Microsoft Entra ID로 OpenID Connect 공급자 설정

Microsoft Entra는 Power Pages 사이트 방문자를 인증하는 데 사용할 수 있는 OpenID Connect ID 공급자 중 하나입니다. Microsoft Entra ID, 다중 테넌트 Microsoft Entra ID 및 Azure AD B2C와 함께 Open ID Connect 사양을 준수하는 다른 공급자를 사용할 수 있습니다.

이 문서는 다음 단계를 설명합니다.

• Power Pages에서 Microsoft Entra 설정
• Azure에서 앱 등록 만들기
• Power Pages에서 사이트 설정 입력
• 다중 테넌트 Microsoft Entra 인증 허용

노트

사이트의 인증 설정에 대한 변경 사항이 사이트에 반영되는 데 몇 분 정도 걸릴 수 있습니다. 변경 사항을 즉시 보려면 관리 센터에서 사이트를 다시 시작하십시오.

Power Pages에서 Microsoft Entra 설정

Microsoft Entra를 사이트의 ID 공급자로 설정합니다.

1. Power Pages 사이트에서 설정>ID 공급자를 선택합니다.

   ID 공급자가 표시되지 않으면 사이트의 일반 인증 설정에서 외부 로그인이 켜짐으로 설정되어 있는지 확인하십시오.

2. + 새 공급자를 선택합니다.

3. 로그인 공급자 선택에서 기타를 선택합니다.

4. 프로토콜에서 OpenID Connect를 선택합니다.

5. 공급자 이름(예: Microsoft Entra ID)을 입력합니다.

   공급자 이름은 사용자가 로그인 페이지에서 ID 공급자를 선택할 때 표시되는 버튼의 텍스트입니다.

6. 다음을 선택합니다.

7. 회신 URL에서 복사를 선택합니다.

   Power Pages 브라우저 탭을 닫지 마십시오. 곧 돌아올 것입니다.

Azure에서 앱 등록 만들기

사이트의 회신 URL을 리디렉션 URI로 사용하여 Azure Portal에서 앱 등록을 만듭니다.

1. Azure Portal에 로그인합니다.

2. Azure Active Directory를 검색하고 선택합니다.

3. 관리에서 앱 등록을 선택합니다.

4. 새 등록을 선택합니다.

5. 이름을 입력합니다.

6. 조직 요구 사항을 가장 잘 반영하는 지원되는 계정 유형 중 하나를 선택하십시오.

7. 리디렉션 URI에서 웹을 플랫폼으로 선택한 다음 사이트의 회신 URL을 입력합니다.

   • 사이트의 기본 URL을 사용하는 경우 복사한 회신 URL을 붙여넣습니다.
   • 사용자 지정 도메인 이름을 사용하는 경우 사용자 지정 URL을 입력합니다. 사이트의 ID 공급자 설정에서 리디렉션 URL에 대해 동일한 사용자 지정 URL을 사용해야 합니다.

8. 등록을 선택합니다.

9. 애플리케이션(클라이언트) ID를 복사합니다.

10. 클라이언트 자격 증명 오른쪽에서 인증서 또는 암호 추가를 선택합니다.

11. + 새 클라이언트 암호를 선택합니다.

12. 선택적 설명을 입력하고 만료를 선택한 다음 추가를 선택합니다.

13. 암호 ID에서 클립보드에 복사 아이콘을 선택합니다.

14. 페이지 맨 위에서 엔드포인트를 선택합니다.

15. OpenID Connect 메타데이터 문서 URL을 찾아 복사 아이콘을 선택합니다.

16. 왼쪽 측면 창의 관리에서 인증을 선택합니다.

17. 암시적 허용에서 ID 토큰(암시적 및 하이브리드 흐름에 사용)을 선택합니다.

18. 저장을 선택합니다.

Power Pages에서 사이트 설정 입력

이전에 종료한 Power Pages ID 공급자 구성 페이지로 돌아가서 다음 값을 입력합니다. 선택적으로 필요에 따라 추가 설정을 변경합니다. 완료되면 확인을 선택합니다.

• 권한: 권한 URL을 다음 형식으로 입력합니다. https://login.microsoftonline.com/<Directory (tenant) ID>/, 여기서 <디렉터리(테넌트) ID>는 사용자가 만든 애플리케이션의 디렉터리(테넌트) ID입니다. 예를 들어 Azure Portal의 디렉토리(테넌트) ID가 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb인 경우, 권한 URL은 https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​입니다.

• 클라이언트 ID​: 사용자가 만든 애플리케이션의 애플리케이션 또는 클라이언트 ID를 붙여넣습니다.

• 리디렉션 URL: 사이트에서 사용자 지정 도메인 이름을 사용하는 경우 맞춤 URL을 입력합니다. 그렇지 않으면 기본값을 그대로 둡니다. 값이 사용자가 만든 애플리케이션의 리디렉션 URI와 정확히 동일한지 확인하세요.

• 메타데이터 주소: 복사한 OpenID Connect 메타데이터 문서 URL을 붙여넣습니다.

• 범위: openid email를 입력합니다.

  openid 값은 필수입니다. email 값은 선택 사항입니다. 사용자가 로그인한 후 사용자의 이메일 주소가 자동으로 채워지고 프로필 페이지에 표시되도록 합니다. 추가할 수 있는 다른 클레임에 대해 알아보세요.

• 응답 유형: code id_token을 선택합니다.

• 클라이언트 암호: 사용자가 만든 애플리케이션의 클라이언트 암호를 붙여넣습니다. 응답 유형이 code인 경우 이 설정이 필요합니다.

• 응답 모드: form_post를 선택합니다.

• 외부 로그아웃: 이 설정은 사이트에서 연합 로그아웃을 사용할지 여부를 제어합니다. 페더레이션 로그아웃을 사용하면 사용자가 애플리케이션 또는 사이트에서 로그아웃하면 동일한 ID 공급자를 사용하는 모든 애플리케이션 및 사이트에서도 로그아웃됩니다. 사용자가 웹 사이트에서 로그아웃할 때 페더레이션 로그아웃 환경으로 리디렉션하려면 이 기능을 켭니다. 웹사이트에서만 사용자를 로그아웃시키려면 이 기능을 끕니다.

• 로그아웃 후 리디렉션 URL: 사용자가 로그아웃한 후 ID 공급자가 사용자를 리디렉션해야 하는 URL을 입력합니다. 이 위치는 ID 공급자 구성에서 적절하게 설정해야 합니다.

• RP 시작 로그아웃: 이 설정은 신뢰 당사자(OpenID Connect 클라이언트 애플리케이션)가 사용자를 로그아웃할 수 있는지 여부를 제어합니다. 이 설정을 사용하려면 외부 로그아웃을 켭니다.

Power Pages의 추가 설정

추가 설정을 통해 사용자가 Microsoft Entra ID 공급자로 인증하는 방법을 보다 세밀하게 제어할 수 있습니다. 이러한 값을 설정할 필요가 없습니다. 전적으로 선택 사항입니다.

• 발급자 필터: 모든 테넌트의 모든 발급자와 일치하는 와일드카드 기반 필터를 입력합니다. 예: https://sts.windows.net/*/.

• 대상 그룹 유효성 검사: 토큰 유효성 검사 중에 대상 그룹을 유효성 검사하려면 이 설정을 켭니다.

• 유효한 대상 그룹: 쉼표로 구분된 대상 그룹 URL 목록을 입력합니다.

• 발급자 유효성 검사: 토큰 유효성 검사 중에 발급자를 유효성 검사하려면 이 설정을 켭니다.

• 유효한 발급자: 쉼표로 구분된 발급자 URL 목록을 입력합니다.

• 등록 클레임 매핑 및 로그인 클레임 매핑: 사용자 인증에서 클레임은 이메일 주소나 생년월일과 같이 사용자의 ID를 설명하는 정보입니다. 애플리케이션이나 웹사이트에 로그인하면 토큰이 생성됩니다. 토큰에는 연결된 모든 클레임을 포함하여 ID에 대한 정보가 포함됩니다. 토큰은 애플리케이션 또는 사이트의 다른 부분이나 동일한 ID 제공자에 연결된 다른 애플리케이션 및 사이트에 액세스할 때 ID를 인증하는 데 사용됩니다. 클레임 매핑은 토큰에 포함된 정보를 변경하는 방법입니다. 애플리케이션 또는 사이트에서 사용할 수 있는 정보를 사용자 지정하고 기능 또는 데이터에 대한 액세스를 제어하는 데 사용할 수 있습니다. 등록 클레임 매핑은 애플리케이션이나 사이트에 등록할 때 내보낸 클레임을 수정합니다. 로그인 클레임 매핑은 애플리케이션이나 사이트에 로그인할 때 내보낸 클레임을 수정합니다. 클레임 매핑 정책에 대해 자세히 알아보기.

• Nonce 수명: Nonce 값의 수명을 분 단위로 입력합니다. 기본값은 10분입니다.

• 토큰 수명 사용: 이 설정은 쿠키와 같은 인증 세션 수명이 인증 토큰의 수명과 일치해야 하는지 여부를 제어합니다. 설정을 켜면 이 값은 Authentication/ApplicationCookie/ExpireTimeSpan 사이트 설정의 응용 프로그램 쿠키 만료 시간 값을 재정의합니다.

• 이메일로 연락처 맵핑: 이 설정은 연락처가 로그인할 때 해당 이메일 주소에 매핑되는지 여부를 결정합니다.

  • 켜짐: 고유한 연락처 레코드를 일치하는 이메일 주소와 연결하고 사용자가 성공적으로 로그인한 후 연락처에 외부 ID 공급자를 자동으로 할당합니다.
  • 끄기

노트

UI_Locales 요청 매개 변수가 이제 인증 요청에서 자동으로 전송되고 포털에서 선택한 언어로 설정됩니다.

추가 클레임 설정

1. Microsoft Entra ID에서 옵션 클레임을 활성화합니다.

2. 추가 클레임을 포함하도록 범위를 설정합니다. 예: openid email profile.

3. 등록 클레임 매핑 추가 사이트 설정을 지정합니다. 예: firstname=given_name,lastname=family_name.

4. 로그인 클레임 매핑 추가 사이트 설정을 지정합니다. 예: firstname=given_name,lastname=family_name.

이 예에서, 추가 클레임과 함께 제공된 이름, 성, 이메일 주소는 웹 사이트의 프로필 페이지에서 기본값이 됩니다.

노트

클레임 매핑은 텍스트 및 부울 데이터 형식에 대해 지원됩니다.

다중 테넌트 Microsoft Entra 인증 허용

Microsoft Entra 사용자가 특정 테넌트뿐만 아니라 Azure의 모든 테넌트에서 인증할 수 있도록 하려면 Microsoft Entra 애플리케이션 등록을 다중 테넌트로 변경합니다.

또한 공급자의 추가 설정에서 발급자 필터를 설정해야 합니다.

참조 항목

OpenID Connect FAQ