인증은 ID를 확인하는 데 도움이 되며, 액세스 제어는 사용자 및 그룹이 리소스에 액세스하도록 권한을 부여하는 프로세스입니다.
인증 프로토콜 및 엔드포인트: 고객 앱 및 인증
고객 관련 애플리케이션은 Open Authorization 2.0(OAuth 2) 또는 SAML 2(Security Assertion Markup Language 2.0)를 사용하여 Microsoft Entra 외부 ID로 인증할 수 있습니다.
다음 표에는 OAuth 2 및 OIDC(OpendID Connect)에 대한 애플리케이션 통합 옵션이 요약되어 있습니다.
| 애플리케이션 유형 | 인증 개시자 | 인증 옵션 |
|---|---|---|
| 네이티브 클라이언트: 모바일 및 플랫폼 앱 | 앱과 상호 작용하는 사용자 |
- MSAL(Microsoft 인증 라이브러리) - - 를 사용한 네이티브 인증 |
| 서버에서 실행되는 웹 애플리케이션 | 애플리케이션과 상호 작용하는 사용자 | 인증 코드 |
| 브라우저에서 실행되는 웹 애플리케이션, SPA(단일 페이지 애플리케이션) | 애플리케이션과 상호 작용하는 사용자 |
- MSAL 을 사용한 - 코드 권한 부여 - , PKCE(코드 교환에 대한 증명 키 포함) |
| 서버에서 실행되는 웹 애플리케이션: 미들웨어 | 사용자를 대신하여 제출하는 애플리케이션 | 을 대신하여 |
| 서버에서 실행되는 웹 애플리케이션 | 헤드리스 서비스 또는 애플리케이션 | 클라이언트 자격 증명 |
| 제한된 입력 디바이스 | 디바이스와 상호 작용하는 사용자 | 디바이스 코드 흐름 |
비고
대표로써 미들웨어와 백엔드에 제시된 하위(주체) 클레임이 다릅니다. 액세스 토큰 클레임 참조의 페이로드를 참조하세요. 특정 항목은 애플리케이션 ID에 고유한 쌍별 식별자입니다. 사용자가 다른 클라이언트 ID를 사용하여 두 애플리케이션에 로그인하는 경우 애플리케이션은 두 개의 주체 클레임 값을 받습니다. 두 값이 아키텍처 및 개인 정보 요구 사항에 따라 달라지는 경우 사용합니다. 테넌트에서 애플리케이션 간에 동일하게 유지되는 OID(개체 식별자) 클레임을 확인합니다.
OAuth 2 및 OIDC 흐름의 다음 다이어그램은 OAuth 애플리케이션 통합 옵션을 보여 줍니다.
SAML에 대한 애플리케이션 통합 옵션은 SP(서비스 공급자) 시작 흐름을 기반으로 합니다. SAML 흐름은 Microsoft Entra ID를 사용한 인증에 자세히 설명되어 있습니다.
사용자 지정 인증 확장 디자인
사용자 지정 인증 확장을 사용하여 외부 시스템과 통합하여 Microsoft Entra 인증 환경을 사용자 지정합니다. 다음 다이어그램에서는 등록에서 반환된 토큰으로의 진행 상황을 확인합니다.
다음 다이어그램은 사용자 지정 인증 흐름을 보여줍니다.
API 및 이벤트 처리기 고려 사항
API를 전용 API로 구현하거나 API 관리자와 같은 미들웨어 솔루션을 사용하여 API 외관 을 사용합니다. 각 사용자 지정 확장에는 엄격하게 형식화된 API 계약이 있습니다. 정의에 주의를 기울입니다.
authenticationEventListener 리소스 종류에 대해 자세히 알아봅니다.
비고
이전 문서의 목록은 리소스 종류를 더 추가함에 따라 증가합니다.
Microsoft는 Azure Functions 앱을 빌드하는 .NET 개발자를 위한 NuGet 패키지를 제공합니다. 이 솔루션은 Microsoft Entra 인증 이벤트에 대한 들어오는 HTTP 요청에 대한 백 엔드 처리를 처리합니다. IDE IntelliSense를 사용하여 API 호출, 개체 모델, 형식을 보호하는 토큰 유효성 검사를 찾습니다. 또한 API 요청 및 응답 스키마의 인바운드 및 아웃바운드 유효성 검사를 찾습니다.
인증 확장은 로그인 및 등록 흐름과 함께 인라인으로 실행됩니다. 시나리오가 성능이 뛰어나고 견고하며 안전한지 확인합니다. Azure Functions는 라이브러리, 비밀 스토리지용 Azure Key Vault , 캐싱, 자동 크기 조정 및 모니터링을 비롯한 보안 인프라를 제공합니다. 보안 작업에는 더 많은 권장 사항이 있습니다.
다음 단계
다음 문서를 사용하여 Microsoft Entra 외부 ID 배포를 시작할 수 있습니다.
- Microsoft Entra 외부 ID 배포 가이드 소개
- 입주자 디자인
- 고객 인증 환경
- 보안 작업
- 인증 및 액세스 제어 아키텍처