Azure Active Directory B2C에 대한 개발자 정보
Azure Active Directory B2C 사용자 흐름 및 사용자 지정 정책이 일반 공급됩니다. Azure AD B2C 기능은 지속적으로 개발 중이므로 대부분의 기능이 일반 제공되더라도 일부 기능은 소프트웨어 릴리스 주기에서 서로 다른 단계에 있습니다. 이 문서에서는 Azure AD B2C의 누적 개선 사항에 대해 설명하고 기능 가용성을 지정합니다.
공개 미리 보기 기능에 대한 사용 조건
공개 미리 보기 기능은 평가 목적으로만 사용하는 것이 좋습니다.
서비스 수준 계약(SLA)은 공개 미리 보기 기능에 적용되지 않습니다.
공개 미리 보기 기능에 대한 지원 요청은 정식 지원 채널을 통해 제출할 수 있습니다.
기능 가용성
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 중국의 사용자 흐름 | 중국의 사용자 지정 정책 | 주의 |
|---|---|---|---|---|---|
| 이메일 및 암호로 등록 및 로그인합니다. | GA | GA | GA | GA | |
| 사용자 이름 및 암호로 등록 및 로그인합니다. | GA | GA | GA | GA | |
| 프로필 편집 흐름 | GA | GA | GA | GA | |
| 셀프 서비스 암호 재설정 | GA | GA | GA | GA | |
| 암호 재설정 강제 적용 | GA | GA | 해당 없음 | GA | |
| 전화 등록 및 로그인 | GA | GA | 해당 없음 | GA | |
| 스마트 잠금 | GA | GA | 해당 없음 | 해당 없음 | |
| 조건부 액세스 | GA | GA | 해당 없음 | 제한적 가용성 | SAML 애플리케이션에는 사용할 수 없습니다. |
| ID 보호 | GA | GA | 해당 없음 | 해당 없음 | |
| CAPTCHA | 미리 보기를 | 프리뷰 | 해당 없음 | 해당 없음 | 로컬 계정에 등록하거나 로그인하는 동안 사용하도록 설정할 수 있습니다. |
OAuth 2.0 애플리케이션 권한 부여 흐름
다음 표에는 Azure AD B2C와 통합할 수 있는 OAuth 2.0 및 OpenId Connect 애플리케이션 인증 흐름이 요약되어 있습니다.
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| 인증 코드 | GA | GA | 사용자가 웹 애플리케이션에 로그인할 수 있습니다. 웹 애플리케이션은 권한 부여 코드를 받습니다. 인증 코드는 웹 API를 호출하는 토큰을 얻는 데 사용됩니다. |
| PKCE가 있는 권한 부여 코드 | GA | GA | 사용자가 모바일 및 단일 페이지 애플리케이션에 로그인할 수 있습니다. 애플리케이션은 PKCE(코드 교환용 증명 키)를 사용하여 인증 코드를 받습니다. 인증 코드는 웹 API를 호출하는 토큰을 얻는 데 사용됩니다. |
| 클라이언트 자격 증명 흐름 | 미리 보기 | 미리 보기 | 애플리케이션의 ID를 사용하여 웹에 호스트된 리소스에 액세스할 수 있습니다. 일반적으로 사용자의 직접적인 상호 작용 없이 백그라운드에서 실행해야 하는 서버 간 상호 작용에 사용됩니다. |
| 디바이스 권한 부여 | 해당 없음 | 해당 없음 | 사용자가 스마트 TV, IoT 디바이스 또는 프린터와 같은 입력이 제한된 디바이스에 로그인할 수 있습니다. |
| 암시적 흐름 | GA | GA | 사용자가 단일 페이지 애플리케이션에 로그인할 수 있습니다. 앱은 백 엔드 서버 자격 증명 교환을 수행하지 않고 토큰을 직접 가져옵니다. 참고: SPA를 지원하는 데 권장되는 흐름은 OAuth 2.0 권한 부여 코드 흐름(PKCE 포함)입니다. |
| On-Behalf-Of | 해당 없음 | 해당 없음 | 애플리케이션이 서비스 또는 웹 API를 호출하고 차례로 다른 서비스 또는 웹 API를 호출해야 합니다. 중간 계층 서비스가 다운스트림 서비스에 인증된 요청을 수행하려면 권한 부여 헤더에 클라이언트 자격 증명 토큰을 전달합니다. 필요에 따라 Azure AD B2C 사용자의 토큰에 사용자 지정 헤더를 포함할 수 있습니다. |
| OpenId Connect | GA | GA | OpenID Connect는 클라이언트가 사용자의 신원을 확인할 수 있도록 하는 보안 토큰인 ID 토큰의 개념을 도입했습니다. |
| OpenId Connect 하이브리드 흐름 | GA | GA | 웹 애플리케이션이 권한 부여 코드와 함께 권한 부여 요청에서 ID 토큰을 검색할 수 있도록 허용합니다. |
| ROPC(리소스 소유자 암호 자격 증명) | GA | GA | 모바일 애플리케이션이 해당 암호를 직접 처리하여 사용자가 로그인할 수 있도록 허용합니다. |
| 로그아웃 | GA | GA | |
| Single Sign-Out | 해당 없음 | 프리뷰 |
OAuth 2.0 옵션
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| 소셜 공급자로 로그인 리디렉션 | GA | GA | 쿼리 문자열 매개 변수 domain_hint. |
| 로그인 이름 미리 채우기 | GA | GA | 쿼리 문자열 매개 변수 login_hint. |
client_assertion을 통해 사용자 경험에 JSON 삽입 |
해당 없음 | 더 이상 사용되지 않음 | |
| 사용자 경험에 id_token_hint로 JSON 삽입 | 해당 없음 | GA | |
| 애플리케이션에 ID 공급자 토큰 전달 | 미리 보기 | 미리 보기 | 예: Facebook에서 앱으로 전달 |
| KMSI(로그인 유지) | GA | GA |
SAML2 애플리케이션 인증 흐름
다음 표에는 Azure AD B2C와 통합할 수 있는 SAML(Security Assertion Markup Language) 애플리케이션 인증 흐름이 요약되어 있습니다.
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| SP 시작 | 해당 없음 | GA | POST 바인딩 및 리디렉션 바인딩 |
| IDP 시작 | 해당 없음 | GA | 여기서 시작 ID 공급자는 Azure AD B2C입니다. |
사용자 환경 사용자 지정
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| 다중 언어 지원 | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| 사용자 지정 도메인 | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| 사용자 지정 이메일 확인 | 해당 없음 | GA | |
| 기본 제공 템플릿을 사용하여 사용자 인터페이스 사용자 지정 | GA | GA | |
| 사용자 지정 템플릿을 사용하여 사용자 인터페이스 사용자 지정 | GA | GA | HTML 템플릿을 사용합니다. |
| 페이지 레이아웃 버전 | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| JavaScript | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| 포함된 로그인 환경 | 해당 없음 | 프리뷰 | 인라인 프레임 요소 <iframe>을 사용합니다. |
| 암호 복잡도 | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| 메일 확인을 사용하지 않도록 설정 | GA | GA | 프로덕션 환경에는 권장하지 않음. 등록 프로세스에서 전자 메일 확인을 사용하지 않도록 설정하면 스팸 메일이 수신될 수 있습니다. |
ID 공급자
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| AD FS | 해당 없음 | GA | |
| Amazon | GA | GA | |
| 사과 | GA | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| Microsoft Entra ID(단일 테넌트) | GA | GA | |
| Microsoft Entra ID(다중 테넌트) | 해당 없음 | GA | |
| Azure AD B2C | GA | GA | |
| eBay | 해당 없음 | 프리뷰 | |
| GA | GA | ||
| GitHub | 프리뷰 | GA | |
| GA | GA | ||
| ID.me | GA | GA | |
| GA | GA | ||
| Microsoft 계정 | GA | GA | |
| 프리뷰 | GA | ||
| Salesforce | GA | GA | |
| Salesforce(SAML 프로토콜) | 해당 없음 | GA | |
| 프리뷰 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. | |
| 프리뷰 | GA | ||
| X | GA | GA |
일반 ID 공급자
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| OAuth2 | 해당 없음 | GA | 예를 들어 Google, GitHub 및 Facebook이 있습니다. |
| OAuth1 | 해당 없음 | GA | 예를 들어 X입니다. |
| OpenID Connect | GA | GA | 예를 들어 Microsoft Entra ID입니다. |
| SAML2 | 해당 없음 | GA | 예를 들어, Salesforce, AD-FS가 있습니다. |
| WSFED | 해당 없음 | 해당 없음 |
API 커넥터
| 기능 | 사용자 흐름 | 사용자 지정 정책 | 주의 |
|---|---|---|---|
| 가입하는 동안 ID 공급자와 페더레이션 후 | GA | GA | |
| 사용자를 만들기 전 | GA | GA | |
| 토큰에 애플리케이션 클레임을 포함하기 전 | 프리뷰 | GA | |
| 기본 인증으로 보안 | GA | GA | |
| 클라이언트 인증서 인증으로 보안 | GA | GA | |
| OAuth2 전달자 인증으로 보안 | 해당 없음 | GA | |
| 보안 API 키 인증 | 해당 없음 | GA |
사용자 지정 정책 기능
세션 관리
| 기능 | 사용자 지정 정책 | 주의 |
|---|---|---|
| 기본 SSO 세션 공급자 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| 외부 로그인 세션 공급자 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| SAML SSO 세션 공급자 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| OAuth SSO 세션 공급자 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
구성 요소
| 기능 | 사용자 지정 정책 | 주의 |
|---|---|---|
| 인증 앱에서 TOTP(시간 제약이 있는 일회성 암호)를 사용하는 MFA | GA | 사용자는 Microsoft Authenticator 앱과 같이 TOTP 인증을 지원하는 모든 인증 앱을 사용할 수 있습니다. |
| Phone 요소 인증 | GA | 중국 클라우드에서 사용할 수 있지만 사용자 지정 정책에만 사용할 수 있습니다. |
| Microsoft Entra 다단계 인증 | GA | |
| 일회용 암호 | GA | |
| 로컬 디렉터리로 ID Microsoft Entra | GA | |
| 조건자 유효성 검사 | GA | 예: 암호 복잡성 |
| 표시 컨트롤 | GA | |
| 하위 사용자 경험 | GA |
개발자 인터페이스
| 기능 | 사용자 지정 정책 | 주의 |
|---|---|---|
| Azure Portal | GA | |
| Application Insights 사용자 경험 로그 | 프리뷰 | 개발 중 문제를 해결하는 데 사용됨 |
| Application Insights 이벤트 로그 | 프리뷰 | 프로덕션 환경에서 사용자 흐름 및 사용자 지정 정책을 모니터링하는 데 사용됩니다. |
기타 기능
| 기능 | 상태 | 주의 |
|---|---|---|
| Go-Local 추가 기능 | GA | Azure AD B2C의 Go-Local 추가 항목을 사용하면 Azure AD B2C를 만들 때 선택한 국가/지역 내에서 Azure AD B2C 테넌트를 만들 수 있습니다. |
사용자 지정 정책 기능 집합 개발자의 책임
수동 정책 구성은 Azure AD B2C의 기본 플랫폼에 대해 낮은 수준의 액세스 권한을 부여하여 고유한 보안 프레임워크를 생성합니다. 다각적인 사용자 지정 ID 공급자, 트러스트 관계, 외부 서비스와의 통합 및 단계별 워크플로를 사용하려면 설계 및 구성에 대한 체계적인 접근 방식이 필요합니다.
사용자 지정 정책 기능 집합을 사용하는 개발자는 다음 지침을 준수해야 합니다.
- 사용자 지정 정책 및 키/비밀 관리의 구성 언어에 익숙해집니다. 자세한 내용은 TrustFrameworkPolicy를 참조하세요.
- 시나리오 및 사용자 지정 통합을 직접 소유합니다. 작업을 문서화하고 라이브 사이트 조직에 알립니다.
- 체계적인 시나리오 테스트를 수행합니다.
- 소프트웨어 개발 및 준비 모범 사례를 따릅니다. 최소한 하나 이상의 개발 및 테스트 환경을 권장합니다.
- 사용자와 통합된 ID 공급자 및 서비스에 대한 새로운 개발 정보를 바로 입수합니다. 예를 들어 기밀 변경 내용과 예정되었거나 갑작스럽게 진행되는 서비스 변경 내용을 추적합니다.
- 활성 모니터링을 설정하고 프로덕션 환경의 응답성을 모니터링합니다. Application Insights 통합에 대한 자세한 내용은 Azure Active Directory B2C: 로그 수집을 참조하세요.
- Azure 구독에서 연락처 전자 메일 주소를 최신 상태로 유지하고 Microsoft 라이브 사이트 팀 전자 메일에 즉시 응답합니다.
- Microsoft 라이브 사이트 팀에서 권고할 때 시기 적절하게 조치를 취합니다.
다음 단계
- Azure AD B2C에 사용할 수 있는 Microsoft Graph 작업을 확인합니다.
- 사용자 지정 정책 및 사용자 흐름과의 차이점에 대해 자세히 알아보기