Azure Digital Twins에서 사용할 앱 등록 만들기

이 문서에서는 Azure Digital Twins에 액세스할 수 있는 Microsoft Entra ID 앱 등록을 만드는 방법을 설명합니다. 이 문서에는 Azure Portal 및 Azure CLI에 대한 단계가 포함되어 있습니다.

Azure Digital Twins로 작업할 때 클라이언트 애플리케이션을 통해 인스턴스와 상호 작용하는 것이 일반적입니다. 이러한 애플리케이션은 Azure Digital Twins로 인증해야 하며 앱에서 사용할 수 있는 일부 인증 메커니즘에는 앱 등록이 포함됩니다.

앱 등록이 모든 인증 시나리오에 필요한 것은 아닙니다. 그러나 앱 등록이 필요한 인증 전략 또는 코드 샘플을 사용하는 경우 이 문서에서는 하나를 설정하고 Azure Digital Twins API에 대한 권한을 부여하는 방법을 보여 줍니다. 또한 인증 시 앱 등록을 사용하는 데 필요한 중요한 값을 수집하는 방법도 다룹니다.

팁

필요할 때마다 새 앱 등록을 설정하거나, 한 번만 수행하고 이를 필요로 하는 모든 시나리오에서 공유될 단일 앱 등록을 설정하는 것이 좋습니다.

등록 만들기

기본 설정하는 인터페이스에 대해 아래 탭을 선택하여 시작합니다.

포털

Azure Portal에서 Microsoft Entra ID로 이동합니다(이 링크를 사용하거나 포털 검색 창에서 찾을 수 있음). 서비스 메뉴에서 앱 등록을 선택한 다음, + 새 등록을 선택합니다.

뒤에 나오는 애플리케이션 등록 페이지에서 요청된 값을 입력합니다.

• 이름: 등록과 연결할 Microsoft Entra 애플리케이션 표시 이름입니다.
• 지원되는 계정 유형: 이 조직 디렉터리에서만 계정을 선택합니다 (기본 디렉터리 전용 - 단일 테넌트).

완료되면 등록 단추를 선택합니다.

등록 설정이 완료되면 포털에서 세부 정보 페이지로 리디렉션합니다.

CLI

앱 등록이 Azure Digital Twins API에 액세스하는 데 필요한 서비스 정보가 포함된 매니페스트 파일을 만드는 것으로 시작합니다. 그런 다음 이 파일을 CLI 명령에 전달하여 등록을 만듭니다.

매니페스트 만들기

컴퓨터에서 manifest.json이라는 새 .json 파일을 만듭니다. 이 텍스트를 파일에 복사합니다.

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

정적 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 값은 앱 등록에서 Azure Digital Twins API에 액세스하는 데 필요한 Azure Digital Twins 서비스 엔드포인트의 리소스 ID입니다.

완료된 파일을 저장합니다.

Cloud Shell 사용자: 매니페스트 업로드

이 자습서에서 Azure Cloud Shell을 사용하는 경우 앱 등록을 구성할 때 Cloud Shell 명령에서 액세스할 수 있도록 Cloud Shell에 만든 매니페스트 파일을 업로드해야 합니다. Azure CLI의 로컬 설치를 사용하는 경우 다음 단계인 만들기 명령 실행으로 건너뛸 수 있습니다.

파일을 업로드하려면 브라우저의 Cloud Shell 창으로 이동합니다. "파일 업로드/다운로드" 아이콘을 선택하고, "업로드"를 선택합니다.

머신에서 manifest.json 파일로 이동하여 열기를 선택합니다. 그러면 파일이 Cloud Shell 스토리지의 루트에 업로드됩니다.

만들기 명령 실행

이 섹션에서는 CLI 명령을 실행하여 다음 설정으로 앱 등록을 만듭니다.

• 선택한 이름
• 기본 디렉터리(단일 테넌트)의 계정에만 사용 가능
• http://localhost의 웹 회신 URL
• Azure Digital Twins API에 대한 읽기/쓰기 권한

다음 명령을 실행하여 등록을 만듭니다. Cloud Shell을 사용하는 경우 manifest.json 파일의 경로는 @manifest.json입니다.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

명령의 출력은 만든 앱 등록에 대한 정보입니다.

성공 확인

만들기 명령의 출력에서 requiredResourceAccess 아래의 다음 필드를 찾아 Azure Digital Twins 권한이 부여되었는지 확인할 수 있습니다. 해당 값이 아래 나열된 값과 일치하는지 확인합니다.

• resourceAccess > id는 4589bd03-58cb-4e6c-b17f-b580e39652f8입니다.
• resourceAppId는 0b07f429-9f4b-4714-9392-cc5e8e80c8b0입니다.

중요한 값 수집

다음으로 앱 등록을 사용하여 클라이언트 애플리케이션을 인증하기 위해 필요한 앱 등록에 대한 몇 가지 중요한 값을 수집합니다. 이러한 값은 다음과 같습니다.

• 리소스 이름 — Azure Digital Twins로 작업할 때 리소스 이름은 http://digitaltwins.azure.net입니다.
• 클라이언트 ID
• 테넌트 ID
• 클라이언트 암호

다음 섹션에서는 나머지 값을 찾는 방법을 설명합니다.

클라이언트 ID 및 테넌트 ID 수집

인증에 앱 등록을 사용하려면 해당 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 제공해야 할 수 있습니다. 여기에서 이러한 값을 수집하여 저장하고 필요할 때마다 사용할 수 있습니다.

포털

클라이언트 ID 및 테넌트 ID 값은 Azure Portal의 앱 등록 세부 정보 페이지에서 수집할 수 있습니다.

페이지에 표시된 플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 기록해 둡니다.

CLI

이전에 실행한 명령의 출력에서 az ad app create 앱 ID를 찾을 수 있습니다(또는 az ad app show를 사용하여 정보를 다시 표시).

appId 결과를 찾습니다.

az account tenant list 명령을 사용하여 셸에 테넌트 ID를 표시할 수 있습니다.

참고 항목

이 명령 그룹은 실험적이며 현재 개발 중입니다.

클라이언트 암호 수집

다른 애플리케이션이 이를 통해 인증하는 데 사용할 수 있는 앱 등록을 위한 클라이언트 암호를 설정합니다.

포털

Azure Portal의 앱 등록 페이지에서 시작합니다.

1. 등록 메뉴에서 인증서 및 비밀을 선택한 다음, + 새 클라이언트 암호를 선택합니다.

   

2. 설명 및 만료에 원하는 값을 입력하고 추가를 선택합니다.

   

3. 클라이언트 암호가 만료 및 값 필드가 있는 인증서 및 비밀 페이지에 표시되는지 확인합니다.

4. 나중에 사용할 수 있도록 비밀 ID 및 값을 기록해 둡니다(복사 아이콘을 사용하여 클립보드에 복사할 수도 있음).

   

Important

다시 검색할 수 없으므로 지금 값을 복사하여 안전한 장소에 저장해야 합니다. 나중에 값을 찾을 수 없는 경우 새 비밀을 만들어야 합니다.

CLI

앱 등록을 위한 클라이언트 암호를 만들려면 이전 단계에서 수집한 앱 등록의 클라이언트 ID 값이 필요합니다. 다음 CLI 명령의 값을 사용하여 새 비밀을 만듭니다.

az ad app credential reset --id <client-ID> --append

이 명령에 선택적 매개 변수를 추가하여 자격 증명 설명, 종료 날짜 및 기타 세부 정보를 지정할 수도 있습니다. 명령과 해당 매개 변수에 대한 자세한 내용은 az ad 앱 자격 증명 초기화 설명서를 참조하세요.

이 명령의 출력은 사용자가 만든 클라이언트 암호에 대한 정보입니다.

인증을 위해 클라이언트 암호가 필요할 때 사용할 password 값을 복사합니다.

Important

지금 값을 복사하고 다시 검색할 수 없으므로 안전한 장소에 저장해야 합니다. 나중에 값을 찾을 수 없는 경우 새 비밀을 만들어야 합니다.

Azure Digital Twins 권한 제공

다음으로, Azure Digital Twins에 액세스할 수 있는 권한으로 만든 앱 등록을 구성합니다. 필요한 권한에는 두 가지 형식이 있습니다.

• Azure Digital Twins 인스턴스 내 앱 등록을 위한 역할 할당
• 앱이 Azure Digital Twins API를 읽고 쓰기 위한 API 권한

역할 할당 만들기

이 섹션에서는 Azure Digital Twins 인스턴스에서 앱 등록을 위한 역할 할당을 만듭니다. 이 역할은 앱 등록이 인스턴스에 대해 보유하는 권한을 결정하므로 상황에 맞는 적절한 수준의 권한과 일치하는 역할을 선택해야 합니다. 가능한 역할 중 하나는 Azure Digital Twins 데이터 소유자입니다. 전체 역할 목록 및 해당 설명은 Azure 기본 제공 역할을 참조하세요.

포털

다음 단계에서 등록에 대한 역할 할당을 만듭니다.

1. Azure Portal에서 Azure Digital Twins 인스턴스의 페이지를 엽니다.

2. 액세스 제어(IAM) 를 선택합니다.

3. 역할 할당 추가>를 선택하여 역할 할당 추가 페이지를 엽니다.

4. 적절한 역할을 할당합니다. 세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

   설정	값
   역할	적절하게 선택
   멤버 > 액세스 권한 할당 대상	사용자, 그룹 또는 서비스 주체
   멤버 > 멤버	+ 멤버를 선택한 다음, 앱 등록의 이름을 검색합니다.

   

   

   역할이 선택되면 검토 + 할당합니다.

역할 할당 확인

액세스 제어(IAM) > 역할 할당에서 설정된 역할 할당을 볼 수 있습니다.

앱 등록이 할당된 역할과 함께 목록에 표시되어야 합니다.

CLI

az dt role-assignment create 명령을 사용하여 역할을 할당합니다(Azure 구독에서 충분한 권한이 있는 사용자가 실행해야 함). 이 명령을 사용하려면 할당하려는 역할의 이름, Azure Digital Twins 인스턴스의 이름, 앱 등록의 이름 또는 개체 ID를 전달해야 합니다.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

이 명령의 결과는 앱 등록을 위해 만들어진 역할 할당에 대한 정보를 출력합니다.

역할 할당을 추가로 확인하려면 Azure Portal에서 찾을 수 있습니다(포털 지침 탭으로 전환).

API 권한 제공

이 섹션에서는 앱 기준 읽기/쓰기 권한을 Azure Digital Twins API에 부여합니다.

Azure CLI를 사용 중이고 매니페스트 파일로 이전에 앱 등록을 설정했다면 이 단계는 이미 완료된 것입니다. Azure Portal을 사용하여 앱 등록을 만드는 경우 이 섹션의 나머지 부분을 계속 진행하여 API 권한을 설정합니다.

포털

앱 등록에 대한 포털 페이지의 메뉴에서 API 권한을 선택합니다. 다음 권한 페이지에서 + 권한 추가 단추를 선택합니다.

다음에 나오는 API 권한 요청 페이지에서 내 조직에서 사용하는 API 탭으로 전환하고 Azure 디지털 트윈을 검색합니다. 검색 결과에서 Azure Digital Twins를 선택하여 Azure Digital Twins API에 대한 권한 할당을 계속합니다.

참고 항목

구독에 서비스의 이전 공개 미리 보기(2020년 7월 이전)에서 기존 Azure Digital Twins 인스턴스가 있는 경우 대신 Azure 스마트 공간 서비스를 검색하고 선택해야 합니다. 이는 동일한 API 집합의 이전 이름이며(애플리케이션(클라이언트) ID는 위의 스크린샷에서와 동일), 이 단계를 벗어나 사용자 환경이 변경되지 않습니다.

다음으로 이러한 API에 부여할 권한을 선택합니다. 읽기 (1) 권한을 확장하고 Read.Write라는 확인란을 선택하여 이 앱 등록 판독기 및 작성기 권한을 부여합니다.

완료되면 권한 추가를 선택합니다.

API 권한 확인

API 권한 페이지에서 이제 Read.Write 권한을 반영하는 Azure Digital Twins 항목이 있는지 확인합니다.

API 권한을 추가했을 때 Azure Digital Twins 정보를 사용하여 자동으로 업데이트된 앱 등록의 manifest.json 내에서 Azure Digital Twins에 대한 연결을 확인할 수도 있습니다.

이렇게 하려면 메뉴에서 매니페스트를 선택하여 앱 등록의 매니페스트 코드를 확인합니다. 코드 창의 아래쪽으로 스크롤하여 requiredResourceAccess 아래에서 다음 필드 및 값을 찾습니다.

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

이러한 값은 아래 스크린샷에 나와 있습니다.

이러한 값이 없는 경우 API 권한 추가에 대한 섹션의 단계를 다시 시도합니다.

CLI

CLI를 사용하는 경우 이전에 등록 만들기 단계의 일부로 API 권한이 설정되었습니다.

이제 Azure Portal을 사용하여 확인할 수 있습니다(포털 지침 탭으로 전환).

조직의 다른 가능한 단계

조직에서 앱 등록 설정을 완료하기 위해 구독 소유자 또는 관리자의 추가 작업이 필요할 수 있습니다. 필요한 단계는 조직의 특정 설정에 따라 다를 수도 있습니다. 기본 설정하는 인터페이스에 맞는 이 정보를 보려면 아래 탭을 선택합니다.

포털

다음은 구독의 소유자 또는 관리자가 수행해야 하는 일반적인 잠재적 활동입니다. 이 작업 및 다른 작업은 Azure Portal의 Microsoft Entra 앱 등록 페이지에서 수행할 수 있습니다.

• 앱 등록에 대한 관리자 동의를 부여합니다. 조직이 Microsoft Entra ID에서 구독 내의 모든 앱 등록에 관해 관리자 동의가 필요함을 전역적으로 활성화했을 수도 있습니다. 그런 경우 소유자/관리자는 앱 등록의 API 권한 페이지에서 회사에 대해 이 단추를 선택하여 앱 등록이 유효하도록 설정해야 합니다.

  

  • 동의가 성공적으로 부여된 경우 Azure Digital Twins의 항목에는 (회사)에 대해 부여된 상태 값이 표시되어야 합니다.

  

• 퍼블릭 클라이언트 액세스 활성화

• 웹 및 데스크톱 액세스에 대한 특정 회신 URL 설정

• 암시적 OAuth2 인증 흐름 허용

CLI

다음은 구독의 소유자 또는 관리자가 수행해야 하는 일반적인 잠재적 활동입니다.

• 앱 등록에 대한 관리자 동의를 부여합니다. 조직이 Microsoft Entra ID에서 구독 내의 모든 앱 등록에 관해 관리자 동의가 필요함을 전역적으로 활성화했을 수도 있습니다. 이 경우 소유자/관리자가 추가 위임된 권한 또는 애플리케이션 권한을 부여해야 할 수 있습니다.
• 등록을 위해 create 또는 update 명령에 --set publicClient=true를 추가하여 퍼블릭 클라이언트 액세스를 활성화합니다.
• --reply-urls 매개 변수를 사용하여 웹 및 데스크톱 액세스에 대한 특정 회신 URL을 설정합니다. az ad 명령과 함께 이 매개 변수를 사용하는 자세한 내용은 az ad 앱 설명서를 참조하세요.
• --oauth2-allow-implicit-flow 매개 변수를 사용하여 암시적 OAuth2 인증 흐름을 허용합니다. az ad 명령과 함께 이 매개 변수를 사용하는 자세한 내용은 az ad 앱 설명서를 참조하세요.

앱 등록 및 다양한 설정 옵션에 대한 자세한 내용은 Microsoft ID 플랫폼에 애플리케이션 등록을 참조하세요.

다음 단계

이 문서에서는 Azure Digital Twins API를 사용하여 클라이언트 애플리케이션을 인증하는 데 사용할 수 있는 Microsoft Entra 앱 등록을 설정했습니다.

다음으로 앱 등록을 사용하는 인증 메커니즘과 이를 사용하지 않는 인증 메커니즘에 대해 읽어보세요.

• 앱 인증 코드 작성