Azure API Management에서 Azure Active Directory B2C를 사용하여 개발자 계정에 권한을 부여하는 방법
적용 대상: 개발자 | 기본 v2 | 표준 | 표준 v2 | 프리미엄 | 프리미엄 v2
Azure Active Directory B2C는 소비자 지향 웹 및 모바일 애플리케이션을 위한 클라우드 ID 관리 솔루션입니다. 이를 사용하여 API Management 개발자 포털에 대한 액세스를 관리할 수 있습니다.
이 자습서에서는 Azure Active Directory B2C와 통합하기 위해 API Management 서비스에 필요한 구성을 알아봅니다.
개발자 포털을 보호하는 옵션에 대한 개요는 API Management 개발자 포털에 대한 액세스 보안을 참조하세요.
Important
- 이 문서는 Microsoft 인증 라이브러리(MSAL)를 사용하여 Azure AD B2C 앱을 구성하는 단계로 업데이트되었습니다.
- 이전에 ADAL(Azure AD 인증 라이브러리)를 사용하여 사용자 로그인을 위해 Azure AD B2C 앱을 구성한 경우 MSAL로 마이그레이션하는 것이 좋습니다.
필수 조건
- 애플리케이션을 만들 Azure Active Directory B2C 테넌트입니다. 자세한 내용은 Azure Active Directory B2C 개요를 참조하세요.
- API Management 인스턴스. 아직 없으면 Azure API Management 인스턴스를 만듭니다.
등록 및 로그인 사용자 흐름 구성
이 섹션에서는 등록 및 로그인 정책을 모두 포함하는 Azure Active Directory B2C 테넌트에 사용자 흐름을 만듭니다. 자세한 단계는 Azure Active Directory B2C에서 사용자 흐름 및 사용자 지정 정책 만들기를 참조하세요.
- Azure Portal에서 Azure Active Directory B2C 테넌트에 액세스합니다.
- 정책에서 사용자 흐름>+ 새 사용자 흐름을 선택합니다.
- 사용자 흐름 만들기 탭에서 가입 및 로그인 사용자 흐름을 선택합니다. 권장 버전을 선택한 다음, 만들기를 선택합니다.
- 만들기 페이지에서 다음 정보를 제공합니다.
- 사용자 흐름의 고유한 이름을 입력합니다.
- ID 공급자에서 이메일 등록을 선택합니다.
- 사용자 특성 및 토큰 클레임에서 API Management 개발자 포털에 필요한 다음 특성 및 클레임을 선택합니다.
특성 수집: 이름, 성
클레임 반환: 이름, 성, 이메일 주소, 사용자의 ObjectID
- 만들기를 실행합니다.
개발자 포털에 대한 ID 공급자 구성
별도의 Azure Portal 탭에서 API Management 인스턴스로 이동합니다.
개발자 포털에서 ID>+ 추가를 선택합니다.
ID 공급자 추가 페이지에서 Azure Active Directory B2C를 선택합니다. 선택되면 다른 필요한 정보를 입력할 수 있습니다.
- 클라이언트 라이브러리 드롭다운에서 MSAL을 선택합니다.
- 다른 설정을 추가하려면 문서 뒷부분의 단계를 참조하세요.
ID 공급자 추가 창에서 리디렉션 URL을 복사합니다.
Azure Portal에서 Azure Active Directory B2C 테넌트의 브라우저 탭으로 돌아갑니다. 앱 등록>+ 새 등록을 선택합니다.
애플리케이션 등록 페이지에서 애플리케이션의 등록 정보를 입력합니다.
- 이름 섹션에서 선택한 애플리케이션 이름을 입력합니다.
- 지원되는 계정 유형 섹션에서 모든 조직 디렉터리의 계정(사용자 흐름으로 사용자 인증용)을 선택합니다. 자세한 내용은 애플리케이션 등록을 참조하세요.
- 리디렉션 URI에서 SPA(단일 페이지 애플리케이션)을 선택하고 이전 단계에서 저장한 리디렉션 URL을 붙여넣습니다.
- 사용 권한에서 openid 및 오프라인 액세스 권한에 대한 관리자 동의 부여를 선택합니다.
- 등록을 선택하여 애플리케이션을 만듭니다.
앱 개요 페이지에서 애플리케이션(클라이언트) ID를 찾아 값을 클립보드에 복사합니다.
API Management ID 공급자 추가 페이지로 다시 전환하고 ID를 클라이언트 ID 텍스트 상자에 붙여 넣습니다.
B2C 앱 등록으로 다시 전환합니다. 인증서 및 비밀>+ 새 클라이언트 암호를 선택합니다.
- 클라이언트 암호 추가 페이지에서 설명을 입력하고 추가를 선택합니다.
- 안전한 위치에 값을 기록합니다. 이 비밀 값은 이 페이지에서 나가면 다시 표시되지 않습니다.
API Management ID 공급자 추가 페이지로 다시 전환하고 키를 클라이언트 암호 텍스트 상자에 붙여 넣습니다.
ID 공급자 추가 페이지에서 계속 진행합니다.
로그인 테넌트에서 Azure Active Directory B2C 테넌트의 도메인 이름을 지정합니다.
권한 필드를 사용하면 사용할 Azure Active Directory B2C 로그인 URL을 제어할 수 있습니다. 값을 <your_b2c_tenant_name>.b2clogin.com으로 설정합니다.
이전 단계에서 만든 사용자 흐름의 이름을 사용하여 가입 정책 및 로그인 정책을 지정합니다.
선택적으로 프로필 편집 정책 및 암호 재설정 정책을 제공합니다.
원하는 구성이 지정되면 추가를 선택합니다.
Azure AD B2C 구성을 적용하려면 개발자 포털을 다시 게시합니다. 왼쪽 메뉴의 개발자 포털에서 포털 개요>게시를 선택합니다.
변경 내용이 저장되면 개발자는 Azure Active Directory B2C를 사용하여 새 계정을 만들고 개발자 포털에 로그인할 수 있습니다.
MSAL로 마이그레이션
이전에 ADAL을 사용하여 사용자 로그인을 위해 Azure AD B2C 앱을 구성한 경우 포털을 사용하여 앱을 MSAL로 마이그레이션하고 API Management에서 ID 공급자를 업데이트할 수 있습니다.
MSAL 호환성을 위해 Azure AD B2C 앱 업데이트
Azure AD B2C 앱을 업데이트하는 단계는 리디렉션 URI를 단일 페이지 애플리케이션 유형으로 전환을 참조하세요.
ID 공급자 구성 업데이트
- API Management 인스턴스의 왼쪽 메뉴에 있는 개발자 포털에서 ID를 선택합니다.
- 목록에서 Azure Active Directory B2C를 선택합니다.
- 클라이언트 라이브러리 드롭다운에서 MSAL을 선택합니다.
- 업데이트를 선택합니다.
- 개발자 포털을 다시 게시합니다.
개발자 포털 - Azure Active Directory B2C 계정 인증 추가
Important
변경 사항을 적용하려면 Azure Active Directory B2C 구성 설정을 만들거나 업데이트할 때 개발자 포털을 다시 게시해야 합니다.
개발자 포털에서는 로그인 단추: OAuth 위젯을 사용하여 Azure Active Directory B2C로 로그인할 수 있습니다. 위젯은 기본 개발자 포털 콘텐츠의 로그인 페이지에 이미 포함되어 있습니다.
Azure Active Directory B2C를 사용하여 로그인하려면 새 브라우저 창을 열고 개발자 포털로 이동합니다. 로그인을 선택합니다.
로그인 페이지에서 Azure Active Directory B2C를 선택합니다.
이전 섹션에서 구성하였던 등록 정책으로 리디렉션됩니다. Active Directory B2C 테넌트의 이메일 주소를 사용하여 등록하도록 선택합니다.
등록이 완료되면 개발자 포털로 다시 리디렉션됩니다. 이제 API Management 서비스 인스턴스에 대한 개발자 포털에 로그인됩니다.
새 사용자가 Azure Active Directory B2C로 로그인할 때마다 새 계정이 자동으로 만들어지지만 동일한 위젯을 등록 페이지에 추가하는 것을 고려할 수 있습니다.
등록 양식: OAuth 위젯은 OAuth로 등록하는 데 사용되는 양식을 나타냅니다.
다음 단계
- Azure Active Directory B2C 개요
- Azure Active Directory B2C: 확장할 수 있는 정책 프레임워크
- MSAL 및 MSAL v2로 마이그레이션에 대해 자세히 알아보기
- Azure Active Directory B2C에서 Microsoft 계정을 ID 공급자로 사용
- Azure Active Directory B2C에서 Google 계정을 ID 공급자로 사용
- Azure Active Directory B2C에서 LinkedIn 계정을 ID 공급자로 사용
- Azure Active Directory B2C에서 Facebook 계정을 ID 공급자로 사용