Microsoft Graph 권한 및 동의 이해

  • 6분

Microsoft 365 데이터를 검색하는 고객 애플리케이션을 개발하려면 Microsoft Graph에서 사용 권한 및 동의가 작동하는 방식을 이해해야 합니다. 귀하는 애플리케이션이 액세스할 수 있는 데이터와 액세스할 수 없는 데이터에 대해 올바른 선택을 하고 싶습니다. 예를 들어 로그인한 영업 사원의 예정된 모임을 표시하려는 경우 애플리케이션에 Microsoft 365의 일정 데이터에 액세스할 수 있는 사용 권한이 있어야 합니다.

애플리케이션은 Microsoft Graph를 통해 특정 Microsoft 365 리소스에 액세스할 수 있는 사용 권한을 요청합니다. 이러한 요청은 미리(응용 프로그램이 등록된 경우) 또는 동적으로(응용 프로그램이 실행 중인 경우) 만들 수 있습니다. 애플리케이션에서 사용 권한을 요청할 때 사용자 또는 관리자는 Microsoft Graph에서 요청을 승인하기 전에 사용 권한에 동의해야 합니다.

애플리케이션이 Microsoft Graph와 상호 작용해야 하는 경우 이해해야 할 세 가지 주요 개념이 있습니다.

  • Microsoft Graph 사용 권한 또는 범위
  • 사용 권한 유형
  • 엑세스 토큰

Microsoft Graph 사용 권한 또는 범위

Microsoft Graph 사용 권한에는 사용자, 메일, 파일과 같은 특정 리소스에 대한 앱의 액세스 권한을 제어하는 ​​범위가 포함됩니다. 범위는 또한 해당 리소스에서 수행할 수 있는 작업을 제어합니다. 다음 예제 패턴은 리소스에 대한 Microsoft Graph 작업에 대한 사용 권한을 정의합니다.

Resource-name.operation.constraint

예를 들어, User.Read.All은 디렉토리에 있는 모든 사용자의 프로필을 읽을 수 있는 사용 권한을 애플리케이션에 부여합니다. 로그인한 사용자의 프로필을 읽으려면 User.Read 사용 권한이 필요합니다.

사용 권한 유형

Microsoft Entra ID에는 두 가지 유형의 권한이 있습니다.

  • 애플리케이션은 사용자를 대신하여 Microsoft Graph를 호출할 때 위임된 사용 권한을 사용합니다. 사용자는 User.Read와 같은 일부 사용 권한 범위에 동의할 수 있습니다. 그러나 일부 사용 권한 범위는 높은 권한을 가지며 관리자의 동의가 필요합니다. 높은 권한의 사용 권한 범위의 예로는 로그인한 사용자를 대신하여 팀의 채널을 삭제하는 Channel.Delete.All이 있습니다.

    위임된 사용 권한 범위의 가장 간단한 예는 /me 엔드포인트를 호출하는 데 필요한 User.Read입니다. Microsoft Graph에서 /me을(를) 사용하는 모든 API 호출은 현재 로그인한 사용자의 컨텍스트를 사용합니다.

  • 애플리케이션 사용 권한에는 애플리케이션에 로그인한 사용자가 필요하지 않습니다. 백그라운드 프로세스 또는 사용 권한 상승과 같이 사용자가 없을 때 자주 사용됩니다. 관리자는 사전에 사용 권한에 동의합니다.

    애플리케이션 사용 권한 범위의 예는 Calendars.ReadWrite이며, 이를 통해 앱은 로그인한 사용자 없이 모든 캘린더의 이벤트를 만들고, 읽고, 업데이트하며 삭제할 수 있습니다. 해당 정보를 가져올 로그인한 사용자가 없기 때문에 애플리케이션 사용 권한 범위에 대해 /me API를 사용할 수 없습니다.

엑세스 토큰

애플리케이션에서 사용 권한을 요청하고 사용자 또는 관리자가 동의하면 애플리케이션은 Microsoft ID 플랫폼에서 액세스 토큰을 얻을 수 있습니다. 액세스 토큰은 영화를 보기 위해 지불했음을 증명하기 위해 교환원에게 주는 영화 티켓과 같다고 생각할 수 있습니다. 응용 프로그램은 Microsoft Graph에 액세스 토큰을 제공하여 Microsoft 365 데이터에 액세스할 수 있는 사용 권한이 있음을 증명합니다.

Microsoft Graph에는 모든 요청의 HTTP 헤더에 유효한 액세스 토큰이 필요합니다. "Bearer"라는 단어와 그 앞에 공백이 있는 각 HTTP 요청의 인증 헤더로 전달됩니다. 이것은 영화 티켓과 마찬가지로 소지자가 액세스 토큰을 사용할 수 있음을 상기시킵니다. 즉, 티켓을 소지한 사람은 신분을 증명하지 않고도 입장할 수 있습니다. 이러한 이유로 Microsoft Graph는 모든 요청에 ​​대해 HTTPS 암호화를 요구합니다. 또한 영화 티켓과 마찬가지로 액세스 토큰은 일반적으로 1시간이라는 짧은 기간 동안만 유효합니다.

다음은 Microsoft Graph 요청에 대한 권한 부여 헤더의 모양에 대한 예입니다.

GET https://graph.microsoft.com/v1.0/me/ HTTP/1.1
Host: graph.microsoft.com
Authorization: Bearer EwAoA8l6BAAU ... 7PqHGsykYj7A0XqHCjbKKgWSkcAg==