다음을 통해 공유


애플리케이션 등록

Microsoft ID 플랫폼 앱 등록 포털은 인증 및 관련 요구 사항에 플랫폼을 사용하는 애플리케이션의 기본 진입점입니다. 개발자는 앱을 등록하고 구성할 때 사용자가 선택한 사항을 적용하고 애플리케이션이 제로 트러스트 원칙을 얼마나 잘 충족하는지에 영향을 줍니다. 효과적인 앱 등록은 특히 최소 권한 액세스를 사용하는 원칙을 고려하고 위반을 가정합니다. 이 문서는 앱이 보안에 대한 제로 트러스트 접근 방식을 따르도록 하기 위한 애플리케이션 등록 프로세스 및 요구 사항에 대해 알아보는 데 도움이 됩니다.

Microsoft Entra ID(Microsoft Entra ID )의 애플리케이션 관리는 클라우드에서 애플리케이션을 안전하게 만들고, 구성하고, 관리하고, 모니터링하는 프로세스입니다. Microsoft Entra 테넌트에 애플리케이션을 등록할 때 보안 사용자 액세스를 구성합니다.

Microsoft Entra ID는 애플리케이션 개체서비스 주체별로 애플리케이션을 나타냅니다. 일부 예외를 제외하고 애플리케이션은 애플리케이션 개체입니다. 서비스 주체를 애플리케이션 개체를 참조하는 애플리케이션의 인스턴스로 간주합니다. 디렉터리에서 여러 서비스 주체가 단일 애플리케이션 개체를 참조할 수 있습니다.

Visual Studio에서, Microsoft Graph API를 사용하거나, PowerShell을 사용하여 세 가지 방법을 통해 Microsoft Entra ID를 사용하도록 애플리케이션을 구성할 수 있습니다. Azure 및 개발자 센터의 API Explorer에는 개발자 환경이 있습니다. 개발자 및 IT 전문가 역할이 Microsoft ID 플랫폼 보안 애플리케이션을 빌드하고 배포하는 데 필요한 의사 결정 및 작업을 참조합니다.

애플리케이션을 추가하고 등록할 수 있는 사용자

관리자 및 테넌트가 허용하는 경우 사용자 및 개발자는 Azure Portal에서 애플리케이션을 등록하여 애플리케이션 개체를 만들 수 있습니다. 기본적으로 디렉터리의 모든 사용자는 개발하는 애플리케이션 개체를 등록할 수 있습니다. 애플리케이션 개체 개발자는 어떤 애플리케이션을 공유하고 동의를 통해 조직 데이터에 액세스할 수 있도록 할지 결정합니다.

디렉터리의 첫 번째 사용자가 애플리케이션에 로그인하고 동의를 부여하면 시스템은 테넌트에 모든 사용자 동의 정보를 저장하는 서비스 주체를 만듭니다. Microsoft Entra ID는 사용자가 인증하기 전에 테넌트에 새로 등록된 앱에 대한 서비스 주체를 자동으로 만듭니다.

적어도 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 역할이 할당된 사용자는 특정 애플리케이션 작업(예: 앱 갤러리에서 애플리케이션 추가 및 애플리케이션 프록시를 사용하도록 애플리케이션 구성)을 수행할 수 있습니다.

애플리케이션 개체 등록

개발자는 Microsoft ID 플랫폼 사용하는 앱을 등록합니다. Azure Portal에서 또는 Microsoft Graph 애플리케이션 API를 호출 하여 앱을 등록합니다. 앱을 등록한 후 엔드포인트에 요청을 전송하여 Microsoft ID 플랫폼 통신합니다.

애플리케이션 등록을 만들거나 수정할 수 있는 권한이 없을 수 있습니다. 관리자가 애플리케이션을 등록할 수 있는 권한을 부여하지 않는 경우 필요한 앱 등록 정보를 어떻게 전달할 수 있는지 물어봅니다.

애플리케이션 등록 속성 에는 다음 구성 요소가 포함될 수 있습니다.

  • 이름, 로고 및 게시자
  • URI(Uniform Resource Identifier) 리디렉션
  • 비밀(애플리케이션을 인증하는 데 사용되는 대칭 및/또는 비대칭 키)
  • API 종속성(OAuth)
  • 게시된 API/리소스/범위(OAuth)
  • 역할 기반 액세스 제어를 위한 앱 역할
  • SSO(Single Sign-On), 사용자 프로비저닝 및 프록시에 대한 메타데이터 및 구성

앱 등록의 필수 부분은 사용자의 계정 유형에 따라 앱을 사용할 수 있는 사용자를 정의하기 위해 지원되는 계정 유형을 선택하는 것입니다. Microsoft Entra 관리자는 애플리케이션 모델을 따라 앱 등록 환경을 통해 Azure Portal에서 애플리케이션 개체를 관리하고 애플리케이션에 토큰을 발급하는 방법을 서비스에 알려주는 애플리케이션 설정을 정의합니다.

등록하는 동안 애플리케이션의 ID인 애플리케이션(클라이언트) ID받게 됩니다. 앱은 Microsoft ID 플랫폼 통해 트랜잭션을 수행할 때마다 클라이언트 ID를 사용합니다.

앱 등록 모범 사례

비즈니스 사용의 중요한 부분으로 Microsoft Entra ID에 애플리케이션을 등록할 때 애플리케이션 속성에 대한 보안 모범 사례를 따릅니다. 전체 조직에 영향을 줄 수 있는 가동 중지 시간 또는 손상을 방지하는 것을 목표로 합니다. 다음 권장 사항은 제로 트러스트 원칙을 중심으로 보안 애플리케이션을 개발하는 데 도움이 됩니다.

  • Microsoft ID 플랫폼 통합 검사 목록을 사용하여 고품질의 안전한 통합을 보장합니다. 앱의 품질과 보안을 유지합니다.
  • 리디렉션 URL을 올바르게 정의합니다. 호환성 및 보안 문제를 방지하려면 리디렉션 URI(회신 URL) 제한 사항 및 제한 사항을 참조하세요.
  • 도메인 인수를 방지하기 위해 소유권에 대한 앱 등록의 리디렉션 URI를 확인합니다. 리디렉션 URL은 알고 소유한 도메인에 있어야 합니다. 불필요하고 사용되지 않는 URI를 정기적으로 검토하고 제거합니다. 프로덕션 앱에서는 https가 아닌 URI를 사용하지 마세요.
  • 항상 테넌트에서 등록된 앱에 대한 앱 및 서비스 주체 소유자를 정의하고 유지 관리합니다. 분리된 앱(할당된 소유자가 없는 앱 및 서비스 주체)을 방지합니다. IT 관리자가 긴급 시 앱 소유자를 쉽고 빠르게 식별할 수 있는지 확인합니다. 앱 소유자 수를 작게 유지합니다. 손상된 사용자 계정이 여러 애플리케이션에 영향을 미치기 어렵게 만듭니다.
  • 여러 앱에 대해 동일한 앱 등록을 사용하지 않습니다. 앱 등록을 분리하면 최소 권한 액세스를 사용하도록 설정하고 위반 시 영향을 줄일 수 있습니다.
    • API를 통해 데이터 및 작업을 노출하는 사용자 및 앱에 로그인하는 앱에 대해 별도의 앱 등록을 사용합니다(긴밀하게 결합되지 않는 한). 이 방법을 사용하면 로그인하고 사용자와 상호 작용하는 앱에서 멀리 떨어진 곳에서 Microsoft Graph 및 자격 증명(예: 비밀 및 인증서)과 같은 더 높은 권한의 API에 대한 권한을 허용합니다.
    • 웹앱 및 API에 대해 별도의 앱 등록을 사용합니다. 이 방법은 웹 API에 더 높은 사용 권한 집합이 있는 경우 클라이언트 앱이 상속하지 않도록 하는 데 도움이 됩니다.
  • 필요한 경우에만 애플리케이션을 다중 테넌트 앱으로 정의합니다. 다중 테넌트 앱 은 사용자 이외의 테넌트에서 프로비저닝할 수 있습니다. 원치 않는 액세스를 필터링하려면 더 많은 관리 오버헤드가 필요합니다. 앱을 다중 테넌트 앱으로 개발하려는 경우가 아니면 AzureADMyOrg의 SignInAudience 값으로 시작합니다.

다음 단계