Azure Active Directory B2C 테넌트에 웹 API 애플리케이션 추가하기

이 문서에서는 액세스 토큰을 제공하는 클라이언트 애플리케이션의 요청을 수용하고 응답할 수 있도록 Azure AD B2C(Azure Active Directory B2C) 테넌트에 웹 API 리소스를 등록하는 방법을 보여 줍니다.

Azure AD B2C 테넌트에 애플리케이션을 등록하려면 Azure Portal의 새로운 통합 앱 등록 환경 또는 레거시 애플리케이션(레거시) 환경을 사용할 수 있습니다. 새 환경에 대해 자세히 알아보세요.

앱 등록

1. Azure Portal에 로그인합니다.
2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
3. 왼쪽 메뉴에서 Azure AD B2C를 선택합니다. 또는 모든 서비스를 선택하고 Azure AD B2C를 검색하여 선택합니다.
4. 앱 등록을 선택한 다음, 새 등록을 선택합니다.
5. 애플리케이션의 이름을 입력합니다. 예를 들어 webapi1과 같습니다.
6. 리디렉션 URI에서 Web을 선택한 다음, Azure AD B2C에서 애플리케이션이 요청한 토큰을 반환해야 하는 엔드포인트를 입력합니다. 프로덕션 애플리케이션에서 리디렉션 URI를 https://localhost:5000과 같은 엔드포인트로 설정할 수 있습니다. 개발 또는 테스트 중에 토큰의 디코딩된 콘텐츠를 표시하는 Microsoft 자체 웹 애플리케이션인 https://jwt.ms로 설정할 수 있습니다(토큰의 콘텐츠는 브라우저를 떠나지 않음). 언제든지 등록된 애플리케이션에서 리디렉션 URI를 추가하고 수정할 수 있습니다.
7. 등록을 선택합니다.
8. 웹 API의 코드에서 사용할 애플리케이션(클라이언트) ID를 기록합니다.

애플리케이션(레거시)

1. Azure Portal에 로그인합니다.
2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
3. Azure Portal의 왼쪽 상단 모서리에서 모든 서비스를 선택하고 Azure AD B2C를 검색하여 선택합니다.
4. 애플리케이션(레거시)을 선택한 다음, 추가를 선택합니다.
5. 애플리케이션의 이름을 입력합니다. 예를 들어 webapi1과 같습니다.
6. 웹앱/웹 API 포함 및 암시적 흐름 허용에 예를 선택합니다.
7. 회신 URL에는 Azure AD B2C에서 애플리케이션이 요청한 토큰을 반환하는 엔드포인트를 입력합니다. 프로덕션 애플리케이션에서 회신 URL을 https://localhost:44332와 같은 값으로 설정할 수 있습니다. 테스트를 위해 회신 URL을 https://jwt.ms로 설정합니다.
8. 앱 ID URI에 웹 API에 사용하는 식별자를 입력합니다. 도메인을 포함하는 전체 식별자 URI가 생성됩니다. 예: https://contosotenant.onmicrosoft.com/api.
9. 만들기를 실행합니다.
10. 속성 페이지에서 웹 애플리케이션을 구성할 때 사용할 애플리케이션 ID를 기록합니다.

범위 구성

범위는 보호된 리소스에 대한 액세스를 제어하는 방법을 제공합니다. 범위는 웹 API에서 범위 기반 액세스 제어를 구현하는 데 사용됩니다. 예를 들어 웹 API 사용자가 읽기 및 쓰기 액세스 권한을 모두 갖고 있을 수도 있고, 읽기 권한만 갖고 있을 수도 있습니다. 이 자습서에서는 범위를 사용하여 웹 API에 대한 읽기 및 쓰기 권한을 정의합니다.

앱 등록

1. 앱 등록을 선택합니다.
2. webapi1 애플리케이션을 선택하여 해당 개요 페이지를 엽니다.
3. 관리에서 API 표시를 선택합니다.
4. 애플리케이션 ID URI 옆에 있는 추가 링크를 선택합니다.
5. 기본값(GUID)을 api로 바꾼 다음, 저장을 선택합니다. https://your-tenant-name.onmicrosoft.com/api 형식의 전체 URI가 표시됩니다. 웹 애플리케이션이 API에 대한 액세스 토큰을 요청하는 경우 API에 대해 정의한 각 범위의 접두사로 이 URI가 추가됩니다.
6. 이 API에서 정의한 범위에서 범위 추가를 선택합니다.
7. 다음 값을 입력하여 API에 대한 읽기 권한을 정의하는 범위를 만든 다음, 범위 추가를 선택합니다.
   1. 범위 이름: demo.read
   2. 관리자 동의 표시 이름: Read access to demo API
   3. 관리자 동의 설명: Allows read access to the demo API
8. 범위 추가를 선택하고 다음 값을 입력하여 API에 대한 쓰기 권한을 정의하는 범위를 추가하고 범위 추가를 선택합니다.
   1. 범위 이름: demo.write
   2. 관리자 동의 표시 이름: Write access to demo API
   3. 관리자 동의 설명: Allows write access to the demo API

애플리케이션(레거시)

1. 애플리케이션(레거시)을 선택합니다.
2. webapi1 애플리케이션을 선택하여 해당 속성 페이지를 엽니다.
3. 게시된 범위를 선택합니다. 게시된 범위는 클라이언트 애플리케이션에 웹 API에 대한 특정 권한을 부여하는 데 사용할 수 있습니다.
4. 범위에 대해 demo.read를 입력하고, 설명에 대해 Read access to the web API를 입력합니다.
5. 범위에 대해 demo.write를 입력하고, 설명에 대해 Write access to the web API를 입력합니다.
6. 저장을 선택합니다.

권한 부여

애플리케이션에서 보호된 웹 API를 호출하려면 애플리케이션 사용 권한을 API에 부여해야 합니다. 예를 들어 자습서: Azure Active Directory B2C에서 애플리케이션 등록에서 webapp1이라는 웹 애플리케이션이 Azure AD B2C에 등록됩니다. 이 애플리케이션을 사용하여 웹 API를 호출할 수 있습니다.

앱 등록

1. 앱 등록을 선택한 다음, API에 대한 액세스 권한이 있어야 하는 웹 애플리케이션을 선택합니다. 예를 들어 webapp1과 같습니다.
2. 관리 아래에서 API 권한을 선택합니다.
3. 구성된 사용 권한 아래에서 권한 추가를 선택합니다.
4. 내 API 탭을 선택합니다.
5. 웹 애플리케이션에 액세스 권한을 부여할 API를 선택합니다. 예를 들어 webapi1과 같습니다.
6. 권한 아래에서 데모를 확장한 다음, 앞에서 정의한 범위를 선택합니다. demo.read 및 demo.write가 예입니다.
7. 권한 추가를 선택합니다.
8. (테넌트 이름)에 대한 관리자 동의 허용을 선택합니다.
9. 계정을 선택하라는 메시지가 표시되면 현재 로그인된 관리자 계정을 선택하거나 Azure AD B2C 테넌트에서 최소한 클라우드 애플리케이션 관리자 역할이 할당된 계정으로 로그인합니다.
10. 예를 선택합니다.
11. 새로 고침을 선택한 다음, 두 범위 모두 상태 아래에 "...에 대해 허용됨"이 표시되는지 확인합니다.

애플리케이션(레거시)

1. 애플리케이션(레거시)을 선택한 다음, API에 대한 액세스 권한이 있어야 하는 웹 애플리케이션을 선택합니다. 예를 들어 webapp1과 같습니다.
2. API 액세스를 선택한 다음, 추가를 선택합니다.
3. API 선택 드롭다운에서 웹 애플리케이션에 액세스 권한을 부여할 API를 선택합니다. 예를 들어 webapi1과 같습니다.
4. 범위 선택 드롭다운에서 이전에 정의한 범위를 선택합니다. demo.read 및 demo.write가 예입니다.
5. 확인을 선택합니다.

애플리케이션이 보호된 웹 API를 호출하도록 등록됩니다. 사용자가 Azure AD B2C로 인증하여 애플리케이션을 사용합니다. 애플리케이션은 Azure AD B2C에서 권한을 부여받아 보호된 웹 API에 액세스합니다.