OpenID Connect ID 공급자로 Azure AD B2C 테넌트 추가(미리 보기)

적용: 회색 X 기호가 있는 흰색 원 Workforce 테넌트는 흰색 확인 표시 기호가 있는 녹색 원을 외부 테넌트(자세한알아보기)

Azure AD B2C 테넌트를 ID 공급자로 구성하려면 Azure AD B2C 사용자 지정 정책 및 애플리케이션을 만들어야 합니다.

필수 구성 요소

• 사용자 지정 정책 시작 팩을 사용하여 구성된 Azure AD B2C 테넌트. 자습서 참조 - 사용자 흐름 및 사용자 지정 정책 만들기 - Azure Active Directory B2C | Microsoft Learn
  • 전자 메일이 ID 토큰의 필수 클레임인 경우 이메일 클레임을 받으려면 Azure AD B2C 테넌트에서 사용자 지정 정책을 사용해야 할 수 있습니다.
  • 사용자 지정 정책 배포 도구 사용할 수 있습니다.

사용자 지정 정책 구성

사용자 흐름에서 사용하도록 설정된 경우, 외부 테넌트는 Azure AD B2C 사용자 지정 정책의 토큰에 이메일 클레임이 반환되기를 요구할 수 있습니다.

사용자 지정 정책 시작 팩을 프로비전한 후 Azure AD B2C 테넌트 내의 Identity Experience Framework 블레이드에서 B2C_1A_signup_signin 파일을 다운로드합니다.

1. Azure 포털에 로그인하고, Azure AD B2C을 선택합니다.
2. 개요 페이지에서 정책아래에 있는 식별 경험 프레임워크를 선택합니다.
3. B2C_1A_signup_signin 파일을 검색하고 선택합니다.
4. B2C_1A_signup_signin다운로드합니다.

텍스트 편집기에서 B2C_1A_signup_signin.xml 파일을 엽니다. <OutputClaims> 노드에서 다음 출력 클레임을 추가합니다.

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

파일을 B2C_1A_signup_signin.xml로 저장하고 Azure AD B2C 테넌트의 Identity Experience Framework 블레이드를 통해 업로드합니다. 을(를) 선택하여 기존 정책을 덮어씁니다. 이 단계에서는 Azure AD B2C에서 인증한 후 이메일 주소가 Microsoft Entra ID에 대한 클레임으로 발급되도록 합니다.

Microsoft Entra ID를 애플리케이션으로 등록

Microsoft Entra ID를 Azure AD B2C 테넌트에 애플리케이션으로 등록해야 합니다. 이 단계를 통해 Azure AD B2C는 페더레이션을 위해 Microsoft Entra ID에 토큰을 발급할 수 있습니다.

애플리케이션을 만들려면 다음을 수행합니다.

1. Azure Portal 로그인하고 Azure AD B2C선택합니다.

2. 앱 등록을 선택하고, 새 등록을 선택합니다.

3. 이름란에"Microsoft Entra ID와의 페더레이션"을 입력합니다.

4. 지원되는 계정 유형 아래에서 ID 공급자 또는 조직 디렉터리에서 계정을 선택합니다(사용자 흐름으로 사용자를 인증하기 위해).

5. 리디렉션 URI(에서), 웹을 선택한 다음, 모든 소문자로 다음 URL을 입력하세요. 여기서 your-B2C-tenant-name를 Azure AD B2C 테넌트의 이름(예: Contoso)으로 바꿉니다.

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   예를 들어:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   사용자 지정 도메인을 사용하는 경우 다음을 입력합니다.

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   your-domain-name을 사용자 지정 도메인으로 교체하고, your-tenant-name을 테넌트 이름으로 대체하세요.

6. 사용 권한아래에서, openid 및 offline_access 권한에 대한 관리자 동의 부여를 선택한 후 확인란을 선택합니다.

7. 등록선택합니다.

8. Azure AD B2C - 앱 등록 페이지에서 만든 애플리케이션을 선택하고 애플리케이션 개요 페이지에 표시된 애플리케이션(클라이언트) ID 기록합니다. 다음 섹션에서 ID 공급자를 구성할 때 이 ID가 필요합니다.

9. 왼쪽 메뉴의 관리아래에서 인증서 및 & 비밀을(를) 선택하십시오.

10. 새 클라이언트 비밀 을 선택하세요.

11. 설명 상자에 클라이언트 암호에 대한 설명을 입력합니다. 예: "FederationWithEntraID".

12. 만료아래에서 비밀이 유효한 기간을선택한 다음 추가를 선택합니다.

13. 비밀의 값기록하세요. 다음 섹션에서 ID 공급자를 구성할 때 이 값이 필요합니다.

Azure AD B2C 테넌트를 ID 공급자로 구성합니다.

OpenID Connect well-known 엔드포인트를 생성합니다. <your-B2C-tenant-name>을 Azure AD B2C 테넌트 이름으로 바꿉니다.

사용자 지정 도메인 이름을 사용하는 경우 <custom-domain-name> 사용자 지정 도메인으로 대체합니다. <policy>을/를 B2C 테넌트에서 구성한 정책 이름으로 바꾸십시오. 시작 팩을 사용하는 경우 B2C_1A_signup_signin 파일입니다.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

또는

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. 발급자 URI를 https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/으로 구성하거나, 사용자 지정 도메인을 사용하는 경우 your-b2c-tenant-name.b2clogin.com대신 사용자 지정 도메인을 사용하십시오.
2. 클라이언트 ID에, 이전에 기록한 애플리케이션 ID를 입력합니다.
3. 클라이언트 인증을 client_secret로 선택합니다.
4. 클라이언트 비밀이전에 기록한 클라이언트 암호를 입력합니다.
5. 범위에 openid profile email offline_access를 입력합니다.
6. 응답 유형으로 code 선택합니다.
7. 클레임 매핑에 대해 다음을 구성합니다.

• Sub: sub
• 이름: 이름
• 지정된 이름: given_name
• Family 이름: family_name
• 전자 메일: 전자 메일

ID 공급자를 만들고 로그인 및 등록을 위해 애플리케이션과 연결된 사용자 흐름에 연결합니다.

관련 콘텐츠

• 사용자 지정 OIDC ID 공급자를 외부 ID 공급자로 추가
• OIDC 클레임 매핑 설정