온-프레미스에서 호스트되는 JavaScript 앱에서 Azure 리소스에 인증

온-프레미스 또는 타사 데이터 센터와 같이 Azure 외부에서 호스트되는 앱은 Microsoft Entra ID 를 통해 애플리케이션 서비스 주체를 사용하여 Azure 서비스에 인증해야 합니다. 앞의 섹션에서는 다음을 알아봅니다.

• Microsoft Entra에 애플리케이션을 등록하여 서비스 주체를 만드는 방법
• 범위 권한에 역할을 할당하는 방법
• 앱 코드에서 서비스 주체를 사용하여 인증하는 방법

전용 애플리케이션 서비스 주체를 사용하면 Azure 리소스에 액세스할 때 최소 권한 원칙을 준수할 수 있습니다. 권한은 개발 중에 앱의 특정 요구 사항으로 제한되어 다른 앱 또는 서비스를 위한 Azure 리소스에 실수로 액세스할 수 없도록 합니다. 또한 이 접근 방식은 앱이 개발 환경에서 과도하게 권한이 부여되지 않도록 하여 앱을 프로덕션으로 이동할 때 발생하는 문제를 방지하는 데 도움이 됩니다.

앱이 호스트되는 각 환경에 대해 다른 앱 등록을 만들어야 합니다. 이렇게 하면 각 서비스 주체에 대해 환경별 리소스 권한을 구성할 수 있으며 한 환경에 배포된 앱이 다른 환경의 Azure 리소스와 통신하지 않도록 합니다.

Azure에서 앱 등록

애플리케이션 서비스 주체 개체는 Azure Portal 또는 Azure CLI를 사용하여 Azure에서 앱 등록을 통해 만들어집니다.

Azure Portal

1. Azure Portal에서 검색 창을 사용하여 앱 등록 페이지로 이동합니다.

2. 앱 등록 페이지에서 + 신규 등록 을 선택합니다.

3. 애플리케이션 등록 페이지에서 다음 작업을 수행하십시오.

   • 이름 필드에 앱 이름과 대상 환경을 포함하는 설명 값을 입력합니다.
   • 지원되는계정 유형에 대해 이 조직 디렉터리에서만 계정(Microsoft 고객 주도 전용 - 단일 테넌트)선택하거나 요구 사항에 가장 적합한 옵션을 선택합니다.

4. 등록 선택하여 앱을 등록하고 서비스 주체를 만듭니다.

   

5. 앱의 앱 등록 페이지에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID 복사하여 앱 코드 구성에서 나중에 사용할 수 있도록 임시 위치에 붙여넣습니다.

6. 인증서 또는 비밀 추가하여 앱에 대한 자격 증명을 설정합니다.

7. 인증서 & 비밀 페이지에서 + 새 클라이언트 암호선택합니다.

8. 열리는 플라이아웃 패널에서 클라이언트 암호를 추가하십시오:

   • 설명에 대해 값을 입력하십시오Current.
   • Expires 값의 경우, 권장 기본 값인 180 days을 그대로 둡니다.
   • 비밀을 추가하려면 추가를 선택합니다.

9. 인증서 & 비밀 페이지에서 이후 단계에서 사용할 클라이언트 비밀의 Value 속성을 복사합니다.

   비고

   클라이언트 비밀 값은 앱 등록을 만든 후에 한 번만 표시됩니다. 이 클라이언트 비밀을 무효화하지 않고 더 많은 클라이언트 비밀을 추가할 수 있지만 이 값을 다시 표시할 수 있는 방법은 없습니다.

Azure CLI

Azure CLI 명령은 Azure Cloud Shell 또는 Azure CLI가 설치된 워크스테이션에서 실행할 수.

1. az ad sp create-for-rbac 명령을 사용하여 해당 앱을 위한 새 앱 등록과 서비스 주체를 만듭니다.

   az ad sp create-for-rbac --name <service-principal-name>
   

   이 명령의 출력은 다음 JSON과 유사합니다.

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. 이후 단계에서 이러한 값이 필요하므로 이 출력을 텍스트 편집기에서 임시 파일에 복사합니다.

   비고

   클라이언트 비밀 값은 앱 등록을 만든 후에 한 번만 표시됩니다. 이 클라이언트 비밀을 무효화하지 않고 더 많은 클라이언트 비밀을 추가할 수 있지만 이 값을 다시 표시할 수 있는 방법은 없습니다.

애플리케이션 서비스 주체에 역할 할당

다음으로, 앱이 어떤 리소스에 필요한 역할(권한)을 결정하고 만든 서비스 주체에 해당 역할을 할당합니다. 역할은 리소스, 리소스 그룹 또는 구독 범위에서 할당할 수 있습니다. 이 예제에서는 대부분의 앱이 모든 Azure 리소스를 단일 리소스 그룹으로 그룹화하므로 리소스 그룹 범위에서 역할을 할당하는 방법을 보여 줍니다.

Azure Portal

1. Azure Portal에서 앱이 포함된 리소스 그룹의 개요 페이지로 이동합니다.

2. 왼쪽 탐색 영역에서 액세스 제어(IAM) 선택합니다.

3. 액세스 제어(IAM) 페이지에서 + 추가를 선택한 다음 드롭다운 메뉴에서 역할 할당 추가를 선택합니다. 역할 할당 추가 페이지에서는 역할을 구성하고 할당하는 여러 탭을 제공합니다.

4. 역할 탭에서 검색 상자를 사용하여 할당할 역할을 찾습니다. 역할을 선택한 다음 다음을 선택합니다.

5. 멤버 탭에서 다음을 수행 합니다 .

   • 값에 대한 액세스 할당에 대해 사용자, 그룹 또는 서비스 주체 를 선택합니다.
   • 멤버 값에 대해 + 멤버 선택을 선택하여 멤버선택 플라이아웃 패널을 엽니다.
   • 이전에 만든 서비스 주체를 검색하고 필터링된 결과에서 선택합니다. [선택]을 선택하여 그룹을 선택하고 플라이아웃 패널을 닫습니다.
   • 검토 + 할당을 구성원 탭 아래쪽에서 선택합니다.

   

6. 검토 + 할당 탭의 페이지 맨 아래에서 검토 + 할당을 선택합니다.

Azure CLI

1. az role definition list 명령을 사용하여 서비스 주체를 할당할 수 있는 역할의 이름을 가져옵니다.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. az role assignment create 명령을 사용하여 애플리케이션 서비스 주체에 역할을 할당합니다.

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI를 사용하여 리소스 또는 구독 수준에서 권한을 할당하는 방법에 대한 자세한 내용은 Azure CLI 사용하여 Azure 역할 할당참조하세요.

앱 환경 변수 설정

런타임에 Azure ID 라이브러리의 특정 자격 증명(예:DefaultAzureCredential, EnvironmentCredential및 ClientSecretCredential)은 환경 변수의 규칙에 따라 서비스 주체 정보를 검색합니다. 도구 및 환경에 따라 JavaScript로 작업할 때 환경 변수를 구성하는 방법에는 여러 가지가 있습니다.

선택한 방법에 관계없이 서비스 주체에 대해 다음 환경 변수를 구성합니다.

• AZURE_CLIENT_ID: Azure에서 등록된 앱을 식별하는 데 사용됩니다.
• AZURE_TENANT_ID: Microsoft Entra 테넌트 ID입니다.
• AZURE_CLIENT_SECRET: 앱에 대해 생성된 비밀 자격 증명입니다.

Visual Studio Code

Visual Studio Code에서 환경 변수는 프로젝트의 launch.json 파일에서 설정할 수 있습니다. 이러한 값은 앱이 시작될 때 자동으로 끌어온다. 그러나 이러한 구성은 배포 중에 앱과 함께 이동하지 않으므로 대상 호스팅 환경에서 환경 변수를 설정해야 합니다.

"configurations": [
{
    "env": {
        "NODE_ENV": "development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Windows

명령줄에서 Windows에 대한 환경 변수를 설정할 수 있습니다. 그러나 해당 운영 체제에서 실행되는 모든 앱에서 값에 액세스할 수 있으며 충돌이 발생할 수 있으므로 이 접근 방식에 주의해야 합니다. 환경 변수는 사용자 또는 시스템 수준에서 설정할 수 있습니다.

# Set user environment variables
setx NODE_ENV "development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx NODE_ENV "development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell을 사용하여 사용자 또는 시스템 수준에서 환경 변수를 설정할 수도 있습니다.

# Set user environment variables
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

.env 파일

로컬 개발의 경우 .env 파일을 사용할 수 있습니다. Node.js 20.6.0 이상에서는 --env-file 플래그를 지원하여 .env 파일에서 환경 변수를 자동으로 로드합니다.

1. 프로젝트 루트에 .env 파일을 만듭니다.

   AZURE_CLIENT_ID=<your-client-id>
   AZURE_TENANT_ID=<your-tenant-id>
   AZURE_CLIENT_SECRET=<your-client-secret>
   

2. 플래그를 사용하여 애플리케이션을 실행합니다.--env-file

   node --env-file=.env app.js
   

이전 Node.js 버전의 경우 dotenv npm 패키지를 사용할 수 있습니다.

1. dotenv 패키지를 설치합니다.

   npm install dotenv
   

2. 애플리케이션에서 환경 변수를 로드합니다.

   import 'dotenv/config';
   

주의

소스 제어에 파일 또는 클라이언트 비밀을 절대로 커밋하지 마십시오 .env. .env 파일에 .gitignore을(를) 추가하세요.

앱에서 Azure 서비스에 인증

Azure ID 라이브러리는 다양한 시나리오 및 Microsoft Entra 인증 흐름을 지원하는 데 맞게 조정된 다양한 자격 증명을 TokenCredential 제공합니다. 다음 단계에서는 로컬 및 프로덕션 환경에서 서비스 주체로 작업할 때 ClientSecretCredential 을 사용하는 방법을 보여 줍니다.

코드 구현

Node.js 프로젝트에 @azure/ID 패키지를 추가합니다.

npm install @azure/identity

Azure 서비스는 다양한 Azure SDK 클라이언트 라이브러리의 특수 클라이언트 클래스를 사용하여 액세스합니다. 앱에서 Azure SDK 클라이언트 개체를 만드는 JavaScript 코드의 경우 다음 단계를 수행합니다.

1. 모듈에서 ClientSecretCredential 클래스를 @azure/identity 가져옵니다.
2. ClientSecretCredential, tenantId, 및 clientId을 사용하여 clientSecret 개체를 만듭니다.
3. ClientSecretCredential Azure SDK 클라이언트 개체 생성자에 인스턴스를 전달합니다.

이 방법의 예는 다음 코드 세그먼트에 나와 있습니다.

import { BlobServiceClient } from '@azure/storage-blob';
import { ClientSecretCredential } from '@azure/identity';

// Authentication
const tenantId = process.env.AZURE_TENANT_ID;
const clientId = process.env.AZURE_CLIENT_ID;
const clientSecret = process.env.AZURE_CLIENT_SECRET;

// Azure Storage account name
const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;

if (!tenantId || !clientId || !clientSecret || !accountName) {
  throw Error('Required environment variables not found');
}

const credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  credential
);

다른 방법은 개체를 ClientSecretCredential Azure SDK 클라이언트 생성자에 직접 전달하는 것입니다.

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new ClientSecretCredential(tenantId, clientId, clientSecret)
);