Microsoft Entra ID 및 Microsoft ID 플랫폼 애플리케이션 통합

개발자는 IT 전문가가 엔터프라이즈에서 보호할 수 있는 앱을 빌드하고 통합할 수 있습니다. 이 문서는 제로 트러스트 원칙을 사용하여 앱을 Microsoft Entra ID 및 Microsoft ID 플랫폼 안전하게 통합하는 방법을 이해하는 데 도움이 됩니다.

Microsoft 클라우드 기반 ID 및 액세스 관리 서비스인 Microsoft Entra ID는 개발자에게 다음과 같은 애플리케이션 통합 이점을 제공합니다.

• 애플리케이션 인증 및 권한 부여
• 사용자 인증 및 권한 부여
• 페더레이션 또는 암호를 사용하는 SSO(Single Sign-On)
• 사용자 프로비전 및 동기화
• 역할 기반 액세스 제어
• OAuth 권한 부여 서비스
• 애플리케이션 게시 및 프록시
• 디렉터리 스키마 확장 특성

다이어그램 제목: 개발자용 Microsoft ID 플랫폼. 다이어그램 부제목: 애플리케이션을 빌드하고 하나의 통합된 도구 키트와 ID를 통합합니다.

위의 다이어그램은 여러 ID 및 업계 표준을 지원하는 개발자용 Microsoft ID 플랫폼 통합 도구 키트를 보여 줍니다. 애플리케이션을 빌드하고 엔드포인트, 라이브러리, 웹 API, 게시자 확인, 사용자 프로비저닝 및 인증 브로커와 ID를 통합할 수 있습니다.

앱 통합 시작

Microsoft ID 플랫폼 설명서 사이트는 애플리케이션을 Microsoft ID 플랫폼 통합하는 방법을 배울 수 있는 가장 좋은 출발점입니다. 개발자 워크샵, 워크샵 자료, 워크샵 녹음 링크 및 예정된 라이브 이벤트에 대한 정보를 찾을 수 있습니다 https://aka.ms/UpcomingIDLOBDev.

앱을 디자인하는 동안 다음을 수행해야 합니다.

• 앱에서 액세스해야 하는 리소스를 식별합니다.
• 앱에 대화형 사용자 및 워크로드 구성 요소가 있는지 여부를 고려합니다.
• 권한 및 액세스를 통해 ID를 보호하는 앱을 빌드하여 Microsoft Entra ID가 보호하는 리소스에 액세스합니다.

통합할 수 있는 앱 유형

Microsoft ID 플랫폼 등록된 애플리케이션 및 지원되는 애플리케이션에 대해서만 IAM(ID 및 액세스 관리)을 수행합니다. Microsoft ID 플랫폼 통합하려면 앱이 주소 아래 https://login.microsoftonline.com 의 Microsoft ID 플랫폼 권한 부여 엔드포인트에 연결할 수 있는 웹 브라우저 기반 구성 요소를 제공할 수 있어야 합니다. 앱이 동일한 주소로 토큰 엔드포인트를 호출합니다.

통합 앱은 다음 예제를 포함하여 모든 위치에서 실행할 수 있습니다.

• Microsoft Azure
• 다른 클라우드 공급자
• 사용자 고유의 데이터 센터 및 서버
• 데스크톱 컴퓨터
• 모바일 장치
• 사물 인터넷 디바이스.

권한 부여 엔드포인트에 액세스하는 웹 브라우저 앱과 같은 앱 또는 디바이스는 기본적으로 요구 사항을 제공할 수 있습니다. 연결이 끊긴 브라우저와 애플리케이션 간의 협력은 요구 사항을 충족합니다. 예를 들어 TV에서 실행되는 앱은 사용자가 데스크톱 또는 모바일 디바이스에서 브라우저를 사용하여 초기 인증을 수행하게 할 수 있습니다.

클라이언트 애플리케이션(웹 또는 네이티브 앱) 또는 웹 API를 등록하여 애플리케이션과 Microsoft ID 플랫폼 간에 트러스트 관계를 설정합니다. Microsoft Entra 애플리케이션 등록은 애플리케이션의 잘못된 구성 또는 경과로 인해 가동 중지 시간 또는 손상이 발생할 수 있기 때문에 중요합니다. Microsoft Entra ID의 애플리케이션 속성에 대한 보안 모범 사례를 따릅니다.

Microsoft Entra 애플리케이션 갤러리에 게시

Microsoft Entra 애플리케이션 갤러리는 Microsoft Entra ID로 미리 통합된 Microsoft Entra ID의 SaaS(Software as a Service) 애플리케이션 컬렉션입니다. 여기에는 SSO 및 자동 사용자 프로비저닝을 쉽게 배포하고 구성할 수 있는 수천 개의 애플리케이션이 포함되어 있습니다.

자동 사용자 프로비저닝 은 사용자가 액세스해야 하는 클라우드 애플리케이션에서 사용자 ID 및 역할을 만드는 것을 의미합니다. 자동 프로비저닝에는 상태 또는 역할이 변경됨에 따라 사용자 ID 유지 관리 및 제거가 포함됩니다. 사용자를 SaaS 앱 및 기타 시스템에 프로비전하기 위해 Microsoft Entra 프로비전 서비스는 애플리케이션 공급업체가 제공하는 SCIM(System for Cross-domain Identity Management) 2.0 사용자 관리 API 엔드포인트에 연결합니다. 이러한 SCIM 엔드포인트를 사용하여 Microsoft Entra ID에서 프로그래밍 방식으로 사용자를 만들고, 업데이트하고, 제거할 수 있습니다.

Microsoft Entra ID용 앱을 개발할 때 SCIM 2.0 사용자 관리 API를 사용하여 프로비저닝을 위해 Microsoft Entra ID를 통합하는 SCIM 엔드포인트를 빌드할 수 있습니다. 자세한 내용은 Microsoft Entra ID 자습서에서 SCIM 엔드포인트에 대한 개발 및 계획 프로비저닝을 참조하세요.

다음 작업을 완료하여 애플리케이션 을 Microsoft Entra 애플리케이션 갤러리에 게시하고 사용자가 테넌트에 추가할 수 있도록 공개적으로 사용할 수 있도록 합니다.

• 필수 구성 요소를 완료합니다.
• 설명서를 만들고 게시합니다.
• 애플리케이션을 제출합니다.
• Microsoft 파트너 네트워크에 참가합니다.

확인된 게시자 되기

게시자 확인은 앱 사용자 및 조직 관리자에게 Microsoft ID 플랫폼 통합되는 앱을 게시하는 개발자의 신뢰성에 대한 정보를 제공합니다. 확인된 게시자인 경우 사용자는 애플리케이션에서 로그인하고 프로필 정보에 액세스할 수 있도록 허용할지 보다 쉽게 결정할 수 있습니다. 앱이 토큰에서 요청하는 정보 및 액세스에 대한 결정을 기반으로 할 수 있습니다.

앱 게시자는 앱 등록을 확인된 MPN(Microsoft 파트너 네트워크) 계정과 연결하여 Microsoft와의 ID를 확인합니다. 확인 중에 Microsoft는 확인 설명서를 요청합니다. 확인된 게시자가 되면 앱의 Microsoft Entra 동의 프롬프트 및 웹 페이지에 파란색으로 확인된 배지가 표시됩니다.

다음 단계

• id에 대한 제로 트러스트 접근 방식을 사용하여 앱을 빌드하면 사용 권한 및 액세스 모범 사례에 대한 개요를 제공합니다.
• 권한 부여 모범 사례는 애플리케이션에 대한 최상의 권한 부여, 권한 및 동의 모델을 구현하는 데 도움이 됩니다.
• 앱의 게시자 도메인 을 구성하면 다중 테넌트 앱 및 기본 게시자 도메인 값을 이해하는 데 도움이 됩니다.
• Microsoft Entra ID 와 함께 사용할 SaaS 앱 통합 자습서를 사용하면 클라우드 지원 SaaS 애플리케이션을 Microsoft Entra ID와 통합할 수 있습니다.
• 게시 중에 오류가 발생하거나 예기치 않은 동작이 표시되는 경우 게시자 확인 문제를 해결하기 위한 참조 팁입니다.