조건부 액세스에 대해 알아보기
Microsoft Entra ID의 조건부 액세스 기능은 앱을 보호하고 서비스를 보호하는 데 사용할 수 있는 여러 방법 중 하나를 제공합니다. 조건부 액세스를 통해 개발자 및 기업 고객은 다음과 같은 다양한 방법으로 서비스를 보호할 수 있습니다.
- 다단계 인증
- Intune 등록 디바이스만 특정 서비스에 액세스할 수 있도록 허용
- 사용자 위치 및 IP 범위 제한
조건부 액세스가 앱에 어떤 영향을 주나요?
대부분의 경우 조건부 액세스는 앱의 동작을 변경하거나 개발자에게 변경을 요구하지 않습니다. 앱에서 서비스에 대한 토큰을 간접적으로 혹은 자동으로 요청하는 경우에만 조건부 액세스 문제를 처리하기 위해 코드를 변경해야 합니다. 이것은 대화형 로그인 요청을 수행하는 것처럼 간단할 수도 있습니다.
특히 다음 시나리오에는 조건부 액세스 챌린지를 처리하는 코드가 필요합니다.
- On-Behalf-Of 흐름을 수행하는 앱
- 여러 서비스/리소스에 액세스하는 앱
- MSAL.js를 사용하는 단일 페이지 앱
- 리소스를 호출하는 웹앱
앱에 조건부 액세스 정책을 적용할 수 있으며 앱이 액세스하는 웹 API에도 적용할 수 있습니다. 시나리오에 따라 기업 고객은 언제든지 조건부 액세스 정책을 적용하고 제거할 수 있습니다. 새 정책이 적용된 경우 앱이 계속 작동할 수 있도록 챌린지 처리를 구현합니다.
조건부 액세스 예제
일부 시나리오는 조건부 액세스를 처리하기 위해 코드 변경이 필요한 반면 다른 시나리오는 그대로 작동합니다. 차이점에 대한 통찰력을 제공하는 다단계 인증을 수행하기 위해 조건부 액세스를 사용하는 몇 가지 시나리오는 다음과 같습니다.
단일 테넌트 iOS 앱을 빌드하고 조건부 액세스 정책을 적용합니다. 사용자는 앱에 로그인하고 앱은 API에 대한 액세스를 요청하지 않습니다. 사용자가 로그인하면 정책이 자동으로 호출되며 사용자가 다단계 인증을 수행해야 합니다.
중간 계층 서비스를 사용하여 다운스트림 API에 액세스하는 앱을 빌드하고 있습니다. 이 앱을 사용하는 회사의 기업 고객은 다운스트림 API에 정책을 적용합니다. 최종 사용자가 로그인하면 앱에서 중간 계층에 대한 액세스를 요청하고 토큰을 보냅니다. 중간 계층은 On-Behalf-Of 흐름을 수행하여 다운스트림 API에 대한 액세스를 요청합니다. 이때 클레임 “챌린지”가 중간 계층에 표시됩니다. 중간 계층은 조건부 액세스 정책을 준수해야 하는 이 앱으로 챌린지를 다시 보냅니다.