빠른 시작: Microsoft Entra ID에 애플리케이션 등록

이 빠른 시작에서는 Microsoft Entra ID에 애플리케이션을 등록하는 방법을 알아봅니다. 이 프로세스는 애플리케이션과 Microsoft ID 플랫폼 간에 트러스트 관계를 설정하는 데 필수적입니다. 이 빠른 시작을 완료하면 앱에 대해 IAM(ID 및 액세스 관리)을 사용하도록 설정하여 Microsoft 서비스 및 API와 안전하게 상호 작용할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
• Azure 계정은 최소한 애플리케이션 개발자이어야 합니다.
• 인력 또는 외부 임차인입니다. 이 빠른 시작에서는 기본 디렉터리 사용할 수 있습니다. 외부 테넌트가 필요한 경우 외부 테넌트설정을 완료합니다.

애플리케이션 등록

Microsoft Entra에 애플리케이션을 등록하면 앱과 Microsoft ID 플랫폼 간에 트러스트 관계가 설정됩니다. 신탁은 단방향입니다. 앱은 Microsoft ID 플랫폼을 신뢰하며, Microsoft ID 플랫폼이 앱을 신뢰하는 것이 아닙니다. 만든 후에는 애플리케이션 개체를 서로 다른 테넌트 간에 이동할 수 없습니다.

다음 단계에 따라 앱 등록을 만듭니다.

1. Microsoft Entra 관리 센터에 적어도 애플리케이션 개발자로서 로그인하세요.

2. 여러 테넌트에 액세스할 수 있는 경우 위쪽 메뉴의 설정 아이콘 사용하여 애플리케이션을 등록하려는 테넌트로 전환합니다.

3. ID>애플리케이션>앱 등록으로 이동하고 신규 등록을 선택합니다.

4. 사용자를 위한 의미 있는 이름을 입력하세요. 예를 들어, identity-client-app등이 있습니다. 앱 사용자는 이 이름을 볼 수 있으며 언제든지 변경할 수 있습니다. 동일한 이름의 여러 앱 등록을 가질 수 있습니다.

5. 지원되는 계정 유형애플리케이션을 사용할 수 있는 사용자를 지정합니다. 대부분의 애플리케이션에 대해 이 조직 디렉터리에서 계정을 선택하는 것이 좋습니다. 각 옵션에 대한 자세한 내용은 아래 표를 참조하세요.

   지원되는 계정 유형	설명
   이 조직 디렉터리의 계정만	단일 테넌트 앱의 경우 테넌트에 사용자(또는 게스트)만 사용할 수 있습니다.
   모든 조직 디렉터리의 계정	다중 테넌트 앱의 경우 모든 Microsoft Entra 테넌트의 사용자가 애플리케이션을 사용할 수 있도록 합니다. 여러 조직에 제공하려는 SaaS(Software-as-a-Service) 애플리케이션에 이상적입니다.
   모든 조직 디렉터리의 계정 및 개인 Microsoft 계정	조직 및 개인 Microsoft 계정(예: Skype, Xbox, Live, Hotmail)을 모두 지원하는 다중 테넌트 앱의 경우
   개인 Microsoft 계정	개인 Microsoft 계정에서만 사용하는 앱의 경우(예: Skype, Xbox, Live, Hotmail)

6. 등록을 선택하여 앱 등록을 완료합니다.

   

7. 애플리케이션의 개요 페이지가 표시됩니다. 애플리케이션을 고유하게 식별하고 Microsoft ID 플랫폼에서 수신하는 보안 토큰의 유효성을 검사하는 일환으로 애플리케이션 코드에 사용되는 애플리케이션(클라이언트) ID기록합니다.

   

중요한

새 앱 등록은 기본적으로 사용자에게 표시되지 않습니다. 사용자가 내 앱 페이지에서 앱을 볼 준비가 되면 사용하도록 설정할 수 있습니다. 앱을 사용하도록 설정하려면 Microsoft Entra 관리 센터에서 ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동하여 앱을 선택합니다. 그런 다음 속성 페이지에서 사용자에게 표시?를 예로 설정합니다.

관리자 동의 부여(외부 테넌트만 해당)

애플리케이션을 등록하면 User.Read 권한이 할당됩니다. 그러나 외부 테넌트의 경우 고객 사용자는 이 권한에 동의할 수 없습니다. 관리자는 테넌트에 있는 모든 사용자를 대신하여 이 권한에 동의해야 합니다.

1. 앱 등록의 개요 페이지의 관리 아래에서 API 권한선택합니다.
2. '관리자 동의 부여'를 < 테넌트 이름 >에 대해 선택한 다음, '예'를 선택합니다.
3. 새로 고침선택한 다음 < 테넌트 이름 >부여된 권한에 대한 상태 표시되는지 확인합니다.

리디렉션 URI 추가

리디렉션 URI Microsoft ID 플랫폼이 인증 후 보안 토큰을 보내는 위치입니다. Microsoft Entra 관리 센터의 플랫폼 구성 리디렉션 URI를 구성할 수 있습니다. 웹 및 단일 페이지 애플리케이션경우 리디렉션 URI를 수동으로 지정해야 합니다. Mobile 및 데스크톱 플랫폼의 경우 생성된 리디렉션 URI 중에서 선택합니다. 대상 플랫폼 또는 디바이스에 따라 설정을 구성하려면 다음 단계를 수행합니다.

1. Microsoft Entra 관리 센터의 앱 등록에서 애플리케이션을 선택합니다.

2. 관리에서 인증을 선택합니다.

3. 플랫폼 구성에서 플랫폼 추가를 선택합니다.

4. 플랫폼 구성 아래에서 애플리케이션 유형(플랫폼)에 대한 타일을 선택하여 설정을 구성합니다.

   

   플랫폼	구성 설정	예시
   웹	서버에서 실행되는 웹앱에 대한 리디렉션 URI 입력합니다. 프런트 채널 로그아웃 URL도 추가할 수 있습니다.	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc(프런트 채널 로그아웃 URL) 파이썬: • http://localhost:3000/getAToken
   단일 페이지 애플리케이션	JavaScript, Angular, React.js또는 Blazor WebAssembly를 사용하여 클라이언트 쪽 앱에 대한 리디렉션 URI 입력합니다. 프런트 채널 로그아웃 URL도 추가할 수 있습니다.	JavaScript, React: • http://localhost:3000 각도: • http://localhost:4200/
   iOS/macOS	앱 번들 ID을 입력하세요. 그러면 리디렉션 URI가 생성됩니다. 빌드 설정 또는 Info.plist의 Xcode에서 찾을 수 있습니다.	인력 임차인 • com.<yourname>.identitysample.MSALMacOS 외부 임차인: • com.microsoft.identitysample.ciam.MSALiOS
   Android	앱을 패키지 이름입력합니다. 그러면 리디렉션 URI가 생성됩니다. AndroidManifest.xml 파일에서 찾을 수 있습니다. 또한 서명 해시를 생성하여 입력합니다.	코틀린: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth 자바: • com.azuresamples.msalandroidapp
   모바일 및 데스크톱 애플리케이션	MSAL 또는 broker를 사용하지 않는 데스크톱 앱 또는 모바일 앱에 대해 이 플랫폼을 선택합니다. 제안된 리디렉션 URI를 선택하거나, 하나 이상의 사용자 지정 리디렉션 URI 를 지정합니다.	포함된 브라우저 데스크톱 앱: • https://login.microsoftonline.com/common/oauth2/nativeclient 시스템 브라우저 데스크톱 앱: • http://localhost

5. 구성을 선택하여 플랫폼 구성을 완료합니다.

리디렉션 URI에 대한 제한 사항

앱 등록에 추가하는 리디렉션 URI의 형식에는 몇 가지 제한 사항이 있습니다. 이러한 제한 사항에 대한 자세한 내용은 리디렉션 URI(회신 URL) 제한 사항을 참조하세요.

자격 증명 추가

앱을 등록한 후 인증서, 클라이언트 비밀(문자열) 또는 페더레이션 ID 자격 증명을 기밀 클라이언트 앱 등록에 자격 증명으로 추가할 수 있습니다. 자격 증명을 사용하면 애플리케이션 자체에서 인증할 수 있으므로 런타임에 사용자로부터 상호 작용할 필요가 없으며, 웹 API에 액세스하는 기밀 클라이언트 애플리케이션에서 사용됩니다.

인증서 추가

퍼블릭 키라고도 하는 인증서는 클라이언트 암호보다 더 안전한 것으로 간주되기 때문에 권장되는 자격 증명 유형입니다.

1. Microsoft Entra 관리 센터의 앱 등록에서 애플리케이션을 선택합니다.
2. 인증서 및 비밀>인증서>인증서 업로드를 선택합니다.
3. 업로드하려는 파일을 선택합니다. .cer, .pem, .crt 파일 형식 중 하나여야 합니다.
4. 추가를 선택합니다.

프로덕션 환경에서는 azure Key Vault 같은 잘 알려진 CA(인증 기관)에서 서명한 인증서를 사용해야 합니다. 애플리케이션에서 인증 방법으로 인증서를 사용하는 방법에 대한 자세한 내용은 Microsoft ID 플랫폼 애플리케이션 인증 인증서 자격 증명을 참조하세요.

클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 앱이 인증서 대신 자신을 식별하는 데 사용할 수 있는 문자열 값입니다.

클라이언트 비밀은 인증서 또는 페더레이션 자격 증명보다 안전하지 않으므로 프로덕션 환경에서 사용하지 합니다. 로컬 앱 개발에 편리할 수 있지만 프로덕션 환경에서 실행되는 모든 애플리케이션에 인증서 또는 페더레이션 자격 증명을 사용하여 보안을 강화해야 합니다.

1. Microsoft Entra 관리 센터의 앱 등록에서 애플리케이션을 선택합니다.
2. 인증서 및 비밀>클라이언트 암호>새 클라이언트 암호를 선택합니다.
3. 클라이언트 비밀에 대한 설명을 추가합니다.
4. 암호에 대해 만료를 선택하거나 사용자 지정 수명을 지정합니다.
   • 클라이언트 암호 수명은 2년(24개월) 이하로 제한됩니다. 사용자 지정 수명은 24개월 이상으로 지정할 수 없습니다.
   • 12개월 미만의 만료 값을 설정하는 것이 좋습니다.
5. 추가를 선택합니다.
6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지에서 나가면 다시 표시되지 않습니다.

클라이언트 비밀 취약성에 대한 자세한 내용은 비밀 기반 인증에서 벗어난 애플리케이션 마이그레이션을 참조하세요.

서비스 주체를 자동으로 만드는 Azure DevOps 서비스 연결을 사용하는 경우 클라이언트 암호를 직접 업데이트하는 대신 Azure DevOps 포털 사이트에서 클라이언트 암호를 업데이트해야 합니다. Azure DevOps 포털 사이트에서 클라이언트 암호를 업데이트하는 방법에 대해서는 Azure Resource Manager 서비스 연결 문제 해결 문서를 참조하세요.

페더레이션 자격 증명 추가

페더레이션 ID 자격 증명은 워크로드 ID 페더레이션을 사용하여 비밀을 관리할 필요 없이 GitHub Actions, Kubernetes에서 실행되는 워크로드 또는 Azure 외의 컴퓨팅 플랫폼에서 실행되는 워크로드가 Microsoft Entra가 보호하는 리소스에 접근하도록 허용하는 자격 증명 유형입니다.

페더레이션 자격 증명을 추가하려면 다음 단계를 수행합니다.

1. Microsoft Entra 관리 센터의 앱 등록에서 애플리케이션을 선택합니다.

2. 인증서 및 비밀>페더레이션된 자격 증명>자격 증명 추가를 선택합니다.

3. 페더레이션 자격 증명 시나리오 드롭다운 상자에서 지원되는 시나리오 중 하나를 선택하고 해당 지침에 따라 구성을 완료합니다.

   • 다른 테넌트에서 Azure Key Vault를 사용하여 테넌트에서 데이터를 암호화하기 위한 고객 관리형 키.
   • 애플리케이션에 대한 토큰을 가져오고 자산을 Azure에 배포하도록 GitHub 워크플로를 구성하기 위해 Azure 리소스를 배포하는 GitHub 작업.
   • Azure 리소스에 액세스하도록 구성된 Kubernetes에서 Kubernetes 서비스 계정을 구성하여 애플리케이션에 대한 토큰을 얻고 Azure 리소스에 액세스합니다.
   • 다른 발급자는애플리케이션을 외부 OpenID Connect 공급자가 관리하는 ID 또는 관리되는 ID를 신뢰하도록 구성하여 애플리케이션에 대한 토큰을 받고 Azure 리소스에 액세스할 수 있습니다.

페더레이션 자격 증명을 사용하여 액세스 토큰을 가져오는 방법에 대한 자세한 내용은 Microsoft ID 플랫폼 및 OAuth 2.0 클라이언트 자격 증명 흐름참조하세요.

다음 단계

웹 API 노출하기

앱을 등록한 후 웹 API를 노출하도록 구성할 수 있습니다. 방법을 알아보려면 다음을 참조하세요.

웹 API를 공개하도록 애플리케이션 구성

샘플 코드를 탐색

Microsoft ID 플랫폼은 다양한 애플리케이션 유형 및 플랫폼에 맞게 조정된 다양한 코드 샘플을 제공합니다. 이러한 샘플을 탐색하려면 다음을 참조하세요.

Microsoft ID 플랫폼 코드 샘플