다음을 통해 공유


빠른 시작: 토큰을 획득하고 Java 디먼 앱에서 Microsoft Graph 호출

이 빠른 시작에서는 Java 애플리케이션이 앱의 ID를 사용하여 액세스 토큰을 가져와 Microsoft Graph API를 호출하고 디렉터리에 사용자 목록을 표시하는 방법을 보여주는 코드 샘플을 다운로드하고 실행합니다. 코드 샘플에서는 사용자의 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행할 수 있는 방법을 보여줍니다.

이 빠른 시작에서 생성된 샘플 앱의 작동 방식을 보여 주는 다이어그램.

필수 조건

이 샘플을 실행하려면 다음이 필요합니다.

빠른 시작 앱 등록 및 다운로드

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

1단계: 애플리케이션 등록

애플리케이션을 등록하고 앱의 등록 정보를 솔루션에 수동으로 추가하려면 다음 단계를 따르세요.

  1. 최소한 애플리케이션 개발자 자격으로 Microsoft Entra 관리 센터에 로그인합니다.
  2. 여러 테넌트에 액세스할 수 있는 경우 위쪽 메뉴의 설정 아이콘을 사용하여 디렉터리 + 구독 메뉴에서 애플리케이션을 등록하려는 테넌트로 전환합니다.
  3. ID>애플리케이션>애플리케이션 등록으로 이동합니다.
  4. 새 등록을 선택합니다.
  5. 애플리케이션에 대한 이름을 입력합니다(예: Daemon-console). 이 이름은 앱의 사용자에게 표시될 수 있으며 나중에 변경할 수 있습니다.
  6. 등록을 선택합니다.
  7. 관리에서 인증서 및 비밀을 선택합니다.
  8. 클라이언트 암호에서 새 클라이언트 암호를 선택하고 이름을 입력한 다음, 추가를 선택합니다. 이후 단계에서 사용할 수 있도록 안전한 위치에 비밀 값을 기록합니다.
  9. 관리에서 API 권한>권한 추가를 선택합니다. Microsoft Graph를 선택합니다.
  10. 애플리케이션 권한 선택.
  11. 사용자 노드 아래에서 User.Read.All을 선택한 다음, 권한 추가를 선택합니다.

2단계: Java 프로젝트 다운로드

Java 디먼 프로젝트 다운로드

3단계: Java 프로젝트 구성

  1. 디스크의 루트와 가까운 로컬 폴더에 .zip 파일의 압축을 풉니다(예: C:\Azure-Samples).
  2. msal-client-credential-secret 하위 폴더로 이동합니다.
  3. src\main\resources\application.properties을(를) 편집하고 AUTHORITY, CLIENT_IDSECRET 필드의 값을 다음 코드 조각으로 바꿉니다.
  AUTHORITY=https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/
  CLIENT_ID=Enter_the_Application_Id_Here
  SECRET=Enter_the_Client_Secret_Here

여기서

  • Enter_the_Application_Id_Here - 등록한 애플리케이션의 애플리케이션(클라이언트) ID입니다.
  • Enter_the_Tenant_Id_Here - 이 값을 테넌트 ID 또는 테넌트 이름(예: contoso.microsoft.com)으로 바꿉니다.
  • Enter_the_Client_Secret_Here - 1단계에서 만든 클라이언트 비밀로 이 값을 바꿉니다.

애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID 값을 찾으려면 앱의 개요 페이지로 이동합니다. 새 키를 생성하려면 인증서 및 비밀 페이지로 이동합니다.

이 시점에서 애플리케이션을 실행하려고 시도하면 HTTP 403 - 사용할 수 없음 오류: Insufficient privileges to complete the operation 메시지가 표시됩니다. 모든 앱 전용 권한에는 관리자 동의가 필요하기 때문에 이 오류가 발생합니다. 디렉터리의 전역 관리자가 애플리케이션에 동의해야 합니다. 역할에 따라 아래 옵션 중 하나를 선택합니다.

글로벌 테넌트 관리자

글로벌 테넌트 관리자인 경우 앱 등록API 권한 페이지로 이동하여 {테넌트 이름}에 대한 관리자 동의 부여(여기서 {테넌트 이름}은 디렉터리 이름)를 선택합니다.

표준 사용자

테넌트의 표준 사용자인 경우 전역 관리자에게 애플리케이션에 대한 관리자 동의 부여를 요청해야 합니다. 이렇게 하려면 관리자에게 다음 URL을 제공합니다.

https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here

여기서

  • Enter_the_Tenant_Id_Here - 이 값을 테넌트 ID 또는 테넌트 이름(예: contoso.microsoft.com)으로 바꿉니다.
  • Enter_the_Application_Id_Here - 등록한 애플리케이션의 애플리케이션(클라이언트) ID입니다.

5단계: 애플리케이션 실행

IDE에서 ClientCredentialGrant.java의 주 메서드를 실행하여 샘플을 직접 테스트할 수 있습니다.

셸 또는 명령줄에서 다음 명령을 실행합니다.

$ mvn clean compile assembly:single

그러면 /targets 디렉터리에 msal-client-credential-secret-1.0.0.jar 파일이 생성됩니다. 아래와 같은 Java 실행 파일을 사용하여 이 작업을 실행합니다.

$ java -jar msal-client-credential-secret-1.0.0.jar

실행 후 애플리케이션은 구성된 테넌트의 사용자 목록을 표시해야 합니다.

Important

이 빠른 시작 애플리케이션에서는 클라이언트 비밀을 사용하여 자체를 기밀 클라이언트로 식별합니다. 클라이언트 비밀은 보안상의 이유로 프로젝트 파일에 일반 텍스트로 추가되므로, 이 애플리케이션을 프로덕션 애플리케이션으로 사용하는 방안을 고려하기 전에 클라이언트 비밀 대신 인증서를 사용하는 것이 좋습니다. 인증서를 사용하는 방법에 대한 자세한 내용은 이 샘플에 대한 동일한 GitHub 리포지토리의 두 번째 폴더 MSAL-client-credential-certificate에 있는 다음 지침을 참조하세요.

자세한 정보

MSAL Java

MSAL Java는 사용자를 로그인하고 Microsoft ID 플랫폼으로 보호되는 API 액세스에 사용되는 토큰을 요청할 때 사용되는 라이브러리입니다. 설명한 것과 같이 이 빠른 시작은 위임된 권한 대신 애플리케이션 소유 ID를 사용하여 토큰을 요청합니다. 이 경우에 사용되는 인증 흐름을 클라이언트 자격 증명 oauth 흐름이라고 합니다. 디먼 앱에서 MSAL Java를 사용하는 방법에 대한 자세한 내용은 이 문서를 참조하세요.

Maven이나 Gradle을 사용하여 MSAL4J를 애플리케이션에 추가하고 애플리케이션의 pom.xml(Maven) 또는 build.gradle(Gradle) 파일을 다음과 같이 변경하여 종속성을 관리합니다.

pom.xml에서:

<dependency>
    <groupId>com.microsoft.azure</groupId>
    <artifactId>msal4j</artifactId>
    <version>1.0.0</version>
</dependency>

build.gradle에서:

compile group: 'com.microsoft.azure', name: 'msal4j', version: '1.0.0'

MSAL 초기화

MSAL4J를 사용할 파일 맨 위에 다음 코드를 추가하여 Java용 MSAL에 대한 참조를 추가합니다.

import com.microsoft.aad.msal4j.*;

그런 다음, 아래 코드를 사용하여 MSAL을 초기화합니다.

IClientCredential credential = ClientCredentialFactory.createFromSecret(CLIENT_SECRET);

ConfidentialClientApplication cca =
        ConfidentialClientApplication
                .builder(CLIENT_ID, credential)
                .authority(AUTHORITY)
                .build();
여기서 설명
CLIENT_SECRET 애플리케이션에 대해 만들어진 클라이언트 암호입니다.
CLIENT_ID 등록한 애플리케이션의 애플리케이션(클라이언트) ID입니다. 앱의 개요 페이지에서 이 값을 찾을 수 있습니다.
AUTHORITY 사용자가 인증하는 STS 엔드포인트 일반적으로 퍼블릭 클라우드에 대한 https://login.microsoftonline.com/{tenant}입니다. 여기서 {tenant}는 테넌트의 이름 또는 테넌트 ID입니다.

토큰 요청

앱의 ID를 사용하여 토큰을 요청하려면 acquireToken 메서드를 사용합니다.

IAuthenticationResult result;
     try {
         SilentParameters silentParameters =
                 SilentParameters
                         .builder(SCOPE)
                         .build();

         // try to acquire token silently. This call will fail since the token cache does not
         // have a token for the application you are requesting an access token for
         result = cca.acquireTokenSilently(silentParameters).join();
     } catch (Exception ex) {
         if (ex.getCause() instanceof MsalException) {

             ClientCredentialParameters parameters =
                     ClientCredentialParameters
                             .builder(SCOPE)
                             .build();

             // Try to acquire a token. If successful, you should see
             // the token information printed out to console
             result = cca.acquireToken(parameters).join();
         } else {
             // Handle other exceptions accordingly
             throw ex;
         }
     }
     return result;
여기서 설명
SCOPE 요청된 범위를 포함합니다. 기밀 클라이언트의 경우 요청되는 범위가 앱 개체에 정적으로 정의된 범위임을 나타내기 위해 {Application ID URI}/.default와 유사한 형식을 사용해야 합니다(Microsoft Graph의 경우 {Application ID URI}https://graph.microsoft.com을 가리킴). 사용자 지정 웹 API의 경우 {Application ID URI}앱 등록API 노출 섹션에서 정의됩니다.

도움말 및 지원 

도움이 필요하거나, 문제를 보고하거나, 지원 옵션에 대해 알아보려면 개발자를 위한 도움말 및 지원을 참조하세요.

다음 단계

디먼 애플리케이션에 대해 자세히 알아보려면 시나리오 방문 페이지를 참조하세요.