Microsoft Entra OAuth 앱 사용하여 Azure DevOps 빌드

Important

새 OAuth 2.0 앱을 만들 때 Azure DevOps OAuth 앱 이 2026년에 사용 중단될 예정이므로 Microsoft Entra OAuth 앱 에서 시작하세요. 블로그 게시물에서 자세히 알아보세요.

Microsoft Entra ID OAuth

Microsoft Entra ID는 자체 플랫폼을 사용하는 별도의 Microsoft 제품입니다. Microsoft Entra에서 애플리케이션을 등록하여 Azure 테넌트에 액세스하고 Azure 리소스에서 필요한 권한을 정의할 수 있으며, 그 중 Azure DevOps는 하나로 간주됩니다.

Microsoft Entra 앱과 Azure DevOps 앱은 서로에 대한 지식이 없는 별도의 엔터티입니다. 애플리케이션을 인증하는 방법은 Microsoft Entra OAuth와 Azure DevOps OAuth의 차이점이 있습니다. 한 가지, Microsoft Entra ID OAuth 앱 은 Azure DevOps 액세스 토큰이 아닌 Microsoft Entra 토큰을 발급합니다. 이러한 토큰은 만료되기 전에 표준 1시간 동안 지속됩니다.

Microsoft Entra를 통해 사용할 수 있는 새로운 기능과 설치 중에 다양한 기대치 를 이해하려면 Microsoft Entra 설명서를 철저히 읽어보는 것이 좋습니다.

Microsoft Entra를 선택하는 이유는 무엇인가요?

선도적인 IAM(ID 및 액세스 관리) 공급자 인 Microsoft Entra ID 는 팀 구성원을 관리하고 회사 리소스를 보호해야 하는 회사의 요구에 초점을 맞추고 있습니다. Microsoft Entra ID는 많은 기능을 제공합니다. 애플리케이션 개발 및 관리가 그 중 하나입니다. Microsoft Entra 애플리케이션 모델은 앱 개발자에게 더 매력적인 Azure DevOps OAuth 앱 모델에 비해 몇 가지 이점을 제공합니다.

1. Microsoft 내부 및 외부에 더 광범위한 도달 범위

Microsoft Entra에서 앱을 빌드하면 Microsoft 에코시스템의 나머지 부분을 통해 더 광범위한 범위를 가질 수 있습니다. 하나의 Microsoft Entra 앱을 사용하여 여러 Microsoft 제품에 액세스할 수 있으므로 앱 자격 증명 관리가 훨씬 간단해질 수 있습니다. SaaS 제품을 제공하는 팀은 Microsoft Entra 앱 갤러리에서 인기 있는 다른 앱과 함께 표시되는 미리 통합된 애플리케이션을 만드는 것을 고려할 수 있습니다.

2. 관리자 가시성, 동의 및 관리 향상

신뢰할 수 있는 테넌트 관리자는 회사 리소스에 액세스하는 앱, 조직에서 앱을 사용할 수 있는 앱 및 동의를 얻는 방법을 관리할 수 있습니다. Azure DevOps OAuth는 테넌트 또는 해당 관리자에 대한 지식을 모르며 사용자에게만 의존하여 잠재적으로 중요한 데이터에 대한 액세스 권한을 부여합니다. 이전에 오랫동안 잊어버린 앱에 대한 액세스 권한을 부여한 사용자는 나중에 잠재적인 침입을 위해 문을 열어 두고 있습니다. 관리자 감독은 적절한 검토 프로세스와 사용되지 않거나 권한이 없는 앱의 유용한 정리를 통해 추가적인 눈을 제공합니다.

3. 더 엄격한 조건부 액세스 제어

조건부 액세스 정책은 사용자가 Microsoft Entra 앱을 통해 조직에 액세스할 수 있고 액세스할 수 없는 적절한 액세스 제어를 설정하는 데 적합합니다. Azure DevOps OAuth 앱은 Microsoft Entra 에코시스템 외부에 있으며 모든 조건부 액세스 정책을 준수하지 않습니다.

4. 셀프 서비스 앱 구성

Microsoft Entra 앱에서 앱 범위 및 앱 소유권을 변경하는 것은 Azure DevOps OAuth 앱에 비해 상대적으로 중요합니다. 앱 개발자는 고객 지원 팀에 연락하여 Azure DevOps OAuth 앱을 변경하지만 Microsoft Entra에서는 범위를 변경할 수 있는 권한이 개발자에게 반환됩니다. 앱 소유권은 여러 사용자 간에 공유될 수 있으며, 사용자가 나중에 회사를 떠날 경우 문제가 될 수 있는 단일 사용자로 제한되지 않을 수도 있습니다.

5. 로그인 로그 사용 가능

Microsoft Entra는 내부 앱 및 리소스를 포함하는 모든 "로그인" 을 Azure 테넌트에 기록합니다. 이 추가 정보는 감사를 통해 사용할 수 없는 앱을 사용하는 사용자에 대한 더 많은 인사이트를 제공할 수 있습니다.

유용한 리소스

새로운 플랫폼을 구축하는 것은 압도적일 수 있습니다. Microsoft Entra의 OAuth 앱 개발 프로세스에 유용할 수 있는 몇 가지 유용한 링크를 제공합니다. Azure DevOps OAuth에서 Microsoft Entra OAuth로 전환하는 개발자를 위해 마이그레이션 작업 중에 고려할 유용한 팁을 제공합니다.

개발자를 위한 유용한 리소스

• Microsoft ID 플랫폼 및 OAuth 2.0 On-Behalf-Of 흐름
• 위임된 액세스 이해
• 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록
• Microsoft Graph에 액세스할 수 있는 권한 추가: Azure 리소스에서 위임된 권한을 추가하는 방법을 알아보는 데 유용합니다. Microsoft Graph 대신 리소스 목록에서 선택합니다 Azure DevOps .
• Microsoft ID 플랫폼 범위 및 사용 권한: 범위를 읽습니다.default. 범위 목록에서 Azure DevOps에 사용할 수 있는 범위를 참조하세요.
• 동의를 통해 권한 요청
• 인증 라이브러리 및 코드 샘플
• API를 통해 개인용 액세스 토큰 관리: PAT 수명 주기 관리 API를 사용하려면 Microsoft Entra 토큰이 필요하고 문서 및 관련 샘플 앱 이 Azure DevOps REST API를 사용하도록 Microsoft Entra 앱을 설정하는 데 유용한 예일 수 있습니다.
• 개발자를 위한 지원 및 도움말 옵션

관리자에게 유용한 리소스

• Microsoft Entra ID의 애플리케이션 관리란?
• 빠른 시작: 엔터프라이즈 애플리케이션 추가
• Microsoft Entra ID의 애플리케이션에 대한 동의 환경

팁 빌드 및 마이그레이션

참고 항목

Microsoft Entra OAuth 앱은 기본적으로 Azure DevOps REST API에 대한 MSA 사용자를 지원하지 않습니다. MSA 사용자를 수용해야 하거나 Microsoft Entra 및 MSA 사용자를 모두 지원하는 앱을 빌드하는 경우 Azure DevOps OAuth 앱 이 최상의 옵션으로 유지됩니다. 현재 Microsoft Entra OAuth를 통해 MSA 사용자에 대한 기본 지원을 진행하고 있습니다.

• 잘 아는 Azure DevOps ID:
  • Microsoft Entra 리소스 식별자: 499b84ac-1321-427f-aa17-267ca6975798
  • 리소스 URI: https://app.vssps.visualstudio.com
  • 앱에 .default 사용 권한이 부여된 모든 범위의 토큰을 요청할 때 범위를 사용합니다.
• 기존 앱을 마이그레이션할 때 Microsoft Entra에 없는 Azure DevOps 사용자 식별자를 사용할 수 있습니다. ReadIdentities API를 사용하여 각 ID 공급자가 사용 중인 다양한 ID를 확인하고 일치시킬 수 있습니다.

Microsoft Entra의 앱 전용 흐름

Microsoft Entra OAuth는 동의한 사용자를 대신하여 Azure DevOps 서비스에 액세스하는 앱을 빌드하는 데 권장되는 솔루션입니다.

대신 작동하는 애플리케이션을 빌드하려는 경우 서비스 주체 지원에 대한 설명서를 살펴보세요. 이러한 문서에서는 사용자 권한에 의존하지 않는 서비스 주체 또는 관리 ID를 설정하여 조직 리소스에 대해 작업하는 대신 자체 권한에만 의존하는 방법을 자세히 설명합니다. 이 인증 메커니즘은 팀을 위한 자동화된 도구를 빌드하는 데 권장되는 인증입니다.