Azure AD B2C로 OpenID Connect 공급자 설정
Azure Active Directory(Azure AD) B2C는 Power Pages 사이트의 방문자를 인증하는 데 사용할 수 있는 OpenID Connect ID 공급자 중 하나입니다. Open ID Connect 사양을 준수하는 모든 ID 공급자를 사용할 수 있습니다.
이 문서는 다음 단계를 설명합니다.
노트
사이트의 인증 설정에 대한 변경 사항이 사이트에 반영되는 데 몇 분 정도 걸릴 수 있습니다. 변경 사항을 즉시 보려면 관리 센터에서 사이트를 다시 시작하십시오.
Power Pages에서 Azure AD B2C 설정
Azure AD B2C를 사이트의 ID 공급자로 설정합니다.
Power Pages 사이트에서 보안>ID 공급자를 선택합니다.
ID 공급자가 표시되지 않으면 사이트의 일반 인증 설정에서 외부 로그인이 켜짐으로 설정되어 있는지 확인하십시오.
Azure Active Directory B2C 오른쪽에서 추가 명령(…) >구성을 선택하거나 공급자 이름을 선택합니다.
공급자 이름을 그대로 두거나 원하는 경우 변경합니다.
공급자 이름은 사용자가 로그인 페이지에서 ID 공급자를 선택할 때 표시되는 버튼의 텍스트입니다.
다음을 선택합니다.
회신 URL에서 복사를 선택합니다.
Azure 열기를 선택합니다.
Power Pages 브라우저 탭을 닫지 마십시오. 곧 돌아올 것입니다.
앱 등록 만들기
Azure AD B2C용 테넌트를 만들고 사이트의 회신 URL을 리디렉션 URI로 사용하여 애플리케이션을 등록합니다.
Azure AD B2C를 검색하고 선택합니다.
관리에서 앱 등록을 선택합니다.
새 등록을 선택합니다.
이름을 입력합니다.
조직 요구 사항을 가장 잘 반영하는 지원되는 계정 유형 중 하나를 선택하십시오.
리디렉션 URI에서 웹을 플랫폼으로 선택한 다음 사이트의 회신 URL을 입력합니다.
- 사이트의 기본 URL을 사용하는 경우 복사한 회신 URL을 붙여넣습니다.
- 사용자 지정 도메인 이름을 사용하는 경우 사용자 지정 URL을 입력합니다. 사이트의 ID 공급자 설정에서 리디렉션 URL에 대해 동일한 사용자 지정 URL을 사용해야 합니다.
등록을 선택합니다.
애플리케이션(클라이언트) ID를 복사합니다.
왼쪽 측면 창의 관리에서 인증을 선택합니다.
암시적 허용에서 액세스 토큰(암시적 흐름에 사용)을 선택합니다.
저장을 선택합니다.
tfp를 포함하는 발급자 (iss) 클레임 URL을 사용하여 토큰 호환성을 구성합니다. 토큰 호환성에 대해 자세히 알아보기.
사용자 흐름 만들기
(선택 사항) 암호 재설정 사용자 흐름 만들기.
사용자 흐름에서 발급자 URL 가져오기
사용자가 만든 가입 및 로그인 사용자 흐름을 엽니다.
Azure Portal에서 Azure AD B2C 테넌트로 이동합니다.
사용자 흐름 실행을 선택합니다.
새 브라우저 탭에서 OpenID Connect 구성 URL을 엽니다.
URL은 OpenID Connect ID 공급자 구성 문서를 의미하며 잘 알려진 OpenID 구성 끝점이라고도 알려져 있습니다.
주소 표시줄에서 발급자 URL을 복사합니다. 따옴표를 포함하면 안 됩니다. 발급자(iss) 클레임URL에 tfp가 포함되어 있는지 확인합니다.
암호 재설정 사용자 흐름을 만든 경우 이를 열고 2~5단계를 반복합니다.
Power Pages에서 사이트 설정 및 암호 재설정 설정 입력
이전에 종료한 Power Pages ID 공급자 구성 페이지로 돌아갑니다.
사이트 설정 구성에서 다음 값을 입력합니다.
암호 재설정에서 다음 값을 입력합니다.
(선택 사항) 추가 설정을 확장하고 필요에 따라 설정을 변경합니다.
확인을 선택합니다.
Power Pages의 추가 설정
추가 설정을 통해 사용자가 Azure AD B2C ID 공급자로 인증하는 방법을 보다 세밀하게 제어할 수 있습니다. 이러한 값을 설정할 필요가 없습니다. 전적으로 선택 사항입니다.
등록 클레임 매핑 및 로그인 클레임 매핑: 사용자 인증에서 클레임은 이메일 주소나 생년월일과 같이 사용자의 ID를 설명하는 정보입니다. 애플리케이션이나 웹사이트에 로그인하면 토큰이 생성됩니다. 토큰에는 연결된 모든 클레임을 포함하여 ID에 대한 정보가 포함됩니다. 토큰은 애플리케이션 또는 사이트의 다른 부분이나 동일한 ID 제공자에 연결된 다른 애플리케이션 및 사이트에 액세스할 때 ID를 인증하는 데 사용됩니다. 클레임 매핑은 토큰에 포함된 정보를 변경하는 방법입니다. 애플리케이션 또는 사이트에서 사용할 수 있는 정보를 사용자 지정하고 기능 또는 데이터에 대한 액세스를 제어하는 데 사용할 수 있습니다. 등록 클레임 매핑은 애플리케이션이나 사이트에 등록할 때 내보낸 클레임을 수정합니다. 로그인 클레임 매핑은 애플리케이션이나 사이트에 로그인할 때 내보낸 클레임을 수정합니다. 클레임 매핑 정책에 대해 자세히 알아보기.
이메일, 성 또는 이름 특성을 사용하는 경우 이러한 설정에 대한 값을 입력할 필요가 없습니다. 다른 특성의 경우 논리적 이름/값 쌍 목록을 입력합니다.
field_logical_name=jwt_attribute_name형식으로 입력합니다. 여기서field_logical_name은 Power Pages에 있는 필드의 논리적 이름이고jwt_attribute_name은 ID 공급자에서 반환된 값이 있는 특성입니다. 이러한 쌍은 클레임 값(가입 또는 로그인 중에 만들어지고 Azure AD B2C에서 반환됨)을 연락처 레코드의 특성에 매핑하는 데 사용됩니다.예를 들어 사용자 흐름에서 직위(jobTitle) 및 우편 번호(postalCode)를 사용자 특성으로 사용합니다. 해당
Contact테이블 필드 직위(jobtitle) 및 주소 1: ZIP/우편번호(address1_postalcode)를 업데이트하려고 합니다. 이 경우 클레임 매핑을jobtitle=jobTitle,address1_postalcode=postalCode로 입력합니다.
외부 로그아웃: 이 설정은 사이트에서 연합 로그아웃을 사용할지 여부를 제어합니다. 페더레이션 로그아웃을 사용하면 사용자가 애플리케이션 또는 사이트에서 로그아웃하면 동일한 ID 공급자를 사용하는 모든 애플리케이션 및 사이트에서도 로그아웃됩니다. 예를 들어 Microsoft 계정을 사용하여 사이트에 로그인한 다음 Microsoft 계정에서 로그아웃하면 페더레이션 로그아웃을 통해 사이트에서도 로그아웃됩니다.
- 켜짐: 사용자가 웹 사이트에서 로그아웃할 때 페더레이션 로그아웃 환경으로 리디렉션합니다.
- 꺼짐: 웹사이트에서만 사용자를 로그아웃시킵니다.
이메일로 연락처 맵핑: 이 설정은 연락처가 로그인할 때 해당 이메일 주소에 매핑되는지 여부를 결정합니다. 이 설정은 다중 테넌트 엔드포인트에는 적용되지 않습니다. 초대를 사용하거나 공개 등록을 통해 사용자가 귀하의 웹사이트에 인증할 수 있도록 허용하세요.
- 켜짐: 고유한 연락처 레코드를 일치하는 이메일 주소와 연결하고 사용자가 성공적으로 로그인한 후 연락처에 외부 ID 공급자를 자동으로 할당합니다.
- 꺼짐: 연락처 레코드가 ID 공급자와 일치하지 않습니다. 이 설정의 기본 옵션입니다.
등록 활성화: 이 설정은 사용자가 사이트에 등록할 수 있는지 여부를 제어합니다.
- 켜짐: 사용자가 사이트에서 계정을 만들 수 있는 가입 페이지를 표시합니다.
- 꺼짐: 외부 계정 등록 페이지를 비활성화하고 숨깁니다.