Microsoft Entra ID의 인증 및 권한 부여
Microsoft Entra ID는 OAuth 2.0 및 OpenID Connect와 같은 최신 인증 프로토콜을 표준 규격 방식으로 지원하여 인증 및 권한 부여 서비스를 제공합니다. Microsoft Entra ID를 사용하면 MSAL(Microsoft 인증 라이브러리) 및 기타 표준 호환 라이브러리와 같은 오픈 소스 라이브러리를 사용할 수 있습니다.
직원 포털 시나리오에서는 조직이 Microsoft Entra ID를 인증 및 권한 부여를 위한 ID 공급자로 사용한다는 사실을 알게 됩니다.
이 단원에서는 인증, 권한 부여 및 Microsoft Entra ID에서 지원되는 방식에 대해 알아봅니다.
인증
인증은 애플리케이션에 액세스하는 최종 사용자의 ID를 설정하고 확인하는 프로세스를 나타냅니다.
Microsoft Entra ID는 OpenID Connect 프로토콜을 사용하여 인증을 처리합니다. OpenID Connect를 통해 애플리케이션은 인증된 사용자 및 세션에 대한 기본 정보를 얻을 수 있습니다.
권한 부여
권한 부여는 인증된 사용자에게 일부 작업을 수행하거나 일부 데이터에 액세스할 수 있는 권한이 있는지 확인하는 프로세스입니다.
OAuth 2.0 프로토콜은 Microsoft Entra ID의 다양한 애플리케이션에 대한 권한 부여 흐름을 제공하는 데 사용됩니다.
애플리케이션 등록
Microsoft Entra ID에서는 ID 및 액세스 관리 서비스를 제공하기 전에 애플리케이션을 등록해야 합니다. 애플리케이션을 등록하면 애플리케이션과 ID 공급자 간에 트러스트 관계가 설정됩니다. Azure Portal을 통해, Azure CLI를 사용하여, Microsoft Graph API를 사용하여 프로그래밍 방식으로 애플리케이션 등록을 만들 수 있습니다.
애플리케이션 등록을 통해 애플리케이션 이름, 애플리케이션 형식(웹, 데스크톱 등) 및 액세스를 허용할 사용자 계정인 로그인 대상 그룹을 지정할 수 있습니다. 로그인 대상에는 다음이 포함됩니다.
- 이 조직 디렉터리의 계정만: 조직 테넌트의 사용자만 사용할 애플리케이션을 빌드하는 경우(단일 테넌트)
- Microsoft Entra 테넌트의 사용자가 애플리케이션을 사용하도록 하려는 경우 모든 조직 디렉터리의 계정(다중 테넌트).
- 모든 조직 디렉터리의 계정 및 개인 Microsoft 계정: 가장 광범위한 고객 세트(Microsoft 개인 계정도 지원하는 다중 테넌트)
- 개인 Microsoft 계정: 은 개인 Microsoft 계정(예: Hotmail, Live, Skype 및 Xbox 계정)의 사용자만 사용
또한 애플리케이션 등록에서 자격 증명, 리디렉션 URI, 기타 인증 설정을 구성할 수 있습니다.
애플리케이션을 등록하면 Microsoft Entra ID에서 애플리케이션을 고유하게 식별하는 애플리케이션(클라이언트) ID를 받게 됩니다. 이 ID는 Microsoft Entra ID에 대한 요청의 일부로 애플리케이션 코드 또는 인증 라이브러리에서 사용됩니다.