다음을 통해 공유


온-프레미스 JavaScript 앱에서 Azure 리소스에 인증

Azure 외부(예: 온-프레미스 또는 타사 데이터 센터)에서 실행되는 앱은 Azure 리소스에 액세스할 때 애플리케이션 서비스 주체를 사용하여 Azure에 인증해야 합니다. 애플리케이션 서비스 주체 개체는 Azure에서 앱 등록 프로세스를 사용하여 만들어집니다. 애플리케이션 서비스 주체가 만들어지면 앱에 대한 클라이언트 ID 및 클라이언트 암호가 생성됩니다. JavaScript용 Azure SDK에서 환경 변수를 사용하여 런타임에 Azure에 앱을 인증하도록 클라이언트 ID, 클라이언트 암호 및 테넌트 ID를 환경 변수에 저장합니다.

앱이 실행 중인 각 환경(예: 테스트, 스테이지, 프로덕션)에 대해 다른 앱 등록을 만들어야 합니다. 이렇게 하면 각 서비스 주체에 대해 환경별 리소스 권한을 구성하고 한 환경에 배포된 앱이 다른 환경의 일부인 Azure 리소스와 통신하지 않도록 할 수 있습니다.

1 - Azure에서 애플리케이션 등록

Azure Portal 또는 Azure CLI를 사용하여 Azure에서 앱을 등록할 수 있습니다.

Azure Portal에 로그인하고 다음 단계를 따릅니다.

지침 스크린샷
Azure Portal에서 다음을 수행합니다.
  1. Azure Portal 상단의 검색 창에 앱 등록을 입력합니다.
  2. 검색 창 아래에 나타나는 메뉴의 서비스 제목 아래에서 앱 등록이라는 항목을 선택합니다.
Azure Portal에서 상단 검색창을 사용하여 앱 등록 페이지를 찾아서 탐색하는 방법을 보여주는 스크린샷.
앱 등록 페이지에서 + 신규 등록 을 선택합니다. 앱 등록 페이지에서 새 등록 단추의 위치를 보여 주는 스크린샷.
애플리케이션 등록 페이지에서 다음과 같이 양식을 작성합니다.
  1. 이름 → Azure에 앱 등록을 위한 이름을 입력합니다. 이 이름에는 앱 등록을 위한 앱 이름 및 환경(테스트, prod)이 포함되는 것이 좋습니다.
  2. 지원되는 계정 유형이 조직 디렉터리의 계정만.
등록을 선택하여 앱을 등록하고 애플리케이션 서비스 주체를 만듭니다.
앱에 이름을 지정하고 지원되는 계정 유형을 이 조직 디렉터리에서만 계정으로 지정하여 등록을 작성하는 스크린샷
앱의 앱 등록 페이지에서:
  1. 애플리케이션(클라이언트) ID → 로컬 개발 중에 앱이 Azure에 액세스하는 데 사용할 앱 ID입니다. 이 값은 이후 단계에서 필요하므로 텍스트 편집기에서 임시 위치에 복사합니다.
  2. 디렉터리(테넌트) ID → 이 값은 앱이 Azure에 인증할 때도 필요합니다. 이 값을 텍스트 편집기에서 임시 위치에 복사합니다. 이후 단계에서도 필요합니다.
  3. 클라이언트 자격 증명 → 앱이 Azure에 인증하고 Azure 서비스를 사용하려면 먼저 앱에 대한 클라이언트 자격 증명을 설정해야 합니다. 앱에 대한 자격 증명을 추가하려면 인증서 또는 비밀 추가를 선택합니다.
완료 후 앱 등록의 스크린샷. 이 스크린샷은 향후 단계에서 필요할 애플리케이션 및 테넌트 ID를 보여줍니다.
인증서 및 비밀 페이지에서 + 새 클라이언트 암호를 선택합니다. 인증서 및 암호 페이지에서 새 클라이언트 암호를 만드는 데 사용하는 링크의 위치를 보여주는 스크린샷.
클라이언트 암호 추가 대화 상자가 페이지 오른쪽에 나타납니다. 이 대화 상자에서:
  1. 설명현재 값을 입력합니다.
  2. 만료24개월 값을 선택합니다.
비밀을 추가하려면 추가를 선택합니다.

중요: 비밀의 만료 날짜 이전에 일정에 미리 알림을 설정합니다. 이렇게 하면 이전에 새 비밀을 추가하고 이 비밀이 만료되기 전에 앱을 업데이트하여 앱에서 서비스 중단을 방지할 수 있습니다.
앱 등록 프로세스에서 만든 애플리케이션 서비스 주체에 대한 새 클라이언트 암호가 추가되는 페이지를 보여주는 스크린샷.
인증서 및 비밀 페이지에는 클라이언트 암호 의 값이 표시됩니다.

이 값은 이후 단계에서 필요하므로 텍스트 편집기에서 임시 위치에 복사합니다.

중요: 이 값을 볼 수 있는 유일한 시간입니다. 이 페이지를 나가거나 새로 고치면 이 값을 다시 볼 수 없습니다. 이 클라이언트 비밀을 무효화하지 않고 다른 클라이언트 암호를 추가할 수 있지만 이 값은 다시 표시되지 않습니다.
생성된 클라이언트 암호가 있는 페이지를 보여주는 스크린샷.

2 - 애플리케이션 서비스 주체에 역할 할당

다음으로, 어떤 리소스에 대해 앱에 필요한 역할(권한)을 결정하고 해당 역할을 앱에 할당해야 합니다. 역할은 리소스, 리소스 그룹 또는 구독 범위에서 역할을 할당할 수 있습니다. 이 예에서는 대부분의 애플리케이션이 모든 Azure 리소스를 단일 리소스 그룹으로 그룹화하므로 리소스 그룹 범위에서 서비스 주체에 대한 역할을 할당하는 방법을 보여 줍니다.

지침 스크린샷
Azure Portal 상단에 있는 검색 상자를 통해 리소스 그룹 이름을 검색하여 애플리케이션에 대한 리소스 그룹을 찾습니다.

대화 상자의 리소스 그룹 제목 아래에서 리소스 그룹 이름을 선택하여 리소스 그룹으로 이동합니다.
역할(권한)을 할당하려는 리소스 그룹을 찾아 탐색할 Azure Portal의 상위 검색 상자를 보여 주는 스크린샷
리소스 그룹 페이지의 왼쪽 메뉴에서 액세스 제어(IAM)를 선택합니다. 액세스 제어(IAM) 메뉴 항목의 위치를 보여 주는 리소스 그룹 페이지의 스크린샷.
액세스 제어(IAM) 페이지에서 다음을 수행합니다.
  1. 역할 할당 탭을 선택합니다.
  2. 위쪽 메뉴에서 + 추가를 선택한 다음, 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.
역할 할당 탭으로 이동하는 방법 및 리소스 그룹에 역할 할당을 추가하는 데 사용되는 단추의 위치를 보여 주는 스크린샷.
역할 할당 추가 페이지에는 리소스 그룹에 할당할 수 있는 모든 역할이 나열됩니다.
  1. 검색 상자를 사용하여 목록을 보다 관리하기 쉬운 크기로 필터링합니다. 이 예에서는 Storage Blob 역할을 필터링하는 방법을 보여 줍니다.
  2. 할당하려는 역할을 선택합니다.
    다음 화면으로 이동하려면 다음을 선택합니다.
리소스 그룹에 추가할 역할 할당을 필터링하고 선택하는 방법을 보여 주는 스크린샷.
다음 역할 할당 추가 페이지에서는 역할을 할당할 사용자를 할당할 수 있습니다.
  1. 액세스 할당에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
  2. 멤버에서 + 멤버 선택을 선택합니다.
Azure Portal의 오른쪽에 대화 상자가 열립니다.
Microsoft Entra 그룹에 역할을 할당하기 위해 선택하는 라디오 단추와 역할을 할당할 그룹을 선택하는 데 사용되는 링크를 보여 주는 스크린샷.
멤버 선택 대화 상자에서:
  1. 선택 텍스트 상자를 사용하여 구독의 사용자 및 그룹 목록을 필터링할 수 있습니다. 필요한 경우 앱을 위해 만든 서비스 주체의 처음 몇 문자를 입력하여 목록을 필터링합니다.
  2. 애플리케이션과 연결된 서비스 주체를 선택합니다.
계속하려면 대화 상자 하단에서 선택을 선택합니다.
구성원 선택 대화 상자에서 애플리케이션에 대한 Microsoft Entra 그룹을 필터링하고 선택하는 방법을 보여주는 스크린샷.
역할 할당 추가 화면에서 서비스 주체가 선택된 대로 표시됩니다.

검토 + 할당을 선택하여 최종 페이지로 이동한 다음 다시 검토 + 할당을 선택하여 프로세스를 완료합니다.
완료된 역할 할당 추가 페이지와 프로세스를 완료하는 데 사용된 검토 + 할당 단추의 위치를 보여주는 스크린샷.

3 - 애플리케이션에 대한 환경 변수 구성

JavaScript 앱을 실행하는 프로세스에 대한 환경 변수 및 AZURE_CLIENT_SECRET 환경 변수를 설정AZURE_CLIENT_IDAZURE_TENANT_ID하여 런타임에 앱에서 애플리케이션 서비스 주체 자격 증명을 사용할 수 있도록 해야 합니다. 개체는 DefaultAzureCredential 이러한 환경 변수에서 서비스 주체 정보를 찾습니다.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 - 애플리케이션에 DefaultAzureCredential 구현

Azure에 Azure SDK 클라이언트 개체를 인증하려면 애플리케이션이 @azure/ID 패키지의 클래스를 사용해야 DefaultAzureCredential 합니다.

먼저 애플리케이션에 @azure/ID 패키지를 추가합니다.

npm install @azure/identity

다음으로, 앱에서 Azure SDK 클라이언트 개체를 만드는 JavaScript 코드의 경우 다음을 수행합니다.

  1. 모듈에서 DefaultAzureCredential 클래스를 @azure/identity 가져옵니다.
  2. DefaultAzureCredential 개체를 만듭니다.
  3. 개체를 DefaultAzureCredential Azure SDK 클라이언트 개체 생성자에 전달합니다.

이 예제는 다음 코드 세그먼트에 나와 있습니다.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

위의 코드가 개체를 DefaultAzureCredential 인스턴스화할 때 환경 변수AZURE_SUBSCRIPTION_IDAZURE_TENANT_IDAZURE_CLIENT_IDAZURE_CLIENT_SECRET 읽고 애플리케이션 서비스 주체 정보를 사용하여 Azure에 연결합니다. DefaultAzureCredential