Microsoft Entra ID를 사용하여 Azure Container Apps에서 인증 및 권한 부여 사용
이 문서에서는 앱이 인증 공급자로 Microsoft ID 플랫폼을 사용하여 사용자를 로그인하도록 Azure Container Apps에 대한 인증을 구성하는 방법을 보여 줍니다.
Container Apps 인증 기능은 Microsoft ID 플랫폼을 사용하여 앱 등록을 자동으로 만들 수 있습니다. 사용자 또는 디렉터리 관리자가 별도로 만든 등록을 사용할 수도 있습니다.
옵션 1: 자동으로 새 앱 등록 만들기
이 옵션은 인증 설정을 간소화하며 몇 단계만 진행하면 됩니다.
Azure Portal에 로그인하고 IoT Hub로 이동합니다.
왼쪽 메뉴에서 인증을 선택합니다. ID 공급자 추가를 선택합니다.
ID 공급자 드롭다운에서 Microsoft를 선택합니다. 새 등록을 만드는 옵션이 기본적으로 선택되어 있습니다. 등록의 이름 또는 지원되는 계정 유형을 변경할 수 있습니다.
클라이언트 암호가 만들어져 컨테이너 앱에 비밀로 저장됩니다.
이 애플리케이션에 대한 첫 번째 ID 공급자를 구성하는 경우 Container Apps 인증 설정 섹션이 표시됩니다. 그렇지 않으면 다음 단계로 넘어갑니다.
이러한 옵션은 애플리케이션이 인증되지 않은 요청에 응답하는 방법을 결정하며 기본 선택 항목은 이 새 공급자를 사용하여 로그인하도록 모든 요청을 리디렉션합니다. 지금 이 동작을 사용자 지정하거나, 나중에 기본 인증 화면에서 인증 설정 옆의 편집을 선택하여 이 설정을 조정할 수 있습니다. 이러한 옵션에 대한 자세한 정보는 인증 흐름을 참조하세요.
(선택 사항) 다음: 권한을 선택하고 애플리케이션에 필요한 모든 범위를 추가합니다. 범위는 앱 등록에 추가되지만 나중에 변경할 수도 있습니다.
추가를 선택합니다.
이제 앱에서 인증을 위해 Microsoft ID 플랫폼을 사용할 준비가 되었습니다. 공급자는 인증 화면에 나열됩니다. 여기에서 공급자 구성을 편집하거나 삭제할 수 있습니다.
옵션 2: 별도로 만든 기존 등록 사용
등록 세부 정보를 사용하여 등록을 사용자 지정하고 Container Apps 인증을 구성하여 Microsoft ID 플랫폼용 애플리케이션을 수동으로 등록할 수도 있습니다. 이 방식은 애플리케이션이 정의된 테넌트가 아닌 다른 Microsoft Entra 테넌트의 앱 등록을 사용하려는 경우에 유용합니다.
Microsoft Entra ID에서 컨테이너 앱에 대한 앱 등록 만들기
먼저 앱 등록을 만듭니다. 이렇게 하려면 다음 정보를 수집합니다. 이 정보는 나중에 컨테이너 앱에서 인증을 구성할 때 필요합니다.
- Client ID
- 테넌트 ID
- 클라이언트 암호(선택 사항)
- 응용 프로그램 ID URI
앱을 등록하려면 다음 단계를 수행합니다.
- Azure Portal에 로그인합니다.
- Container Apps를 검색하여 선택한 다음, 앱을 선택합니다. 개요 페이지에서 앱의 애플리케이션 URL을 확인합니다. 이를 사용하여 Microsoft Entra 앱 등록을 구성합니다.
- 홈을 선택하여 포털 주 메뉴로 돌아갑니다. Microsoft Entra ID를 검색하여 선택합니다.
- 개요 페이지에서 추가를 선택한 다음, 앱 등록을 선택합니다.
애플리케이션 등록 페이지에서 앱 등록의 이름을 입력합니다.
리디렉션 URI에서 웹을 선택하고 다음을 입력합니다. 앞에서 적어 두었던 애플리케이션 URL로 바꿉다
\<APP_URL\>
.<APP_URL>/.auth/login/aad/callback
.예:
https://<CONTAINER_APP_NAME>.<ENVIRONMENT_UNIQUE_ID>.<REGION_NAME>.azurecontainerapps.io/.auth/login/aad/callback
암시적 권한 부여 및 하이브리드 흐름에서 ID 토큰을 사용하도록 설정하여 Container Apps에서 OpenID Connect 사용자 로그인을 허용합니다.
등록을 선택합니다.
- 새 앱 등록으로 이동합니다.
- 개요 페이지에서 나중에 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 복사합니다.
- (선택 사항) 이전에 앱 등록에 리디렉션 URI를 추가하지 않은 경우 지금 수행할 수 있습니다.
관리형에서 인증을 선택합니다.
인증 페이지의 플랫폼 구성에서 플랫폼 추가를 선택합니다.
플랫폼 구성에서 웹을 선택합니다.
웹 구성의 리디렉션 URI에서 다음을 입력합니다. 앞에서 적어 두었던 애플리케이션 URL로 바꿉다
\<APP_URL\>
.<APP_URL>/.auth/login/aad/callback
.예:
https://<CONTAINER_APP_NAME>.<HOSTNAME>.<LOCATION>.azurecontainerapps.io/.auth/login/aad/callback
구성을 선택합니다.
- (선택 사항) 관리에서 브랜딩 및 속성을 선택합니다. 홈페이지 URL에서 컨테이너 앱의 URL을 입력하고 저장을 선택합니다.
- 관리에서 API 노출을 선택합니다.
애플리케이션 ID URI 옆에 있는 추가를 선택합니다.
애플리케이션 ID URI는 요청된 토큰이 액세스 권한을 부여할 수 있도록 리소스로 사용될 때 애플리케이션을 고유하게 식별합니다. 이 값은 만드는 범위에 대한 접두사로도 사용됩니다.
단일 테넌트 앱의 경우 양식
api://<APPLICATION_CLIENT_ID>
에 있는 기본값을 사용할 수 있습니다. 테넌트에 대해 확인된 도메인 중 하나를 기반으로 보다 읽기 쉬운 URI(예:https://contoso.com/api
)를 지정할 수도 있습니다. 다중 테넌트 앱의 경우 사용자 지정 URI를 제공해야 합니다. 앱 ID URI에 허용되는 형식에 대한 자세한 내용은 앱 등록 모범 사례 참조를 참조하세요.값은 자동으로 저장됩니다.
범위 추가를 선택합니다.
범위 추가에서 애플리케이션 ID URI는 이전 단계에서 설정한 값입니다.
저장하고 계속을 선택합니다.
범위 이름에 user_impersonation을 입력합니다.
관리자가 동의 페이지에 표시할 관리자 동의 표시 이름 및 관리자 동의 설명을 입력합니다. 예를 들어 동의 표시 이름은 Access <애플리케이션 이름>입니다.
범위 추가를 선택합니다.
- 관리에서 인증서 및 비밀을 선택합니다.
- 인증서 및 비밀 페이지에서 클라이언트 비밀을 선택합니다.
- 새 클라이언트 비밀을 선택합니다.
- 설명을 입력하고 비밀이 만료되는 시기를 선택합니다.
- 추가를 선택합니다.
- 사이트에 다시 표시되지 않으므로 페이지에 표시된 클라이언트 비밀 값을 복사합니다.
컨테이너 앱에서 Microsoft Entra ID 사용
Azure Portal에 로그인하고 IoT Hub로 이동합니다.
왼쪽 메뉴에서 인증을 선택합니다. ID 공급자 추가를 선택합니다.
ID 공급자 드롭다운에서 Microsoft를 선택합니다.
앱 등록 유형의 경우 필요한 앱 정보를 자동으로 수집하는 이 디렉터리에서 기존 앱 등록을 선택하도록 선택할 수 있습니다. 다른 테넌트의 등록이거나 등록 개체를 볼 수 있는 권한이 없는 경우 기존 앱 등록의 세부 정보 제공을 선택합니다. 이 옵션의 경우 다음 구성 정보를 입력해야 합니다.
Warning
가능하면 암시적 허용 흐름을 사용하지 마세요. 대부분의 시나리오에서는 더 안전한 대체 방법을 사용하며 권장합니다. 이 흐름의 특정 구성은 애플리케이션에 대한 매우 높은 수준의 신뢰가 필요하며 다른 흐름에는 존재하지 않는 위험을 수반합니다. 보다 안전한 다른 흐름을 실행할 수 없는 경우에만 이 흐름을 사용해야 합니다. 자세한 내용은 암시적 허용 흐름의 보안 문제를 참조하세요.
필드 설명 애플리케이션(클라이언트) ID 앱 등록의 애플리케이션(클라이언트) ID를 사용합니다. 클라이언트 암호 앱 등록에서 생성한 클라이언트 암호를 사용합니다. 클라이언트 비밀은 하이브리드 흐름을 사용하고 앱은 액세스 및 새로 고침 토큰을 반환합니다. 클라이언트 암호가 설정되지 않으면 암시적 흐름이 사용되며 ID 토큰만 반환됩니다. 공급자는 토큰을 보내고 EasyAuth 토큰 저장소에 저장됩니다. 발급자 URL <authentication-endpoint>/<TENANT-ID>/v2.0
을 사용하고, <authentication-endpoint>를 클라우드 환경의 인증 엔드포인트로 바꾸고(예: 글로벌 Azure는 "https://login.microsoftonline.com"), <TENANT-ID>를 앱 등록이 생성된 디렉터리(테넌트) ID로 바꿉니다. 이 값은 사용자를 올바른 Microsoft Entra 테넌트로 리디렉션하고 적절한 메타데이터를 다운로드하여 적절한 토큰 서명 키와 토큰 발급자 클레임 값을 확인하는 등의 용도로 사용됩니다. Azure AD v1을 사용하는 애플리케이션의 경우 URL에서/v2.0
을 생략합니다.허용되는 토큰 대상 구성된 애플리케이션(클라이언트) ID는 암시적으로 항상 허용되는 대상으로 간주됩니다. 이 값이 클라우드 또는 서버 앱을 나타내고 클라이언트 컨테이너 앱에서 인증 토큰을 수락하려는 경우(인증 토큰은 X-MS-TOKEN-AAD-ID-TOKEN
헤더에서 검색할 수 있음) 여기에 클라이언트 앱의 애플리케이션(클라이언트) ID를 추가합니다.클라이언트 암호는 컨테이너 앱에 비밀로 저장됩니다.
이것이 애플리케이션에 대해 구성된 첫 번째 ID 공급자인 경우 Container Apps 인증 설정 섹션도 표시됩니다. 그렇지 않으면 다음 단계로 넘어갑니다.
이러한 옵션은 애플리케이션이 인증되지 않은 요청에 응답하는 방법을 결정하며 기본 선택 항목은 이 새 공급자를 사용하여 로그인하도록 모든 요청을 리디렉션합니다. 지금 이 동작의 사용자 지정을 변경하거나, 나중에 기본 인증 화면에서 인증 설정 옆의 편집을 선택하여 이 설정을 조정할 수 있습니다. 이러한 옵션에 대한 자세한 정보는 인증 흐름을 참조하세요.
추가를 선택합니다.
이제 앱에서 인증을 위해 Microsoft ID 플랫폼을 사용할 준비가 되었습니다. 공급자는 인증 화면에 나열됩니다. 여기에서 공급자 구성을 편집하거나 삭제할 수 있습니다.
컨테이너 앱에 액세스하도록 클라이언트 앱 구성
이전 섹션에서는 사용자를 인증하기 위해 컨테이너 앱을 등록했습니다. 이 섹션에서는 네이티브 클라이언트 또는 디먼 앱을 등록합니다. 그런 다음 사용자 또는 자신을 대신하여 컨테이너 앱에서 노출된 API에 대한 액세스를 요청할 수 있습니다. 사용자를 인증하기만 하려는 경우에는 이 섹션의 단계를 완료하지 않아도 됩니다.
네이티브 클라이언트 애플리케이션
로그인한 사용자를 대신하여 컨테이너 앱의 API에 대한 액세스를 요청하도록 네이티브 클라이언트를 등록할 수 있습니다.
Azure Portal에서 Microsoft Entra ID>추가>앱 등록 선택합니다.
애플리케이션 등록 페이지에서 앱 등록의 이름을 입력합니다.
리디렉션 URI에서 퍼블릭 클라이언트(모바일 및 데스크톱)를 선택하고 URL로
<app-url>/.auth/login/aad/callback
을 입력합니다. 예:https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback
.참고 항목
Microsoft Store 애플리케이션의 경우 URI로 패키지 SID를 대신 사용합니다.
만들기를 실행합니다.
앱 등록을 만든 후에는 애플리케이션(클라이언트) ID의 값을 복사합니다.
API 사용 권한>사용 권한 추가>내 API를 선택합니다.
앞에서 컨테이너 앱에 대해 만든 앱 등록을 선택합니다. 앱 등록이 표시되지 않으면 Microsoft Entra ID에서 컨테이너 앱의 앱 등록 만들기에서 user_impersonation 범위를 추가했는지 확인합니다.
위임된 권한에서 user_impersonation을 선택한 다음, 사용 권한 추가를 선택합니다.
이 섹션에서는 사용자를 대신하여 컨테이너 앱에 대한 액세스를 요청할 수 있는 네이티브 클라이언트 애플리케이션을 구성했습니다.
디먼 클라이언트 애플리케이션(서비스 간 호출)
애플리케이션은 애플리케이션 대신(사용자 대신이 아님) 컨테이너 앱에서 호스트되는 웹 API를 호출하는 토큰을 획득할 수 있습니다. 이 시나리오는 로그인한 사용자가 없는 상태에서 작업을 수행하는 비대화형 디먼 애플리케이션에 유용합니다. 이 파일은 표준 OAuth 2.0 클라이언트 자격 증명 권한 부여를 사용합니다.
- Azure Portal에서 Microsoft Entra ID>추가>앱 등록 선택합니다.
- 애플리케이션 등록 페이지에서 디먼 앱 등록의 이름을 입력합니다.
- 디먼 애플리케이션의 경우에는 리디렉션 URI가 필요하지 않으므로 비워 둘 수 있습니다.
- 만들기를 실행합니다.
- 앱 등록을 만든 후에는 애플리케이션(클라이언트) ID의 값을 복사합니다.
- 인증서 및 암호>새 클라이언트 암호>추가를 선택합니다. 페이지에 표시되는 클라이언트 암호 값을 복사합니다. 다시 표시되지 않습니다.
이제 resource
매개 변수를 대상 앱의 애플리케이션 ID URI로 설정하여 클라이언트 ID 및 클라이언트 암호를 사용하여 액세스 토큰을 요청할 수 있습니다. 그런 다음, 결과적인 액세스 토큰은 표준 OAuth 2.0 인증 헤더를 사용하여 대상 앱에 제공될 수 있으며, Container Apps 인증/권한 부여는 일반적인 방법으로 토큰의 유효성을 검사하고 사용하여 이제 호출자(이 경우에는 사용자가 아닌 애플리케이션)가 인증되었음을 표시합니다.
이 프로세스를 통해 Microsoft Entra 테넌트의 모든 클라이언트 애플리케이션이 액세스 토큰을 요청하고 대상 앱에 대한 인증을 수행할 수 있습니다. 특정 클라이언트 애플리케이션만 허용하도록 권한 부여를 적용하려면 구성을 조정해야 합니다.
- 보호하려는 컨테이너 앱을 나타내는 앱 등록의 매니페스트에서 앱 역할을 정의합니다.
- 권한이 부여되어야 하는 클라이언트를 나타내는 앱 등록에서 API 사용 권한>사용 권한 추가>내 API를 선택합니다.
- 이전에 만든 앱 등록을 선택합니다. 앱 등록이 표시되지 않으면 앱 역할을 추가해야 합니다.
- 애플리케이션 사용 권한에서 이전에 만든 앱 역할을 선택하고 사용 권한 추가를 선택합니다.
- 권한을 요청하도록 클라이언트 애플리케이션에 권한을 부여하려면 관리자 동의 부여를 선택해야 합니다.
- 이전 시나리오(어떤 역할도 추가되기 전)와 마찬가지로 이제 동일한 대상
resource
에 대한 액세스 토큰을 요청하면, 액세스 토큰에는 클라이언트 애플리케이션에 대한 권한이 부여된 앱 역할을 포함하는roles
클레임이 포함됩니다. - 대상 Container Apps 코드 내에서 이제 토큰에 필요한 역할이 있는지 확인합니다. Container Apps 인증 계층은 유효성 검사 단계를 수행하지 않습니다. 자세한 내용은 사용자 클레임 액세스를 참조하세요.
이 섹션에서는 자체 ID를 사용하여 컨테이너 앱에 액세스할 수 있는 디먼 클라이언트 애플리케이션을 구성했습니다.
인증된 사용자 작업
인증된 사용자 작업에 대한 자세한 내용은 다음 가이드를 사용하세요.