두 가지가 있습니다.
   

   • 리디렉션 URL은 API Management의 최신 개발자 포털을 가리킵니다.
   • 리디렉션 URL(사용되지 않는 포털)은 API Management의 사용되지 않는 개발자 포털을 가리킵니다.

   최신 개발자 포털 리디렉션 URL을 사용하는 것이 좋습니다.

5. 브라우저의 새 탭에서 Azure Portal을 엽니다.

6. 앱 등록으로 이동하여 앱을 Active Directory에 등록합니다.

7. 새 등록을 선택합니다. 애플리케이션 등록 페이지에서 다음과 같이 값을 설정합니다.

   • 이름을 개발자 포털과 같은 의미 있는 이름으로 설정
   • 지원되는 계정 유형을 조직 디렉터리의 계정으로 설정합니다.
   • 리디렉션 URI에서 SPA(단일 페이지 애플리케이션)을 선택하고 이전 단계에서 저장한 리디렉션 URL을 붙여넣습니다.
   • 등록을 선택합니다.

8. 애플리케이션이 등록되면 개요 페이지에서 애플리케이션(클라이언트) ID를 복사합니다.

9. API Management 인스턴스를 사용하여 브라우저 탭으로 전환합니다.

10. ID 공급자 추가 창의 클라이언트 ID 상자에 애플리케이션(클라이언트) ID 값을 붙여넣습니다.

11. 앱 등록을 사용하여 브라우저 탭으로 전환합니다.

12. 적절한 앱 등록을 선택합니다.

13. 측면 메뉴의 관리 섹션 아래에서 인증서 및 비밀을 선택합니다.

14. 인증서 및 비밀 페이지의 클라이언트 암호 아래에서 새 클라이언트 암호 단추를 선택합니다.

    • 설명을 입력합니다.
    • 만료에 대한 옵션을 선택합니다.
    • 추가를 선택합니다.

15. 페이지를 나가기 전에 클라이언트 암호 값을 복사합니다. 이 시간은 나중에 필요합니다.

16. 측면 메뉴의 관리 아래에서 인증을 선택합니다.

    1. 암시적 허용 및 하이브리드 흐름 섹션 아래에서 ID 토큰 확인란을 선택합니다.
    2. 저장을 선택합니다.

17. 측면 메뉴의 관리에서 토큰 구성>+ 선택적 클레임 추가를 선택합니다.

    1. 토큰 형식에서 ID를 선택합니다.
    2. 이메일, family_name, given_name 클레임을 선택(확인)합니다.
    3. 추가를 선택합니다. 메시지가 표시되면 Microsoft Graph 이메일, 프로필 권한 켜기를 선택합니다.

18. API Management 인스턴스를 사용하여 브라우저 탭으로 전환합니다.

19. 비밀을 ID 공급자 추가 창의 클라이언트 암호 필드에 붙여넣습니다.

    중요

    키가 만료되기 전에 클라이언트 암호를 업데이트합니다.

20. ID 공급자 추가 창의 허용된 테넌트 필드에서 API Management 서비스 인스턴스 API에 대한 액세스 권한을 부여하려는 Azure AD 인스턴스의 도메인을 지정합니다.

    • 줄바꿈, 공백 또는 쉼표로 여러 도메인을 구분할 수 있습니다.

    참고

    허용된 테넌트 섹션에서 여러 도메인을 지정할 수 있습니다. 사용자가 원래 앱 등록 도메인과 다른 도메인에서 로그인하기 전에 전역 관리에서 디렉터리 데이터에 대한 액세스 권한을 애플리케이션에 부여해야 합니다. 사용 권한을 부여하려면 전역 관리자는 다음을 수행해야 합니다.

    1. https://<URL of your developer portal>/aadadminconsent로 이동합니다(예: https://contoso.portal.azure-api.net/aadadminconsent).
    2. 액세스 권한을 부여하려는 Azure AD 테넌트의 도메인 이름을 입력합니다.
    3. 제출을 선택합니다.

21. 원하는 구성을 지정한 후에 추가를 선택합니다.

22. Azure AD 구성이 적용되도록 개발자 포털을 다시 게시합니다. 왼쪽 메뉴의 개발자 포털에서 포털 개요>게시를 선택합니다.

Azure AD 공급자를 사용하도록 설정한 후:

• 지정된 Azure AD 인스턴스의 사용자는 Azure AD 계정을 사용하여 개발자 포털에 로그인할 수 있습니다.
• 포털의 개발자 포털>ID 페이지에서 Azure AD 구성을 관리할 수 있습니다.
• 필요에 따라 ID>설정을 선택하여 다른 로그인 설정을 구성합니다. 예를 들어 익명 사용자를 로그인 페이지로 리디렉션할 수 있습니다.
• 구성이 변경된 후 개발자 포털을 다시 게시합니다.

MSAL로 마이그레이션

이전에 ADAL을 사용하여 사용자 로그인을 위해 Azure AD 앱을 구성한 경우 포털을 사용하여 앱을 MSAL로 마이그레이션하고 API Management에서 ID 공급자를 업데이트할 수 있습니다.

MSAL 호환성을 위해 Azure AD 앱 업데이트

단계는 단일 페이지 애플리케이션 형식으로 리디렉션 URI 전환을 참조하세요.

ID 공급자 구성 업데이트

1. API Management 인스턴스의 왼쪽 메뉴에 있는 개발자 포털에서 ID를 선택합니다.
2. 목록에서 Azure Active Directory를 선택합니다.
3. 클라이언트 라이브러리 드롭다운에서 MSAL을 선택합니다.
4. 업데이트를 선택합니다.
5. 개발자 포털을 다시 게시합니다.

외부 Azure AD 그룹 추가

이제 Azure AD 테넌트의 사용자에 대한 액세스를 사용하도록 설정했으므로 다음을 수행할 수 있습니다.

• API Management에 Azure AD 그룹을 추가합니다.
• Azure AD 그룹을 사용하여 제품 가시성을 제어합니다.

1. 이전 섹션에서 등록한 애플리케이션에 대한 앱 등록 페이지로 이동합니다.
2. API 사용 권한을 선택합니다.
3. Microsoft Graph API 다음 최소 애플리케이션 권한을 추가합니다.
   • User.Read.All애플리케이션 권한 – API Management 사용자가 로그인할 때 그룹 동기화를 수행하기 위해 사용자의 그룹 멤버 자격을 읽을 수 있습니다.
   • Group.Read.All애플리케이션 권한 – 관리자가 포털의 그룹 블레이드를 사용하여 API Management 그룹을 추가하려고 할 때 API Management Azure AD 그룹을 읽을 수 있습니다.
4. 이 디렉터리의 모든 사용자에 게 액세스 권한을 부여하도록 {tenantname}에 대한 관리자 동의 부여를 선택합니다.

이제 API Management 인스턴스의 그룹 탭에서 외부 Azure AD 그룹을 추가할 수 있습니다.

1. 측면메뉴의 개발자 포털 아래에서 그룹을 선택합니다.

2. Azure AD 그룹 추가 단추를 선택합니다.

   

3. 드롭다운에서 테넌트를 선택합니다.

4. 추가하려는 그룹을 검색하여 선택합니다.

5. 선택 단추를 누릅니다.

외부 Azure AD 그룹이 추가되면 해당 속성을 검토하고 구성할 수 있습니다.

1. 그룹의 이름을 그룹 탭에서 선택합니다.
2. 그룹에 대한 이름 및 설명 정보를 편집합니다.

구성된 Azure AD 인스턴스의 사용자는 이제 다음을 수행할 수 있습니다.

• 개발자 포털에 로그인합니다.
• 가시성이 있는 그룹을 보고 구독합니다.

참고

Microsoft ID 플랫폼의 권한 및 동의 문서에서 위임된 권한 유형과 애플리케이션 권한 유형의 차이점에 대해 자세히 알아봅니다.

개발자 포털: Azure AD 계정 인증 추가

개발자 포털에서 기본 개발자 포털 콘텐츠의 로그인 페이지에 포함된 로그인 단추: OAuth 위젯을 사용하여 Azure AD를 통해 로그인할 수 있습니다.

새 사용자가 Azure AD를 사용하여 로그인하면 새 계정이 자동으로 만들어지지만 동일한 위젯을 등록 페이지에 추가하는 것이 좋습니다. 등록 양식: OAuth 위젯은 OAuth로 등록하는 데 사용되는 양식을 나타냅니다.

중요

Azure AD 변경 내용을 적용하려면 포털을 다시 게시해야 합니다.

레거시 개발자 포털: Azure AD를 사용하여 로그인하는 방법

참고

다음 설명서 콘텐츠는 더 이상 사용되지 않는 개발자 포털에 대한 것입니다. 모든 API Management 서비스에서 제거되는 2023년 10월 만료될 때까지 평상시와 같이 계속 사용할 수 있습니다. 사용되지 않는 포털은 중요 보안 업데이트만 받습니다. 자세한 내용은 다음 문서를 참조하세요.

• 새 개발자 포털로 마이그레이션하는 방법 알아보기
• Azure API Management 새 개발자 포털 개요
• 새 개발자 포털 액세스 및 사용자 지정

이전 섹션에서 구성한 Azure AD 계정을 사용하여 개발자 포털에 로그인하려면 다음을 수행합니다.

1. Active Directory 애플리케이션 구성에서 로그인 URL을 사용하여 새 브라우저 창을 엽니다.

2. Azure Active Directory를 선택합니다.

   

3. Azure AD에서 사용자 중 한 명의 자격 증명을 입력합니다.

4. 로그인을 선택합니다.

   

5. 등록 양식을 입력하라는 메시지가 표시되면 필요한 추가 정보를 입력합니다.

6. 가입을 선택합니다.

   

이제 사용자는 API Management 서비스 인스턴스에 대한 개발자 포털에 로그인됩니다.

다음 단계

• Azure Active Directory 및 OAuth2.0에 대해 자세히 알아봅니다.
• MSAL 및 MSAL로 마이그레이션에 대해 자세히 알아봅니다.
• API Management 서비스 인스턴스 만들기
• 첫 번째 API 관리