자습서: Microsoft ID 플랫폼을 사용하여 사용자를 로그인하도록 Android 앱 설정

적용: 워크포스 테넌트 흰색 체크 표시가 있는 녹색 원 외부 테넌트(자세히 알아보기)

이 자습서에서는 Android용 MSAL(Microsoft 인증 라이브러리)을 Android 앱에 추가하는 방법을 설명합니다. MSAL을 사용하면 Android 애플리케이션에서 Microsoft Entra를 사용하여 사용자를 인증할 수 있습니다.

이 자습서에서는 다음을 수행합니다.

• MSAL 종속성 추가
• 구성 추가
• MSAL SDK 인스턴스 만들기

필수 구성 요소

워크포스 테넌트

• 인력 임차인입니다. 기본 디렉터리 사용하거나 새 테넌트를 설정할 수 있습니다.
• 새 앱을 Microsoft Entra 관리 센터에 등록하고, 해당 조직 디렉터리의 계정만을 위해 구성합니다. 자세한 내용은 Register an application을 참조하십시오. 응용 프로그램 개요 페이지에서 다음 값을 나중에 사용할 수 있도록 기록하십시오.
  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID
• Android 프로젝트입니다. Android 프로젝트가 없는 경우 생성하세요.

외부 임차인

• 외부 테넌트입니다. 만들려면 다음 방법 중에서 선택합니다.
  • Microsoft Entra 외부 ID 확장 사용하여 Visual Studio Code에서 직접 외부 테넌트를 설정합니다. (권장)
  • Microsoft Entra 관리 센터에서 새 외부 테넌트 만듭니다.
• 모든 조직 디렉터리 및 개인 Microsoft 계정의 계정에 대해 구성된 Microsoft Entra 관리 센터에 새 앱을 등록합니다. 자세한 내용은 Register an application을 참조하십시오. 응용 프로그램 개요 페이지에서 다음 값을 나중에 사용할 수 있도록 기록하십시오.
  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID

리디렉션 URI 추가

다운로드한 코드 샘플과의 호환성을 보장하려면 앱 등록에서 특정 리디렉션 URI를 구성해야 합니다. 이러한 URI는 사용자가 성공적으로 로그인한 후 앱으로 다시 리디렉션하는 데 필수적입니다.

워크포스 테넌트

1. 관리에서 인증>플랫폼 추가>Android를 선택합니다.

2. 위에서 다운로드한 샘플 형식에 따라 프로젝트의 패키지 이름을 입력합니다.

   • Java 샘플 - com.azuresamples.msalandroidapp
   • Kotlin 예제 - com.azuresamples.msalandroidkotlinapp

3. Android 앱 구성 창의 서명 해시 섹션에서 개발 서명 해시 생성을 선택하고 KeyTool 명령을 명령줄에 복사합니다.

   • KeyTool.exe JDK(Java Development Kit)의 일부로 설치됩니다. 또한 OpenSSL 도구를 설치하여 KeyTool 명령을 실행해야 합니다. 자세한 내용은 키 생성에 대한 Android 설명서를 참조하세요.

4. KeyTool에서 생성된 서명 해시를 입력합니다.

5. 구성을 선택하고 Android 구성 창에 나타나는 MSAL 구성을 저장합니다. 그러면 나중에 앱을 구성할 때 이 구성을 입력할 수 있습니다.

6. 완료를 선택합니다.

외부 임차인

앱 등록에 앱 유형을 지정하려면 다음 단계를 수행합니다.

1. 관리에서 인증을 선택합니다.
2. 플랫폼 구성 페이지에서 플랫폼 추가선택한 다음, iOS/macOS 옵션을 선택합니다.
3. 프로젝트의 번들 ID를 입력합니다. 샘플 코드를 다운로드한 경우 이 값은 com.microsoft.identitysample.ciam.MSALiOS입니다.
4. 구성을 선택하고 나중에 앱을 구성할 때 입력할 수 있도록 iOS/macOS 구성 창에 표시되는 MSAL 구성 저장합니다.
5. 완료를 선택합니다.

공개 클라이언트 플로우 활성화

앱을 퍼블릭 클라이언트로 식별하려면 다음 단계를 수행합니다.

1. 관리에서 인증을 선택합니다.

2. 고급 설정에서 공용 클라이언트 흐름 허용에 대해 예를 선택합니다.

3. 저장을 선택하여 변경 내용을 저장합니다.

프로젝트에 MSAL 종속성 및 관련 라이브러리 추가

Android 프로젝트에 MSAL 종속성을 추가하려면 다음 단계를 수행합니다.

1. Android Studio에서 프로젝트를 열거나 새 프로젝트를 만듭니다.

2. 애플리케이션의 build.gradle 열고 다음 종속성을 추가합니다.

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   build.gradle 구성에서 리포지토리는 프로젝트 종속성에 대해 정의됩니다. 여기에는 Azure DevOps의 com.microsoft.device.display:display-mask 라이브러리에 대한 Maven 리포지토리 URL이 포함됩니다. 또한 Maven Central 및 Google 리포지토리를 활용합니다. 종속성 섹션은 MSAL 버전 5 및 잠재적으로 다른 종속성의 구현을 지정합니다.

3. Android Studio에서 파일>Gradle 파일과 프로젝트 동기화를 선택합니다.

구성 추가

JSON 구성 설정을 통해 애플리케이션(클라이언트) ID와 같은 필수 테넌트 식별자를 MSAL SDK에 전달합니다.

다음 단계를 사용하여 구성 파일을 만듭니다.

근로자 테넌트 구성

1. Android Studio의 프로젝트 창에서 app\src\main\res로 이동합니다.

2. 마우스 오른쪽 버튼을 클릭하여 res을 선택하고, 새>디렉터리을 선택합니다. 새 디렉터리 이름으로 raw을 입력하고 의 확인을 선택하십시오.

3. 앱>src>메인>res>raw에 새 JSON 파일 auth_config_single_account.json를 만들고, 이전에 저장한 MSAL 구성을 붙여넣습니다.

   리디렉션 URI 아래에 붙여넣습니다.

     "account_mode" : "SINGLE",
   

   구성 파일은 다음 예제와 유사합니다.

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   이 자습서에서는 단일 계정 모드에서 앱을 구성하는 방법만 보여 주듯이, 단일 및 다중 계정 모드 참조하고 자세한 내용은 앱 구성하는 참조하세요.

4. 'WEBVIEW'를 사용하는 것이 좋습니다. 앱에서 "authorization_user_agent"을 '브라우저'로 구성하려면 다음을 업데이트해야 합니다. a) "authorization_user_agent": "Browser"로 auth_config_single_account.json 업데이트합니다. b) AndroidManifest.xml업데이트합니다. 앱에서 앱>src>메인>AndroidManifest.xml로 이동한 후, BrowserTabActivity 요소의 자식으로 <application> 액티비티를 추가합니다. 이 항목을 사용하면 Microsoft Entra ID가 인증을 완료한 후 애플리케이션에 다시 호출할 수 있습니다.

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • 값을 바꾸려면 android:host=. 사용합니다. 이렇게 보여야 합니다: com.azuresamples.msalandroidapp.
   • 서명 해시 사용하여 android:path= 값을 대체합니다. 서명 해시의 시작 부분에 /이 선행되는지 확인합니다. 이렇게 보여야 합니다: /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   이러한 값은 앱 등록의 인증 블레이드에서도 찾을 수 있습니다.

외부 테넌트 설정

1. Android Studio의 프로젝트 창에서 app\src\main\res로 이동합니다.

2. 을 마우스 오른쪽 버튼으로 클릭하고 새>디렉터리을 선택합니다. 새 디렉터리 이름으로 raw을 입력하고 의 확인을 선택하십시오.

3. app\src\main\res\rawauth_config_ciam_auth.json라는 새 JSON 파일을 만듭니다.

4. auth_config_ciam_auth.json 파일에서 다음 MSAL 구성을 추가합니다.

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   JSON 구성 파일은 Android 애플리케이션에 대한 다양한 설정을 지정합니다. 여기에는 클라이언트 ID, 권한 부여 사용자 에이전트, 리디렉션 URI 및 계정 모드가 포함됩니다. 또한 인증 기관을 정의하고 형식 및 권한 URL을 지정합니다.

   다음 플레이스홀더를 Microsoft Entra 관리 센터에서 가져온 테넌트 값으로 바꾸십시오.

   • Enter_the_Application_Id_Here을(를) 삭제하고 이전에 등록한 앱의 애플리케이션(클라이언트) ID로 교체합니다.
   • Enter_the_Redirect_Uri_Here을(를) redirect_uri 값으로 대체하세요. 이 작업은 플랫폼 리디렉션 URL을 추가할 때 다운로드한 Microsoft 인증 라이브러리(MSAL) 구성 파일에서 수행됩니다.
   • Enter_the_Tenant_Subdomain_Here 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 예를 들어 테넌트 주 도메인이 contoso.onmicrosoft.com경우 contoso사용합니다. 테넌트 하위 도메인을 모르는 경우 테넌트 세부 정보를읽는 방법을 확인하세요.

5. /app/src/main/AndroidManifest.xml파일을 엽니다.

6. AndroidManifest.xml의도 필터에 다음 데이터 사양을 추가합니다.

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   자리 표시자를 찾습니다.

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE Android의 프로젝트 패키지 이름으로 대체합니다.
   • ENTER_YOUR_SIGNATURE_HASH_HERE을(를) 이전에 플랫폼 리디렉션 URL을 추가할 때 생성한 서명 해시로 바꿉니다.

사용자 지정 URL 도메인 사용(선택 사항)

사용자 지정 도메인을 사용하여 인증 URL을 완전히 브랜드화합니다. 사용자 관점에서 사용자는 ciamlogin.com 도메인 이름으로 리디렉션되지 않고 인증 프로세스 중에 도메인에 남아 있습니다.

사용자 지정 도메인을 사용하려면 다음 단계를 사용합니다.

1. 외부 테넌트의 앱에 사용자 지정 URL 도메인을 활성화하려면, Enable custom URL domains for apps in external tenants 단계를 따르세요.

2. auth_config_ciam_auth.json 파일을 엽니다.

   1. authority_url 속성의 값을 https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here로 업데이트합니다. Enter_the_Custom_Domain_Here 사용자 지정 URL 도메인으로 바꾸고 Enter_the_Tenant_ID_Here 테넌트 ID로 대체합니다. 테넌트 ID가 없는 경우 테넌트 세부 정보를 읽는 법을 알아보세요.
   2. knownAuthorities 속성을 값 [Enter_the_Custom_Domain_Here]로 추가합니다.

auth_config_ciam_auth.json 파일을 변경한 후, 사용자 지정 URL 도메인이 login.contoso.com이고, 테넌트 ID가 aaaabbbb-0000-cccc-1111-dddd2222eeee인 경우, 파일은 다음 코드 조각과 유사하게 표시됩니다.

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

MSAL SDK 인스턴스 만들기

MSAL SDK 인스턴스를 초기화하려면 다음 코드를 사용합니다.

근로자 테넌트 구성

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

이 코드는 구성 파일 auth_config_single_account.json사용하여 단일 계정 공용 클라이언트 애플리케이션을 만듭니다. 애플리케이션이 성공적으로 만들어지면 인스턴스를 mSingleAccountApp 할당하고 loadAccount() 메서드를 호출합니다. 만드는 동안 오류가 발생하면 displayError(예외) 메서드를 호출하여 오류를 처리합니다.

외부 테넌트 설정

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

이 코드는 단일 계정 공용 클라이언트 애플리케이션을 비동기적으로 초기화합니다. 제공된 인증 구성 파일을 사용하고 I/O 디스패처에서 실행됩니다.

import 문을 포함해야 합니다. Android Studio는 가져오기 문을 자동으로 추가해 줍니다.

다음 단계

자습서: Android 앱에 로그인 기능 추가.