OpenID Connect 공급자 설정

  • 아티클

OpenID Connect ID 공급자는 OpenID Connect 사양에 부합하는 서비스입니다. OpenID Connect는 ID 토큰 개념을 도입했습니다. ID 토큰은 클라이언트가 사용자의 ID를 확인할 수 있도록 하는 보안 토큰입니다. 또한 클레임이라고 하는 사용자에 대한 기본 프로필 정보도 가져옵니다.

OpenID Connect 공급자 Azure AD B2C, Microsoft Entra ID여러 테넌트가 있는 Microsoft Entra ID가 Power Pages에 내장되어 있습니다. 이 문서에서는 다른 OpenID Connect ID 공급자를 Power Pages 사이트에 추가하는 방법에 대해 설명합니다.

Power Pages에서 지원 및 지원되지 않는 인증 흐름

  • 암시적 허용
    • 이 흐름은 Power Pages 사이트의 기본 인증 방법입니다.
  • 인증 코드
    • Power Pages는 client_secret_post 메서드를 사용하여 ID 서버의 토큰 엔드포인트와 통신합니다.
    • 토큰 엔드포인트로 인증하는 private_key_jwt 메서드는 지원되지 않습니다.
  • 하이브리드(제한된 지원)
    • Power Pages에서는 응답에 id_token이 있어야 하므로 response_type = code token은 지원되지 않습니다.
    • Power Pages의 하이브리드 흐름은 암시적 허용과 동일한 흐름을 따르고 id_token을 사용하여 사용자를 직접 로그인합니다.
  • 코드 교환용 증명 키(PKCE)
    • 사용자를 인증하는 PKCE 기반 기술은 지원되지 않습니다.

노트

사이트의 인증 설정에 대한 변경 사항이 사이트에 반영되는 데 몇 분 정도 걸릴 수 있습니다. 변경 사항을 즉시 보려면 관리 센터에서 사이트를 다시 시작하십시오.

Power Pages에서 OpenID Connect 공급자 설정

  1. Power Pages 사이트에서 설정>ID 공급자를 선택합니다.

    ID 공급자가 표시되지 않으면 사이트의 일반 인증 설정에서 외부 로그인켜짐으로 설정되어 있는지 확인하십시오.

  2. + 새 공급자를 선택합니다.

  3. 로그인 공급자 선택에서 기타를 선택합니다.

  4. 프로토콜에서 OpenID Connect를 선택합니다.

  5. 공급자 이름을 입력합니다.

    공급자 이름은 사용자가 로그인 페이지에서 ID 공급자를 선택할 때 표시되는 버튼의 텍스트입니다.

  6. 다음을 선택합니다.

  7. 회신 URL에서 복사를 선택합니다.

    Power Pages 브라우저 탭을 닫지 마십시오. 곧 돌아올 것입니다.

ID 공급자에서 앱 등록 만들기

  1. 복사한 회신 URL을 사용하여 ID 공급자에 애플리케이션을 만들고 등록합니다.

  2. 애플리케이션 또는 클라이언트 ID와 클라이언트 암호를 복사하십시오.

  3. 애플리케이션의 엔드포인트를 찾아 OpenID Connect 메타데이터 문서 URL을 복사합니다.

  4. ID 공급자에 대해 필요에 따라 다른 설정을 변경합니다.

Power Pages에서 사이트 설정 입력

이전에 종료한 Power Pages ID 공급자 구성 페이지로 돌아가서 다음 값을 입력합니다. 선택적으로 필요에 따라 추가 설정을 변경합니다. 완료되면 확인을 선택합니다.

  • 권한: 권한 URL을 다음 형식으로 입력합니다. https://login.microsoftonline.com/<Directory (tenant) ID>/, 여기서 <디렉터리(테넌트) ID>사용자가 만든 애플리케이션의 디렉터리(테넌트) ID입니다. 예를 들어 Azure Portal의 디렉토리(테넌트) ID가 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb인 경우, 권한 URL은 https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​입니다.

  • 클라이언트 ID​: 사용자가 만든 애플리케이션의 애플리케이션 또는 클라이언트 ID를 붙여넣습니다.

  • 리디렉션 URL: 사이트에서 사용자 지정 도메인 이름을 사용하는 경우 맞춤 URL을 입력합니다. 그렇지 않으면 기본값을 그대로 둡니다. 값이 사용자가 만든 애플리케이션의 리디렉션 URI와 정확히 동일한지 확인하세요.

  • 메타데이터 주소: 복사한 OpenID Connect 메타데이터 문서 URL을 붙여넣습니다.

  • 범위: OpenID Connect scope 매개 변수를 사용하여 요청할 범위의 공백으로 구분된 목록을 입력하십시오. 기본값은 openid입니다.

    openid 값은 필수입니다. 추가할 수 있는 다른 클레임에 대해 알아보세요.

  • 응답 유형: OpenID Connect response_type 매개 변수의 값을 입력하십시오. 가능한 값에는 code, code id_token, id_token, id_token tokencode id_token token이 포함됩니다. 기본값은 code id_token입니다.

  • 클라이언트 암호: 공급자 애플리케이션에서 클라이언트 암호를 붙여넣습니다. 이는 앱 암호 또는 소비자 암호로 지칭될 수도 있습니다. 응답 유형이 code인 경우 이 설정이 필요합니다.

  • 응답 모드: OpenID Connect response_mode 매개 변수의 값을 입력하십시오. 응답 유형이 code인 경우 query이어야 합니다. 기본값은 form_post입니다.

  • 외부 로그아웃: 이 설정은 사이트에서 연합 로그아웃을 사용할지 여부를 제어합니다. 페더레이션 로그아웃을 사용하면 사용자가 애플리케이션 또는 사이트에서 로그아웃하면 동일한 ID 공급자를 사용하는 모든 애플리케이션 및 사이트에서도 로그아웃됩니다. 사용자가 웹 사이트에서 로그아웃할 때 페더레이션 로그아웃 환경으로 리디렉션하려면 이 기능을 켭니다. 웹사이트에서만 사용자를 로그아웃시키려면 이 기능을 끕니다.

  • 로그아웃 후 리디렉션 URL: 사용자가 로그아웃한 후 ID 공급자가 사용자를 리디렉션해야 하는 URL을 입력합니다. 이 위치는 ID 공급자 구성에서 적절하게 설정해야 합니다.

  • RP 시작 로그아웃: 이 설정은 신뢰 당사자(OpenID Connect 클라이언트 애플리케이션)가 사용자를 로그아웃할 수 있는지 여부를 제어합니다. 이 설정을 사용하려면 외부 로그아웃을 켭니다.

Power Pages의 추가 설정

추가 설정을 통해 사용자가 OpenID Connect ID 공급자로 인증하는 방법을 보다 세밀하게 제어할 수 있습니다. 이러한 값을 설정할 필요가 없습니다. 전적으로 선택 사항입니다.

  • 발급자 필터: 모든 테넌트의 모든 발급자와 일치하는 와일드카드 기반 필터를 입력합니다. 예: https://sts.windows.net/*/.

  • 대상 그룹 유효성 검사: 토큰 유효성 검사 중에 대상 그룹을 유효성 검사하려면 이 설정을 켭니다.

  • 유효한 대상 그룹: 쉼표로 구분된 대상 그룹 URL 목록을 입력합니다.

  • 발급자 유효성 검사: 토큰 유효성 검사 중에 발급자를 유효성 검사하려면 이 설정을 켭니다.

  • 유효한 발급자: 쉼표로 구분된 발급자 URL 목록을 입력합니다.

  • 등록 클레임 매핑로그인 클레임 매핑: 사용자 인증에서 클레임은 이메일 주소나 생년월일과 같이 사용자의 ID를 설명하는 정보입니다. 애플리케이션이나 웹사이트에 로그인하면 토큰이 생성됩니다. 토큰에는 연결된 모든 클레임을 포함하여 ID에 대한 정보가 포함됩니다. 토큰은 애플리케이션 또는 사이트의 다른 부분이나 동일한 ID 제공자에 연결된 다른 애플리케이션 및 사이트에 액세스할 때 ID를 인증하는 데 사용됩니다. 클레임 매핑은 토큰에 포함된 정보를 변경하는 방법입니다. 애플리케이션 또는 사이트에서 사용할 수 있는 정보를 사용자 지정하고 기능 또는 데이터에 대한 액세스를 제어하는 데 사용할 수 있습니다. 등록 클레임 매핑은 애플리케이션이나 사이트에 등록할 때 내보낸 클레임을 수정합니다. 로그인 클레임 매핑은 애플리케이션이나 사이트에 로그인할 때 내보낸 클레임을 수정합니다. 클레임 매핑 정책에 대해 자세히 알아보기.

  • Nonce 수명: Nonce 값의 수명을 분 단위로 입력합니다. 기본값은 10분입니다.

  • 토큰 수명 사용: 이 설정은 쿠키와 같은 인증 세션 수명이 인증 토큰의 수명과 일치해야 하는지 여부를 제어합니다. 설정을 켜면 이 값은 Authentication/ApplicationCookie/ExpireTimeSpan 사이트 설정의 응용 프로그램 쿠키 만료 시간 값을 재정의합니다.

  • 이메일로 연락처 맵핑: 이 설정은 연락처가 로그인할 때 해당 이메일 주소에 매핑되는지 여부를 결정합니다.

    • 켜짐: 고유한 연락처 레코드를 일치하는 이메일 주소와 연결하고 사용자가 성공적으로 로그인한 후 연락처에 외부 ID 공급자를 자동으로 할당합니다.
    • 끄기

노트

UI_Locales 요청 매개 변수가 이제 인증 요청에서 자동으로 전송되고 포털에서 선택한 언어로 설정됩니다.

참조 항목

Azure Active Directory(Azure AD) B2C로 OpenID Connect 공급자 설정
Microsoft Entra ID로 OpenID Connect 공급자 설정
OpenID Connect FAQ