조건부 액세스 검색
Microsoft Entra ID의 조건부 액세스 기능은 앱을 보호하고 서비스를 보호하는 데 사용할 수 있는 여러 가지 방법 중 하나를 제공합니다. 조건부 액세스를 사용하면 개발자와 엔터프라이즈 고객이 다음을 비롯한 다양한 방법으로 서비스를 보호할 수 있습니다.
- 다단계 인증
- Intune에 등록된 디바이스만 특정 서비스에 액세스할 수 있도록 허용
- 사용자 위치 및 IP 범위 제한
조건부 액세스는 앱에 어떤 영향을 주나요?
대부분의 경우 조건부 액세스는 앱의 동작을 변경하거나 개발자의 변경이 필요하지 않습니다. 앱이 서비스에 대한 토큰을 간접적으로 또는 자동으로 요청하는 경우에만 앱에서 조건부 액세스 챌린지를 처리하기 위해 코드를 변경해야 합니다. 대화형 로그인 요청을 수행하는 것만큼 간단할 수 있습니다.
특히 다음 시나리오에서는 조건부 액세스 챌린지를 처리하는 코드가 필요합니다.
- 타인을 대신하는 플로우를 실행하는 앱
- 여러 서비스/리소스에 액세스하는 앱
- MSAL.js 사용하는 단일 페이지 앱
- 리소스를 호출하는 웹앱
조건부 액세스 정책은 앱 및 앱이 액세스하는 웹 API에도 적용할 수 있습니다. 시나리오에 따라 엔터프라이즈 고객은 언제든지 조건부 액세스 정책을 적용하고 제거할 수 있습니다. 새 정책이 적용될 때 앱이 계속 작동하려면 챌린지 처리를 구현합니다.
조건부 액세스 예제
일부 시나리오에서는 조건부 액세스를 처리하기 위해 코드 변경이 필요한 반면 다른 시나리오는 그대로 작동합니다. 다음은 조건부 액세스를 사용하여 다단계 인증을 수행하는 몇 가지 시나리오로, 차이점에 대한 인사이트를 제공합니다.
단일 테넌트 iOS 앱을 빌드하고 조건부 액세스 정책을 적용합니다. 앱은 사용자를 로그인하고 API에 대한 액세스를 요청하지 않습니다. 사용자가 로그인하면 정책이 자동으로 호출되고 사용자는 다단계 인증을 수행해야 합니다.
중간 계층 서비스를 사용하여 다운스트림 API에 액세스하는 앱을 빌드하고 있습니다. 이 앱을 사용하는 회사의 엔터프라이즈 고객은 다운스트림 API에 정책을 적용합니다. 최종 사용자가 로그인하면 앱은 중간 계층에 대한 액세스를 요청하고 토큰을 보냅니다. 중간 계층은 대리 흐름을 수행하여 다운스트림 API에 대한 액세스를 요청합니다. 이 시점에서 클레임 "도전 과제"가 중간 계층에 부여됩니다. 중간 계층은 조건부 액세스 정책을 준수해야 하는 챌린지를 앱으로 다시 보냅니다.