다음을 통해 공유


시나리오: Web API를 호출하는 Web API(시나리오 역할)

적용 대상: Windows Server 2022, Windows Server 2019, AD FS 2019 이상

사용자 역할을 하는 또 다른 Web API를 호출하는 Web API를 빌드하는 방법을 알아봅니다.

이 문서를 읽기 전에 AD FS 개념On-Behalf_Of 흐름을 숙지해야 합니다.

개요

  • 아래 다이어그램에 표시되지 않은 클라이언트(웹 앱)는 보호된 웹 API를 호출하고 "권한 부여" Http 헤더에 JWT 전달자 토큰을 제공합니다.

  • 보호된 Web API는 토큰의 유효성을 검사하고 MSAL AcquireTokenOnBehalfOf 메서드를 사용하여 AD FS에서 다른 토큰을 요청하여 사용자를 대신하여 두 번째 웹 API(다운스트림 웹 API라는 이름)를 호출할 수 있게 합니다.

  • 보호된 웹 API는 이 토큰으로 다운스트림 API를 호출합니다. AcquireTokenSilentlater를 호출하여 다른 다운스트림 API에 대한 토큰을 요청할 수도 있습니다(그러나 여전히 동일한 사용자를 대신함). AcquireTokenSilent는 필요할 때 토큰을 새로 고칩니다.

    개요

AD FS에서 인증 시나리오를 대신하여 구성하는 방법을 더 잘 이해하려면 여기에서 사용할 수 있는 샘플을 사용하고 앱 등록 및 코드 구성 단계를 연습해 보겠습니다.

필수 구성 요소

  • GitHub 클라이언트 도구
  • AD FS 2019 이상 구성 및 실행
  • Visual Studio 2013 이상

AD FS에 앱 등록

이 섹션는 네이티브 앱을 공용 클라이언트로 등록하고 Web API를 AD FS에서 RP(신뢰 당사자)로 등록하는 방법을 설명합니다.

  1. AD FS 관리에서 애플리케이션 그룹을 마우스 오른쪽 단추로 클릭하고 애플리케이션 그룹 추가를 선택합니다.

  2. 애플리케이션 그룹 마법사에서 이름으로 WebApiToWebApi를 입력하고 클라이언트-서버 애플리케이션에서 웹 애플리케이션에 액세스하는 기본 애플리케이션 템플릿을 선택합니다. 다음을 클릭합니다.

    네이티브 애플리케이션이 웹 API 템플릿에 액세스하는 것을 강조표시한 애플리케이션 그룹 추가 마법사의 시작 페이지 스크린샷.

  3. 복사는 클라이언트 식별자 값입니다. 이것은 나중에 애플리케이션의 App.config 파일에서 ClientId의 값으로 사용됩니다. 리디렉션 URI에 대해 https://ToDoListClient.을 입력합니다. 추가를 클릭합니다. 다음을 클릭합니다.

    리디렉션 U R I를 보여주는 애플리케이션 그룹 추가 마법사의 네이티브 애플리케이션 페이지의 스크린샷.

  4. 웹 API 구성 화면에서 식별자:https://localhost:44321/.를 입력 추가를 클릭합니다. 다음을 클릭합니다. 이 값은 나중에 애플리케이션의 App.configWeb.Config 파일에서 사용됩니다.

    올바른 식별자를 보여주는 애플리케이션 그룹 추가 마법사의 Web API 구성 페이지의 스크린샷.

  5. 액세스 제어 정책 적용 화면에서 모든 사람 허용을 선택하고 다음을 클릭합니다.

    모든 사용자 허용 옵션이 강조 표시된 애플리케이션 그룹 추가 마법사의 액세스 제어 정책 선택 페이지 스크린샷.

  6. 애플리케이션 권한 구성 화면에서 openiduser_impersonation을 선택합니다. 다음을 클릭합니다.

    선택한 열린 I D를 보여주는 애플리케이션 그룹 추가 마법사의 애플리케이션 사용 권한 구성 페이지 스크린샷.

  7. 요약 화면에서 다음을 클릭합니다.

  8. 완료 화면에서 닫기를 클릭합니다.

  9. AD FS 관리에서, 애플리케이션 그룹을 클릭하고 WebApiToWebApi 애플리케이션 그룹을 선택합니다. 마우스 오른쪽 단추를 클릭하고 속성을 선택합니다.

    강조 표시된 WebApiToWebApi 그룹과 드롭다운 목록의 속성 옵션을 보여주는 A D F S 관리 대화 상자의 스크린샷.

  10. WebApiToWebApi 속성 화면에서 애플리케이션 추가를 클릭합니다.

    WebApiToWebApi - Web A P I 애플리케이션이 나열된 것을 보여주는 WebApiToWebApi 속성 대화 상자의 스크린샷.

  11. 독립 실행형 애플리케이션에서 서버 애플리케이션을 선택합니다.

    강조 표시된 서버 애플리케이션 옵션을 보여주는 WebApiToWebApi 마법사에 새 애플리케이션 추가의 시작 페이지 스크린샷.

  12. 서버 애플리케이션 화면에서 https://localhost:44321/를 클라이언트 식별자리디렉션 URI로 추가합니다.

    올바른 클라이언트 식별자 및 리디렉션 U R I를 보여주는 WebApiToWebApi 마법사에 새 애플리케이션 추가 마법사의 서버 애플리케이션 페이지 스크린샷.

  13. 애플리케이션 자격 증명 구성 화면에서 공유 비밀 생성을 선택합니다. 나중에 사용할 비밀을 복사합니다.

    선택한 공유 비밀 생성 옵션과 생성된 공유 비밀이 강조 표시된 것을 보여주는 WebApiToWebApi에 새 애플리케이션 추가 마법사의 애플리케이션 자격 증명 애플리케이션 구성 페이지의 스크린샷.

  14. 요약 화면에서 다음을 클릭합니다.

  15. 완료 화면에서 닫기를 클릭합니다.

  16. AD FS 관리에서, 애플리케이션 그룹을 클릭하고 WebApiToWebApi 애플리케이션 그룹을 선택합니다. 마우스 오른쪽 단추를 클릭하고 속성을 선택합니다.

    강조 표시된 WebApiToWebApi 그룹과 드롭다운 목록의 속성 옵션을 보여주는 A D F S 관리 대화 상자의 두 번째 스크린샷.

  17. WebApiToWebApi 속성 화면에서 애플리케이션 추가를 클릭합니다.

    WebApiToWebApi - Web A P I 애플리케이션이 나열된 것을 보여주는 WebApiToWebApi 속성 대화 상자의 두 번째 스크린샷.

  18. 독립 실행형 애플리케이션에서 Web API를 선택합니다.

    강조 표시된 웹 A P I 옵션을 보여주는 WebApiToWebApi 마법사에 새 애플리케이션 추가의 시작 페이지 스크린샷.

  19. Web API 구성에서 https://localhost:44300를 식별자로 추가합니다.

    올바른 리디렉션 U R I를 보여주는 WebApiToWebApi 마법사에 새 애플리케이션 추가 마법사의 Web A P I 구성 페이지의 스크린샷.

  20. 액세스 제어 정책 적용 화면에서 모든 사람 허용을 선택하고 다음을 클릭합니다.

    모든 사용자 허용 옵션이 강조 표시된 WebApiToWebApi에 새 애플리케이션 추가 마법사의 액세스 제어 정책 선택 페이지의 스크린샷.

  21. 애플리케이션 권한 구성 화면에서 다음을 클릭합니다.

    다음 옵션이 호출된 것을 보여주는 WebApiToWebApi 마법사에 새 애플리케이션 추가의 애플리케이션 사용 권한 구성 페이지의 스크린샷.

  22. 요약 화면에서 다음을 클릭합니다.

  23. 완료 화면에서 닫기를 클릭합니다.

  24. WebApiToWebApi – Web API 2 속성 화면에서 확인 클릭

  25. WebApiToWebApi 속성 화면에서 WebApiToWebApi – Web API를 선택하고 편집…을 클릭합니다.

    강조표시된 WebApiToWebApi - Web A P I 애플리케이션을 보여주는 WebApiToWebApi 속성 대화 상자의 스크린샷.

  26. WebApiToWebApi – Web API 속성 화면에서 발급 변환 규칙 탭을 선택하고 규칙 추가…를 클릭합니다.

    발급 변환 규칙 탭을 보여주는 WebApiToWebApi - Web A P I 속성 대화 상자의 스크린샷.

  27. 변환 클레임 규칙 마법사 화면의 드롭다운에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭합니다.

    선택된 사용자 지정 규칙 옵션을 사용하여 클레임 보내기 옵션을 선택한 변형 클레임 규칙 추가 마법사의 규칙 템플릿 선택 페이지의 스크린샷.

  28. PassAllClaimsClaim rule name: 필드에, x:[] => issue(claim=x); 클레임 규칙을 Custom rule: 필드에 입력하고 '마침'을 클릭합니다.

    위에서 설명한 구성을 보여주는 변환 클레임 규칙 추가 마법사의 규칙 구성 페이지의 스크린샷.

  29. WebApiToWebApi – Web API 속성 화면에서 확인 클릭

  30. WebApiToWebApi 속성 화면에서 WebApiToWebApi – Web API 2를 선택하고 편집… 클릭
    강조표시된 WebApiToWebApi - Web A P I 2 애플리케이션을 보여주는 WebApiToWebApi 속성 대화 상자의 스크린샷.

  31. WebApiToWebApi – Web API 2 속성 화면에서 발급 변환 규칙 탭을 선택하고 규칙 추가…를 클릭합니다.

  32. 변환 클레임 규칙 마법사 화면의 드롭다운에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭선택된 사용자 지정 규칙 옵션을 사용하여 클레임 보내기 옵션을 선택한 변형 클레임 규칙 추가 마법사의 규칙 템플릿 선택 페이지의 두 번째 스크린샷.

  33. PassAllClaims를 Claim rule name: 필드에, x:[] => issue(claim=x); claim rule를 Custom rule: 필드에 입력하고 마침을 클릭합니다.

    위에서 설명한 구성을 보여주는 변환 클레임 규칙 추가 마법사의 규칙 구성 페이지의 두 번째 스크린샷.

  34. WebApiToWebApi – Web API 2 속성 화면에서 확인을 클릭하고 WebApiToWebApi 속성 화면에서 확인을 클릭합니다.

코드 구성

이 섹션는 다른 Web API를 호출하도록 Web API를 구성하는 방법을 설명합니다.

  1. 여기에서 샘플 다운로드

  2. Visual Studio를 사용하여 샘플 열기

  3. App.config 파일을 엽니다. 다음을 수정합니다.

    • ida:Authority - enter https://[your AD FS hostname]/adfs/

    • ida:ClientId - 위의 AD FS 섹션에서 앱 등록의 #3 값을 입력합니다.

    • ida:RedirectUri - 위의 AD FS 섹션에서 앱 등록의 #3 값을 입력합니다.

    • todo:TodoListResourceId – 위의 AD FS 섹션에서 앱 등록에서 #4의 식별자 값 입력

    • ida: todo:TodoListBaseAddress - 위의 AD FS 섹션에서 앱 등록에서 #4의 식별자 값을 입력합니다.

      수정된 값을 보여주는 앱 구성 파일의 스크린샷.

  4. ToDoListService 아래의 Web.config 파일을 엽니다. 다음을 수정합니다.

    • ida:Audience - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

    • ida:ClientId - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

    • Ida: ClientSecret - 위의 AD FS 섹션에서 앱 등록에서 #13에서 복사한 공유 비밀을 입력합니다.

    • ida:RedirectUri - 위의 AD FS 섹션에서 앱 등록의 #12에서 RedirectUri 값을 입력합니다.

    • ida: AdfsMetadataEndpoint - enter https://[your AD FS hostname]/federationmetadata/2007-06/federationmetadata.xml

    • ida:OBOWebAPIBase - 위의 AD FS 섹션에서 앱 등록에서 #19의 식별자 값을 입력합니다.

    • ida:Authority - enter https://[your AD FS hostname]/adfs

      수정된 값을 보여주는 ToDoListService 아래의 웹 구성 파일 스크린샷.

  5. WebAPIOBO 아래의 Web.config 파일을 엽니다. 다음을 수정합니다.

    • ida: AdfsMetadataEndpoint - enter https://[your AD FS hostname]/federationmetadata/2007-06/federationmetadata.xml

    • ida:Audience - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

      수정된 값을 보여주는 WebAPIOBO 아래의 웹 구성 파일 스크린샷.

샘플 테스트

이 섹션은 위에서 구성한 샘플을 테스트하는 방법을 보여줍니다.

코드가 변경되면 솔루션을 다시 빌드

  1. Visual Studio에서 솔루션을 마우스 오른쪽 단추로 클릭하고 시작 프로젝트 설정... 선택

    프로젝트 시작 설정 옵션이 강조 표시된 솔루션을 마우스 오른쪽 단추로 클릭할 때 표시되는 목록의 스크린샷.

  2. 속성 페이지에서 TodoListSPA를 제외한 각 프로젝트에 대해 작업시작으로 설정되어 있는지 확인합니다.

    선택한 여러 시작 프로젝트 옵션과 모든 프로젝트의 작업이 시작으로 설정된 것을 보여주는 솔루션 속성 페이지 대화 상자의 스크린샷.

  3. Visual Studio 맨 위에서 녹색 화살표를 클릭합니다.

    시작 옵션이 호출된 Visual Studio UI의 스크린샷.

  4. 네이티브 앱의 기본 화면에서 로그인을 클릭합니다.

    할 일 목록 클라이언트 대화 상자의 스크린샷.

    네이티브 앱 화면이 표시되지 않으면 시스템에 프로젝트 리포지토리가 저장된 폴더에서 *msalcache.bin 파일을 검색하여 제거합니다.

  5. AD FS 로그인 페이지로 리디렉션될 수 있습니다. 계속해서 로그인 합니다.

    로그인 페이지의 스크린샷.

  6. 로그인한 후에 할 일 만들기 항목에서 Web Api 호출에 대한 텍스트 Web Api를 입력합니다. 항목 추가를 클릭합니다. 그러면 Web API(To Do List Service)를 호출한 다음 Web API 2(WebAPIOBO)를 호출하여 캐시에 항목을 추가합니다.

    할 일 항목 섹션을 채우는 새 할 일 항목이 있는 할 일 목록 클라이언트 대화 상자의 스크린샷.

다음 단계

AD FS OpenID Connect/OAuth 흐름 및 애플리케이션 시나리오