다음을 통해 공유


개발하는 앱에서 FIDO2 키로 암호 없는 인증 지원

이러한 구성과 모범 사례는 애플리케이션 사용자가 FIDO2 암호 없는 인증을 사용할 수 없도록 차단하는 일반적인 시나리오를 방지하는 데 도움이 됩니다.

일반적인 모범 사례

도메인 힌트

도메인 힌트를 사용하여 홈 영역 검색을 무시하지 않습니다. 이 기능은 로그인을 더 효율적으로 만들기 위한 것이지만 페더레이션 ID 공급자에서 암호 없는 인증을 지원하지 않을 수 있습니다.

특정 자격 증명 필요

SAML을 사용하는 경우 RequestedAuthnContext 요소를 사용하여 암호가 필요하다고 지정하지 않습니다.

RequestedAuthnContext 요소는 선택 사항이므로 이 문제를 해결하기 위해 SAML 인증 요청에서 해당 요소를 제거할 수 있습니다. 이 요소를 사용하면 다단계 인증과 같은 다른 인증 옵션이 제대로 작동하지 않을 수도 있으므로 이는 일반적인 모범 사례입니다.

가장 최근에 사용한 인증 방법 사용

사용자가 가장 최근에 사용한 로그인 방법이 먼저 표시됩니다. 여기서 사용자가 제공된 첫 번째 옵션을 사용해야 한다고 생각하는 경우 혼동을 일으킬 수 있습니다. 그러나 아래와 같이 "다른 로그인 방법"을 선택하여 다른 옵션을 선택할 수 있습니다.

사용자가 인증 방법을 변경할 수 있도록 하는 단추가 강조 표시된 사용자 인증 환경의 이미지

플랫폼별 모범 사례

데스크톱

인증을 구현하는 데 권장되는 옵션은 다음과 같습니다.

  • MSAL(Microsoft 인증 라이브러리)을 사용하는 .NET 데스크톱 애플리케이션에서 WAM(Windows 인증 관리자)을 사용해야 합니다. 이 통합 및 해당 이점은 GitHub에서 설명하고 있습니다.
  • 포함된 브라우저에서 FIDO2를 지원할 수 있도록 WebView2를 사용합니다.
  • 시스템 브라우저를 사용합니다. 데스크톱 플랫폼용 MSAL 라이브러리는 기본적으로 이 방법을 사용합니다. FIDO2 브라우저 호환성 페이지를 참조하여 사용하는 브라우저에서 FIDO2 인증을 지원하는지 확인할 수 있습니다.

모바일

FIDO2는 ASWebAuthenticationSession 또는 broker 통합과 함께 MSAL을 사용하는 네이티브 iOS 앱에서 지원됩니다. Broker는 iOS에서는 Microsoft Authenticator, macOS에서는 Microsoft Intune 회사 포털에서 제공됩니다.

네트워크 프록시가 Apple의 연결된 도메인 유효성 검사를 차단하지 않는지 확인합니다. FIDO2 인증을 사용하려면 Apple의 연결된 도메인 유효성 검사가 성공해야 하며, 이를 위해서는 특정 Apple 도메인을 네트워크 프록시에서 제외해야 합니다. 자세한 내용은 엔터프라이즈 네트워크에서 Apple 제품 사용을 참조하세요.

네이티브 Android 앱에 대한 FIDO2 지원은 현재 개발 중입니다.

MSAL을 사용하지 않는 경우에도 인증을 위해 시스템 웹 브라우저를 사용해야 합니다. Single Sign-On 및 조건부 액세스와 같은 기능은 시스템 웹 브라우저에서 제공하는 공유 웹 화면을 사용합니다. 즉, Chrome 사용자 지정 탭(Android) 또는 웹 서비스를 통한 사용자 인증 | Apple 개발자 설명서(iOS)를 사용합니다.

웹 및 단일 페이지 앱

웹 브라우저에서 실행되는 애플리케이션에 대한 FIDO2 암호 없는 인증의 가용성은 브라우저와 플랫폼의 조합에 따라 달라집니다. FIDO2 호환성 매트릭스를 참조하여 사용자에게 발생할 조합이 지원되는지 확인할 수 있습니다.

다음 단계

Microsoft Entra ID의 암호 없는 인증 옵션