사용자 지정 클레임 공급자 API 문제 해결

인증 이벤트 및 사용자 지정 클레임 공급자를 사용하면 외부 시스템과 통합하여 Microsoft Entra 인증 환경을 사용자 지정할 수 있습니다. 예를 들어 사용자 지정 클레임 공급자 API를 만들고 외부 저장소에서 클레임이 있는 토큰을 받도록 OpenID Connect 앱 또는 SAML 앱을 구성할 수 있습니다.

오류 동작

API 호출이 실패하면 오류 동작은 다음과 같습니다.

• OpenId Connect 앱의 경우 - Microsoft Entra ID는 오류가 있는 사용자를 클라이언트 애플리케이션으로 다시 리디렉션합니다. 토큰은 채굴되지 않습니다.
• SAML 앱의 경우 - Microsoft Entra ID는 인증 환경에서 사용자에게 오류 화면을 표시합니다. 사용자가 클라이언트 애플리케이션으로 다시 리디렉션되지 않습니다.

애플리케이션 또는 사용자에게 다시 전송된 오류 코드는 제네릭입니다. 문제를 해결하려면 오류 코드에 대한 로그인 로그를 확인합니다.

로깅

사용자 지정 클레임 공급자 REST API 엔드포인트의 문제를 해결하려면 REST API가 로깅을 처리해야 합니다. Azure Functions 및 기타 API 개발 플랫폼은 심층적인 로깅 솔루션을 제공합니다. 이러한 솔루션을 사용하여 API 동작에 대한 자세한 정보를 얻고 API 논리 문제를 해결합니다.

Microsoft Entra 로그인 로그

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

REST API 로그 및 호스팅 환경 진단 솔루션 외에도 Microsoft Entra 로그인 로그를 사용할 수도 있습니다. Microsoft Entra 로그인 로그를 사용하면 사용자의 로그인에 영향을 미칠 수 있는 오류를 찾을 수 있습니다. Microsoft Entra 로그인 로그는 HTTP 상태, 오류 코드, 실행 기간 및 Microsoft Entra ID에서 API를 호출한 다시 시도 횟수에 대한 정보를 제공합니다.

Microsoft Entra 로그인 로그는 Azure Monitor와도 통합됩니다. 경고 및 모니터링을 설정하고, 데이터를 시각화하고, SIEM(보안 정보 및 이벤트 관리) 도구와 통합할 수 있습니다. 예를 들어 오류 수가 선택한 특정 임계값을 초과하는 경우 알림을 설정할 수 있습니다.

Microsoft Entra 로그인 로그에 액세스하려면:

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.

3. 로그인 로그를 선택한 다음 최신 로그인 로그를 선택합니다.

4. 자세한 내용을 보려면 인증 이벤트 탭을 선택합니다. 오류 코드를 포함하여 사용자 지정 인증 확장 REST API 호출과 관련된 정보가 표시됩니다.

   

오류 코드 참조

다음 표를 사용하여 오류 코드를 진단합니다.

오류 코드	오류 이름	설명
1003000	EventHandlerUnexpectedError	이벤트 처리기를 처리할 때 예기치 않은 오류가 발생했습니다.
1003001	CustomExtenstionUnexpectedError	사용자 지정 확장 API를 호출하는 동안 예기치 않은 오류가 발생했습니다.
1003002	CustomExtensionInvalidHTTPStatus	사용자 지정 확장 API가 잘못된 HTTP 상태 코드를 반환했습니다. API가 해당 사용자 지정 확장 형식에 대해 정의된 허용되는 상태 코드를 반환하는지 확인합니다.
1003003	CustomExtensionInvalidResponseBody	사용자 지정 확장의 응답 본문을 구문 분석하는 데 문제가 있었습니다. API 응답 본문이 해당 사용자 지정 확장 형식에 허용되는 스키마에 있는지 확인합니다.
1003004	CustomExtensionThrottlingError	사용자 지정 확장 요청이 너무 많습니다. 제한에 도달하면 사용자 지정 확장 API 호출에 대해 이 예외가 throw됩니다.
1003005	CustomExtensionTimedOut	사용자 지정 확장이 허용된 시간 제한 내에 응답하지 않았습니다. 사용자 지정 확장에 대해 구성된 시간 제한 내에서 API가 응답하는지 확인합니다. 액세스 토큰이 잘못되었음을 나타낼 수도 있습니다. 단계에 따라 REST API를 직접 호출합니다.
1003006	CustomExtensionInvalidResponseContentType	사용자 지정 확장의 응답 콘텐츠 형식이 'application/json'이 아닙니다.
1003007	CustomExtensionNullClaimsResponse	사용자 지정 확장 API는 null 클레임 모음으로 응답했습니다.
1003008	CustomExtensionInvalidResponseApiSchemaVersion	사용자 지정 확장 API가 호출된 것과 동일한 apiSchemaVersion으로 응답하지 않았습니다.
1003009	CustomExtensionEmptyResponse	사용자 지정 확장 API 응답 본문이 필요하지 않은 경우 null이었습니다.
1003010	CustomExtensionInvalidNumberOfActions	사용자 지정 확장 API 응답에는 해당 사용자 지정 확장 형식에 대해 지원되는 작업과 다른 수의 작업이 포함되었습니다.
1003011	CustomExtensionNotFound	이벤트 수신기와 연결된 사용자 지정 확장을 찾을 수 없습니다.
1003012	CustomExtensionInvalidActionType	사용자 지정 확장은 해당 사용자 지정 확장 형식에 대해 정의된 잘못된 작업 형식을 반환했습니다.
1003014	CustomExtensionIncorrectResourceIdFormat	사용자 지정 확장에 대한 애플리케이션 등록을 위한 매니페스트의 identifierUris 속성은 "api://{정규화된 도메인 이름}/{appid} 형식이어야 합니다.
1003015	CustomExtensionDomainNameDoesNotMatch	사용자 지정 확장의 targetUrl 및 resourceId는 동일한 정규화된 도메인 이름을 가져야 합니다.
1003016	CustomExtensionResourceServicePrincipalNotFound	사용자 지정 확장 resourceId의 appId는 테넌트의 실제 서비스 사용자와 일치해야 합니다.
1003017	CustomExtensionClientServicePrincipalNotFound	테넌트에서 사용자 지정 확장 리소스 서비스 사용자를 찾을 수 없습니다.
1003018	CustomExtensionClientServiceDisabled	이 테넌트에서 사용자 지정 확장 리소스 서비스 사용자를 사용할 수 없습니다.
1003019	CustomExtensionResourceServicePrincipalDisabled	이 테넌트에서 사용자 지정 확장 리소스 서비스 사용자를 사용할 수 없습니다.
1003020	CustomExtensionIncorrectTargetUrlFormat	대상 URL이 잘못된 형식입니다. https로 시작하는 유효한 URL이어야 합니다.
1003021	CustomExtensionPermissionNotGrantedToServicePrincipal	서비스 사용자에게 앱이 사용자 지정 인증 확장 HTTP 요청을 수신하는 데 필요한 Microsoft Graph CustomAuthenticationExtensions.Receive.Payload 앱 역할(애플리케이션 권한이라고도 함)에 대한 관리자 동의가 없습니다.
1003022	CustomExtensionMsGraphServicePrincipalDisabledOrNotFound	MS Graph 서비스 사용자가 비활성화되어 있거나 이 테넌트에서 찾을 수 없습니다.
1003023	CustomExtensionBlocked	사용자 지정 확장에 사용되는 엔드포인트는 서비스에 의해 차단됩니다.
1003024	CustomExtensionResponseSizeExceeded	사용자 지정 확장 응답 크기가 최대 제한을 초과했습니다.
1003025	CustomExtensionResponseClaimsSizeExceeded	사용자 지정 확장 응답의 총 클레임 크기가 최대 제한을 초과했습니다.
1003026	CustomExtensionNullOrEmptyClaimKeyNotSupported	사용자 지정 확장 API가 null 또는 빈 키를 포함하는 클레임으로 응답했습니다.
1003027	CustomExtensionConnectionError	사용자 지정 확장 API에 연결하는 동안 오류가 발생했습니다.

REST API를 직접 호출

사용자의 REST API는 Microsoft Entra 액세스 토큰으로 보호됩니다. 다음을 통해 API를 테스트할 수 있습니다.

• 사용자 지정 인증 확장과 연결된 애플리케이션 등록을 사용하여 액세스 토큰 가져오기
• API 테스트 도구를 사용하여 API를 로컬로 테스트합니다.

API 테스트 도구

1. 로컬 개발 및 테스트를 위해 local.settings.json 열고 코드를 다음 JSON으로 바꿉니다.

   {
     "IsEncrypted": false,
     "Values": {
       "AzureWebJobsStorage": "",
       "AzureWebJobsSecretStorageType": "files",
       "FUNCTIONS_WORKER_RUNTIME": "dotnet",
       "AuthenticationEvents__BypassTokenValidation" : false
     }
   }
   

   참고 항목

   Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet 패키지를 사용한 경우 로컬 테스트 목적으로 설정 "AuthenticationEvents__BypassTokenValidation" : true 해야 합니다.

2. 선호하는 API 테스트 도구를 사용하여 새 HTTP 요청을 만들고 HTTP 메서드를 POST.로 설정합니다.

3. Microsoft Entra ID가 REST API에 보내는 요청을 모방하는 다음 JSON 본문을 사용합니다.

   {
       "type": "microsoft.graph.authenticationEvent.tokenIssuanceStart",
       "source": "/tenants/aaaabbbb-0000-cccc-1111-dddd2222eeee/applications/00001111-aaaa-2222-bbbb-3333cccc4444",
       "data": {
           "@odata.type": "microsoft.graph.onTokenIssuanceStartCalloutData",
           "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
           "authenticationEventListenerId": "11112222-bbbb-3333-cccc-4444dddd5555",
           "customAuthenticationExtensionId": "22223333-cccc-4444-dddd-5555eeee6666",
           "authenticationContext": {
               "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
               "client": {
                   "ip": "127.0.0.1",
                   "locale": "en-us",
                   "market": "en-us"
               },
               "protocol": "OAUTH2.0",
               "clientServicePrincipal": {
                   "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
                   "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                   "appDisplayName": "My Test application",
                   "displayName": "My Test application"
               },
               "resourceServicePrincipal": {
                   "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
                   "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                   "appDisplayName": "My Test application",
                   "displayName": "My Test application"
               },
               "user": {
                   "companyName": "Casey Jensen",
                   "createdDateTime": "2023-08-16T00:00:00Z",
                   "displayName": "Casey Jensen",
                   "givenName": "Casey",
                   "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                   "mail": "casey@contoso.com",
                   "onPremisesSamAccountName": "Casey Jensen",
                   "onPremisesSecurityIdentifier": "<Enter Security Identifier>",
                   "onPremisesUserPrincipalName": "Casey Jensen",
                   "preferredLanguage": "en-us",
                   "surname": "Jensen",
                   "userPrincipalName": "casey@contoso.com",
                   "userType": "Member"
               }
           }
       }
   }
   

   팁

   Microsoft Entra ID에서 가져온 액세스 토큰을 사용하는 경우 권한 부여를 선택한 다음 전달자 토큰을 선택한 다음 Microsoft Entra ID에서 받은 액세스 토큰을 붙여넣습니다.

4. 보내기를 선택하면 다음과 유사한 JSON 응답을 받게 됩니다.

   {
       "data": {
           "@odata.type": "microsoft.graph.onTokenIssuanceStartResponseData",
           "actions": [
               {
                   "@odata.type": "microsoft.graph.tokenIssuanceStart.provideClaimsForToken",
                   "claims": {
                       "customClaim1": "customClaimValue1",
                       "customClaim2": [
                           "customClaimString1",
                           "customClaimString2" 
                       ]
                   }
               }
   
           ]
       }
   }
   

액세스 토큰 가져오기

액세스 토큰을 획득한 후 HTTP Authorization 헤더를 전달합니다. 액세스 토큰을 얻으려면 다음 단계를 수행합니다.

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>애플리케이션 등록으로 이동합니다.

3. 이전에 토큰 발급 이벤트에 대한 사용자 지정 클레임 공급자 구성에서 구성된 Azure Functions 인증 이벤트 API 앱 등록을 선택합니다.

4. 애플리케이션 ID를 복사합니다.

5. 앱 비밀을 만들지 않은 경우 다음 단계를 수행합니다.

   1. 인증서 및 비밀>클라이언트 암호>새 클라이언트 암호를 선택합니다.
   2. 클라이언트 비밀에 대한 설명을 추가합니다.
   3. 암호에 대해 만료를 선택하거나 사용자 지정 수명을 지정합니다.
   4. 추가를 선택합니다.
   5. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지에서 나가면 다시 표시되지 않습니다.

6. 메뉴에서 API 노출을 선택하고 애플리케이션 ID URI 값을 복사합니다. 예들 들어 api://contoso.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444입니다.

7. 선호하는 API 테스트 도구를 열고 새 HTTP 쿼리를 만듭니다.

8. HTTP 메서드를 POST로 변경합니다.

9. 다음 URL을 입력합니다. {tenantID}를 테넌트 ID로 바꿉니다.

   https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token
   

10. 본문에서 form-data를 선택하고 다음 키를 추가합니다.

    Key	값
    grant_type	client_credentials
    client_id	애플리케이션의 클라이언트 ID.
    client_secret	애플리케이션의 클라이언트 암호.
    scope	애플리케이션의 애플리케이션 ID URI를 추가한 다음, .default를 추가합니다. 예를 들어 api://contoso.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444/.default

11. HTTP 쿼리를 실행하고 access_token을 https://jwt.ms 웹앱에 복사합니다.

12. iss를 API에서 구성한 발급자 이름과 비교합니다.

13. aud를 API에서 구성한 클라이언트 ID와 비교합니다.

일반적인 성능 향상

가장 일반적인 문제 중 하나는 사용자 지정 클레임 공급자 API가 2초 제한 시간 내에 응답하지 않는다는 것입니다. REST API가 후속 재시도에서 응답하지 않으면 인증이 실패합니다. REST API의 성능을 개선하려면 아래 제안을 따릅니다.

1. API가 다운스트림 API에 액세스하는 경우 이러한 API를 호출하는 데 사용되는 액세스 토큰을 캐시하므로 모든 실행 시 새 토큰을 획득할 필요가 없습니다.
2. 성능 문제는 종종 다운스트림 서비스와 관련이 있습니다. 다운스트림 서비스를 호출하는 프로세스 시간을 기록하는 로깅을 추가합니다.
3. 클라우드 공급자를 사용하여 API를 호스트하는 경우 API를 항상 "웜"으로 유지하는 호스팅 계획을 사용합니다. Azure Functions의 경우 프리미엄 플랜 또는 전용 플랜일 수 있습니다.
4. 인증을 위해 자동 통합 테스트를 실행합니다. API 테스트 도구를 사용하여 API 성능만 테스트할 수도 있습니다.

참고 항목

• 토큰 발급 시작 이벤트를 사용하여 REST API 만들기
• 외부 저장소에서 클레임이 있는 토큰을 받도록 SAML 앱 구성
• 사용자 지정 클레임 공급자 참조 문서입니다.