다음을 통해 공유

Microsoft Entra ID를 사용하여 Azure Container Apps에서 인증 및 권한 부여 사용

  • 아티클

이 문서에서는 앱이 인증 공급자로 Microsoft ID 플랫폼을 사용하여 사용자를 로그인하도록 Azure Container Apps에 대한 인증을 구성하는 방법을 보여 줍니다.

Container Apps 인증 기능은 Microsoft ID 플랫폼을 사용하여 앱 등록을 자동으로 만들 수 있습니다. 사용자 또는 디렉터리 관리자가 별도로 만든 등록을 사용할 수도 있습니다.

옵션 1: 자동으로 새 앱 등록 만들기

이 옵션은 인증 설정을 간소화하며 몇 단계만 진행하면 됩니다.

  1. Azure Portal에 로그인하고 IoT Hub로 이동합니다.

  2. 왼쪽 메뉴에서 인증을 선택합니다. ID 공급자 추가를 선택합니다.

  3. ID 공급자 드롭다운에서 Microsoft를 선택합니다. 새 등록을 만드는 옵션이 기본적으로 선택되어 있습니다. 등록의 이름 또는 지원되는 계정 유형을 변경할 수 있습니다.

    클라이언트 암호가 만들어져 컨테이너 앱에 비밀로 저장됩니다.

  4. 이 애플리케이션에 대한 첫 번째 ID 공급자를 구성하는 경우 Container Apps 인증 설정 섹션이 표시됩니다. 그렇지 않으면 다음 단계로 넘어갑니다.

    이러한 옵션은 애플리케이션이 인증되지 않은 요청에 응답하는 방법을 결정하며 기본 선택 항목은 이 새 공급자를 사용하여 로그인하도록 모든 요청을 리디렉션합니다. 지금 이 동작을 사용자 지정하거나, 나중에 기본 인증 화면에서 인증 설정 옆의 편집을 선택하여 이 설정을 조정할 수 있습니다. 이러한 옵션에 대한 자세한 정보는 인증 흐름을 참조하세요.

  5. (선택 사항) 다음: 권한을 선택하고 애플리케이션에 필요한 모든 범위를 추가합니다. 이는 앱 등록에 추가되지만 나중에 변경할 수도 있습니다.

  6. 추가를 선택합니다.

이제 앱에서 인증을 위해 Microsoft ID 플랫폼을 사용할 준비가 되었습니다. 공급자는 인증 화면에 나열됩니다. 여기에서 공급자 구성을 편집하거나 삭제할 수 있습니다.

옵션 2: 별도로 만든 기존 등록 사용

등록 세부 정보를 사용하여 등록을 사용자 지정하고 Container Apps 인증을 구성하여 Microsoft ID 플랫폼용 애플리케이션을 수동으로 등록할 수도 있습니다. 이 방식은 애플리케이션이 정의된 테넌트가 아닌 다른 Microsoft Entra 테넌트의 앱 등록을 사용하려는 경우에 유용합니다.

Microsoft Entra ID에서 컨테이너 앱에 대한 앱 등록 만들기

먼저 앱 등록을 만듭니다. 이렇게 하려면 다음 정보를 수집합니다. 이 정보는 나중에 컨테이너 앱에서 인증을 구성할 때 필요합니다.

  • Client ID
  • 테넌트 ID
  • 클라이언트 암호(선택 사항)
  • 응용 프로그램 ID URI

앱을 등록하려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인하고 Container Apps를 검색하여 선택한 다음, 자신의 앱을 선택합니다. 앱 URL을 적어 둡니다. 이를 사용하여 Microsoft Entra 앱 등록을 구성합니다.

  2. 포털 메뉴에서 Microsoft Entra ID를 선택한 다음, 앱 등록 탭으로 이동하여 새 등록을 선택합니다.

  3. 애플리케이션 등록 페이지에서 앱 등록의 이름을 입력합니다.

  4. 리디렉션 URI에서 을 선택하고 <app-url>/.auth/login/aad/callback를 입력합니다. 예: https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

  5. 등록을 선택합니다.

  6. 앱 등록을 만든 후에는 나중에 사용할 수 있도록 애플리케이션(클라이언트) ID디렉터리(테넌트) ID를 복사합니다.

  7. 인증을 선택합니다. 암시적 권한 부여 및 하이브리드 흐름에서 ID 토큰을 사용하도록 설정하여 OpenID Connect 사용자가 Container Apps에서 로그인하는 것을 허용합니다. 저장을 선택합니다.

  8. (선택 사항) 브랜딩을 선택합니다. 홈페이지 URL에서 컨테이너 앱의 URL을 입력하고 저장을 선택합니다.

  9. API 노출을 선택하고 애플리케이션 ID URI 옆에 있는 설정을 선택합니다. ID 값은 요청된 토큰에 액세스 권한을 부여할 수 있는 리소스로 사용될 때 애플리케이션을 고유하게 식별합니다. 이 값은 만드는 범위에 대한 접두사로도 사용됩니다.

    단일 테넌트 앱의 경우 양식 api://<application-client-id>에 있는 기본값을 사용할 수 있습니다. 테넌트에 대해 확인된 도메인 중 하나를 기반으로 보다 읽기 쉬운 URI(예: https://contoso.com/api)를 지정할 수도 있습니다. 다중 테넌트 앱의 경우 사용자 지정 URI를 제공해야 합니다. 앱 ID URI에 허용되는 형식에 대한 자세한 내용은 앱 등록 모범 사례 참조를 참조하세요.

    값은 자동으로 저장됩니다.

  10. 범위 추가를 선택합니다.

    1. 범위 추가에서 애플리케이션 ID URI는 이전 단계에서 설정한 값입니다. 저장하고 계속을 선택합니다.
    2. 범위 이름user_impersonation을 입력합니다.
    3. 텍스트 상자에는 동의 페이지에서 사용자에게 표시할 동의 범위 이름 및 설명을 입력합니다. 예를 들어 Access <애플리케이션 이름>을 입력합니다.
    4. 범위 추가를 선택합니다.

  11. (선택 사항) 클라이언트 암호를 만들려면 인증서 및 비밀>클라이언트 암호>새 클라이언트 암호를 선택합니다. 설명 및 만료를 입력하고 추가를 선택합니다. 사이트에서 해당 값을 다시 표시하지 않으므로 페이지에 표시된 클라이언트 암호 값을 복사합니다.

  12. (선택 사항) 회신 URL을 여러 개 추가하려면 인증을 선택합니다.

컨테이너 앱에서 Microsoft Entra ID 사용

  1. Azure Portal에 로그인하고 IoT Hub로 이동합니다.

  2. 왼쪽 메뉴에서 인증을 선택합니다. ID 공급자 추가를 선택합니다.

  3. ID 공급자 드롭다운에서 Microsoft를 선택합니다.

  4. 앱 등록 유형의 경우 필요한 앱 정보를 자동으로 수집하는 이 디렉터리에서 기존 앱 등록을 선택하도록 선택할 수 있습니다. 다른 테넌트의 등록이거나 등록 개체를 볼 수 있는 권한이 없는 경우 기존 앱 등록의 세부 정보 제공을 선택합니다. 이 옵션의 경우 다음 구성 정보를 입력해야 합니다.

    필드 설명
    애플리케이션(클라이언트) ID 앱 등록의 애플리케이션(클라이언트) ID를 사용합니다.
    클라이언트 암호 앱 등록에서 생성한 클라이언트 암호를 사용합니다. 클라이언트 암호를 사용하면 하이브리드 흐름이 사용되며 앱은 액세스 및 새로 고침 토큰을 반환합니다. 클라이언트 암호를 설정하지 않으면 암시적 흐름이 사용되며 ID 토큰만 반환됩니다. 공급자는 토큰을 보내고 EasyAuth 토큰 저장소에 저장됩니다.
    발급자 URL <authentication-endpoint>/<TENANT-ID>/v2.0을 사용하고, <authentication-endpoint>클라우드 환경의 인증 엔드포인트로 바꾸고(예: 글로벌 Azure는 "https://login.microsoftonline.com"), <TENANT-ID>를 앱 등록이 생성된 디렉터리(테넌트) ID로 바꿉니다. 이 값은 사용자를 올바른 Microsoft Entra 테넌트로 리디렉션하고 적절한 메타데이터를 다운로드하여 적절한 토큰 서명 키와 토큰 발급자 클레임 값을 확인하는 등의 용도로 사용됩니다. Azure AD v1을 사용하는 애플리케이션의 경우 URL에서 /v2.0을 생략합니다.
    허용되는 토큰 대상 구성된 애플리케이션(클라이언트) ID는 암시적으로 항상 허용되는 대상으로 간주됩니다. 이 값이 클라우드 또는 서버 앱을 나타내고 클라이언트 컨테이너 앱에서 인증 토큰을 수락하려는 경우(인증 토큰은 X-MS-TOKEN-AAD-ID-TOKEN 헤더에서 검색할 수 있음) 여기에 클라이언트 앱의 애플리케이션(클라이언트) ID를 추가합니다.

    클라이언트 암호는 컨테이너 앱에 비밀로 저장됩니다.

  5. 이것이 애플리케이션에 대해 구성된 첫 번째 ID 공급자인 경우 Container Apps 인증 설정 섹션도 표시됩니다. 그렇지 않으면 다음 단계로 넘어갑니다.

    이러한 옵션은 애플리케이션이 인증되지 않은 요청에 응답하는 방법을 결정하며 기본 선택 항목은 이 새 공급자를 사용하여 로그인하도록 모든 요청을 리디렉션합니다. 지금 이 동작의 사용자 지정을 변경하거나, 나중에 기본 인증 화면에서 인증 설정 옆의 편집을 선택하여 이 설정을 조정할 수 있습니다. 이러한 옵션에 대한 자세한 정보는 인증 흐름을 참조하세요.

  6. 추가를 선택합니다.

이제 앱에서 인증을 위해 Microsoft ID 플랫폼을 사용할 준비가 되었습니다. 공급자는 인증 화면에 나열됩니다. 여기에서 공급자 구성을 편집하거나 삭제할 수 있습니다.

컨테이너 앱에 액세스하도록 클라이언트 앱 구성

이전 섹션에서는 사용자를 인증하기 위해 컨테이너 앱을 등록했습니다. 이 섹션에서는 네이티브 클라이언트 또는 디먼 앱을 등록합니다. 그런 다음 사용자 또는 자신을 대신하여 컨테이너 앱에서 노출된 API에 대한 액세스를 요청할 수 있습니다. 사용자를 인증하기만 하려는 경우에는 이 섹션의 단계를 완료하지 않아도 됩니다.

네이티브 클라이언트 애플리케이션

로그인한 사용자를 대신하여 컨테이너 앱의 API에 대한 액세스를 요청하도록 네이티브 클라이언트를 등록할 수 있습니다.

  1. Azure Portal에서 Microsoft Entra ID>추가>앱 등록 선택합니다.

  2. 애플리케이션 등록 페이지에서 앱 등록의 이름을 입력합니다.

  3. 리디렉션 URI에서 퍼블릭 클라이언트(모바일 및 데스크톱)를 선택하고 URL로 <app-url>/.auth/login/aad/callback을 입력합니다. 예: https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

    참고 항목

    Microsoft Store 애플리케이션의 경우 URI로 패키지 SID를 대신 사용합니다.

  4. 만들기를 실행합니다.

  5. 앱 등록을 만든 후에는 애플리케이션(클라이언트) ID의 값을 복사합니다.

  6. API 사용 권한>사용 권한 추가>내 API를 선택합니다.

  7. 앞에서 컨테이너 앱에 대해 만든 앱 등록을 선택합니다. 앱 등록이 표시되지 않으면 Microsoft Entra ID에서 컨테이너 앱의 앱 등록 만들기에서 user_impersonation 범위를 추가했는지 확인합니다.

  8. 위임된 권한에서 user_impersonation을 선택한 다음, 사용 권한 추가를 선택합니다.

이 섹션에서는 사용자를 대신하여 컨테이너 앱에 대한 액세스를 요청할 수 있는 네이티브 클라이언트 애플리케이션을 구성했습니다.

디먼 클라이언트 애플리케이션(서비스 간 호출)

애플리케이션은 애플리케이션 대신(사용자 대신이 아님) 컨테이너 앱에서 호스트되는 웹 API를 호출하는 토큰을 획득할 수 있습니다. 이 시나리오는 로그인한 사용자가 없는 상태에서 작업을 수행하는 비대화형 디먼 애플리케이션에 유용합니다. 이 파일은 표준 OAuth 2.0 클라이언트 자격 증명 권한 부여를 사용합니다.

  1. Azure Portal에서 Microsoft Entra ID>추가>앱 등록 선택합니다.
  2. 애플리케이션 등록 페이지에서 디먼 앱 등록의 이름을 입력합니다.
  3. 디먼 애플리케이션의 경우에는 리디렉션 URI가 필요하지 않으므로 비워 둘 수 있습니다.
  4. 만들기를 실행합니다.
  5. 앱 등록을 만든 후에는 애플리케이션(클라이언트) ID의 값을 복사합니다.
  6. 인증서 및 암호>새 클라이언트 암호>추가를 선택합니다. 페이지에 표시되는 클라이언트 암호 값을 복사합니다. 다시 표시되지 않습니다.

이제 resource 매개 변수를 대상 앱의 애플리케이션 ID URI로 설정하여 클라이언트 ID 및 클라이언트 암호를 사용하여 액세스 토큰을 요청할 수 있습니다. 그런 다음, 결과적인 액세스 토큰은 표준 OAuth 2.0 인증 헤더를 사용하여 대상 앱에 제공될 수 있으며, Container Apps 인증/권한 부여는 일반적인 방법으로 토큰의 유효성을 검사하고 사용하여 이제 호출자(이 경우에는 사용자가 아닌 애플리케이션)가 인증되었음을 표시합니다.

이 프로세스를 통해 Microsoft Entra 테넌트의 모든 클라이언트 애플리케이션이 액세스 토큰을 요청하고 대상 앱에 대한 인증을 수행할 수 있습니다. 특정 클라이언트 애플리케이션만 허용하도록 권한 부여를 적용하려면 구성을 조정해야 합니다.

  1. 보호하려는 컨테이너 앱을 나타내는 앱 등록의 매니페스트에서 앱 역할을 정의합니다.
  2. 권한이 부여되어야 하는 클라이언트를 나타내는 앱 등록에서 API 사용 권한>사용 권한 추가>내 API를 선택합니다.
  3. 이전에 만든 앱 등록을 선택합니다. 앱 등록이 표시되지 않으면 앱 역할을 추가했는지 확인합니다.
  4. 애플리케이션 사용 권한에서 이전에 만든 앱 역할을 선택하고 사용 권한 추가를 선택합니다.
  5. 권한을 요청하도록 클라이언트 애플리케이션에 권한을 부여하려면 관리자 동의 부여를 선택해야 합니다.
  6. 이전 시나리오(어떤 역할도 추가되기 전)와 마찬가지로 이제 동일한 대상 resource에 대한 액세스 토큰을 요청하면, 액세스 토큰에는 클라이언트 애플리케이션에 대한 권한이 부여된 앱 역할을 포함하는 roles 클레임이 포함됩니다.
  7. 이제 대상 Container Apps 코드 내에서 예상한 역할이 토큰에 있는지 확인할 수 있습니다. Container Apps 인증 계층은 유효성 검사 단계를 수행하지 않습니다. 자세한 내용은 사용자 클레임 액세스를 참조하세요.

이 섹션에서는 자체 ID를 사용하여 컨테이너 앱에 액세스할 수 있는 디먼 클라이언트 애플리케이션을 구성했습니다.

인증된 사용자 작업

인증된 사용자 작업에 대한 자세한 내용은 다음 가이드를 사용하세요.

다음 단계

인증 및 권한 부여 개요