다음을 통해 공유

Microsoft Entra를 사용하여 Azure DevOps로 인증

  • 아티클

Microsoft Entra ID는 자체 플랫폼을 사용하는 별도의 Microsoft 제품입니다. 선도적인 IAM(ID 및 액세스 관리) 공급자인 Microsoft Entra ID 팀 구성원을 관리하고 회사 리소스를 보호해야 하는 회사의 요구에 초점을 맞추고 있습니다. Microsoft는 Azure DevOps 조직을 Microsoft Entra ID 테넌트연결할 수 있는 기능을 제공하며, 이렇게 하면 회사 많은 이점이 수 있습니다.

연결되면 Microsoft Entra ID를 기반으로 하는 Microsoft ID 애플리케이션 플랫폼은 앱 개발자 및 조직 관리자에게 매력적인 몇 가지 이점을 제공합니다. Microsoft Entra에서 애플리케이션을 등록하여 Azure 테넌트에 액세스하고 Azure 리소스에서 필요한 권한을 정의할 수 있으며, 그 중 Azure DevOps는 하나로 간주됩니다. Azure DevOps는 Azure 테넌트 생성 외부에 존재합니다.

Microsoft Entra 앱과 Azure DevOps 앱은 서로에 대한 지식이 없는 별도의 엔터티입니다. 애플리케이션을 인증하는 방법은 Microsoft Entra OAuth와 Azure DevOps OAuth의 차이점이 있습니다. 한 가지 중요한 점으로, Microsoft Entra ID OAuth 앱에는 Azure DevOps 액세스 토큰이 아니라 Microsoft Entra 토큰이 발급됩니다. 이러한 토큰은 만료되기 전에 표준 1시간 동안 지속됩니다.

Microsoft Entra에서 Azure DevOps 앱 개발

Microsoft Entra를 통해 제공되는 새로운 기능과 다양한 기대치를 설치 중에 이해하려면 Microsoft Entra 설명서를 철저히 읽어보는 것이 좋습니다.

앱 개발 지원을 위한 지침이 있습니다.

  • 동의한 사용자를 대신하여 작업을 수행하는 앱에 대한 Microsoft Entra OAuth 앱(사용자 앱 대신)
  • 팀 내에서 자동화된 도구를 수행하는 앱에 대한 Microsoft Entra 서비스 주체 및 관리 ID(자체 앱 대신)

PAT를 Microsoft Entra 토큰으로 바꾸기

PAT(개인용 액세스 토큰) 만들기 및 사용 편의성을 위해 Azure DevOps 사용자에게 가장 인기 있는 인증 형태 중 하나로 남아 있습니다. 그러나 PAT 관리 및 스토리지가 좋지 않으면 Azure DevOps 조직에 무단으로 액세스할 수 있습니다. PAT가 장수 기간 동안 살게 하거나 범위를 과도하게 지정하면 유출된 PAT가 할 수 있는 손상 위험을 증가시킬 수 있습니다.

Microsoft Entra 토큰은 새로 고쳐야 하기 전에 1시간 동안만 지속되므로 매력적인 대안을 제공합니다. Entra 토큰을 생성하는 인증 프로토콜은 더 강력하고 안전합니다. 조건부 액세스 정책과 같은 보안 조치는 토큰 도난 및 재생 공격으로부터 보호합니다. 오늘날 일반적으로 사용되는 PAT가 어디에 있든 더 많은 사용자가 Microsoft Entra 토큰을 사용하여 탐색할 수 있기를 바랍니다. 가장 인기 있는 PAT 사용 사례 및 이 워크플로에서 PAT를 Entra 토큰으로 바꿀 수 있는 방법을 공유합니다.

Azure DevOps REST API에 대한 임시 요청

Azure CLI 사용하여 사용자가 Azure DevOps REST API호출할 수 있는 Microsoft Entra ID 액세스 토큰을 가져올 수도 있습니다. Entra 액세스 토큰은 1시간 동안만 사용되므로 영구 토큰이 필요하지 않은 API 호출과 같은 빠른 일회성 작업에 적합합니다.

Azure CLI에서 사용자 토큰 획득

이러한 지침의 공로는 Databricks 문서에 있습니다.

  1. az login 명령을 사용하여 Azure CLI에 로그인하고 화면의 지침을 따릅니다.
  2. 이러한 bash 명령을 사용하여 로그인한 사용자에 대해 올바른 구독을 설정합니다. Azure 구독 ID가 액세스하려는 Azure DevOps 조직에 연결된 테넌트에 연결되어 있는지 확인합니다. 구독 ID를 모르는 경우, Azure Portal에서 찾을 수 있습니다. bash az account set -s <subscription-id>
  3. Microsoft Entra ID 액세스 토큰을 Azure DevOps 리소스 ID 499b84ac-1321-427f-aa17-267ca6975798az account get-access-token을 사용하여 생성합니다. bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv

Azure CLI에서 서비스 주체 토큰 획득

서비스 주체(서비스 프린시펄)는 임시 작업에 임시 Microsoft Entra ID 액세스 토큰을 사용할 수도 있습니다. 이렇게 하는 방법을 알아볼 수 있는 지침은 서비스 주체 및관리 ID에 대한 가이드의 이 섹션에 나와 있습니다.

Git 자격 증명 관리자를 사용하는 Git 작업

Microsoft Entra 토큰을 사용하여 Git 작업을 수행할 수도 있습니다. git 리포지토리에 정기적으로 푸시하는 경우 Git 자격 증명 관리자 사용하는 기본 설정되는 한 Microsoft Entra OAuth 토큰 자격 증명을 요청하고 관리하는 간단한 방법을 제공합니다.