사용자 지정 클레임 공급자
이 문서에서는 Microsoft Entra 사용자 지정 클레임 공급자를 간략하게 설명합니다.
사용자가 애플리케이션에 인증하는 경우 사용자 지정 클레임 공급자를 사용하여 토큰에 클레임을 추가할 수 있습니다. 사용자 지정 클레임 공급자는 외부 시스템에서 클레임을 페치하기 위해 외부 REST API를 호출하는 사용자 지정 인증 확장으로 구성됩니다. 사용자 지정 클레임 공급자를 디렉터리에 있는 하나 이상의 애플리케이션에 할당할 수 있습니다.
사용자에 대한 주요 데이터는 Microsoft Entra ID 외부 시스템에 저장되는 경우가 많습니다. 예를 들어 보조 이메일, 청구 계층 또는 중요한 정보입니다. 일부 애플리케이션은 애플리케이션이 설계된 대로 작동하기 위해 이러한 특성을 사용할 수 있습니다. 예를 들어 애플리케이션은 토큰의 클레임에 따라 특정 기능에 대한 액세스를 차단할 수 있습니다.
다음 동영상은 Microsoft Entra 사용자 지정 인증 확장 및 사용자 지정 클레임 공급자에 대한 우수한 개요를 제공합니다.
다음 시나리오에서는 사용자 지정 클레임 공급자를 사용합니다.
- 레거시 시스템 마이그레이션 - AD FS(Active Directory Federation Services) 또는 사용자에 대한 정보를 포함하는 데이터 저장소(예: LDAP 디렉터리)와 같은 레거시 ID 시스템이 있을 수 있습니다. 이러한 애플리케이션을 마이그레이션하려고 하지만 ID 데이터를 Microsoft Entra ID로 완전히 마이그레이션할 수 없습니다. 앱은 토큰에 대한 특정 정보에 따라 달라질 수 있으며 다시 설계할 수 없습니다.
- 디렉터리에 동기화할 수 없는 다른 데이터 저장소와의 통합 - 타사 시스템 또는 사용자 데이터를 저장하는 사용자 고유의 시스템이 있을 수 있습니다. 이상적으로는 이 정보가 동기화 또는 직접 마이그레이션을 통해 Microsoft Entra 디렉터리에 통합될 수 있습니다. 그러나 이것이 항상 가능한 것은 아닙니다. 제한은 데이터 보존, 규정 또는 기타 요구 사항 때문일 수 있습니다.
참고 항목
사용자 지정 클레임 공급자가 토큰에 사용자 지정 클레임을 추가하는 유일한 방법은 아닙니다. 엔터프라이즈 애플리케이션에 대한 JWT(JSON 웹 토큰)에서 발급된 클레임을 사용자 지정할 수도 있습니다.
토큰 발급 시작 이벤트 수신기
이벤트 수신기는 이벤트가 발생할 때까지 기다리는 프로시저입니다. 사용자 지정 인증 확장은 토큰 발급 시작 이벤트 수신기를 사용합니다. 토큰이 애플리케이션에 발급될 때 이벤트가 트리거됩니다. 이벤트가 트리거되면 사용자 지정 인증 확장 REST API가 호출되어 외부 시스템에서 특성을 가져옵니다.
사용자 지정 클레임 공급자를 설정하려면 토큰 발급 시작 이벤트가 포함된 REST API를 만든 다음 토큰 발급 이벤트에 대한 사용자 지정 클레임 공급자를 구성해야 합니다.
.NET용 Azure Functions 클라이언트 라이브러리에 대한 인증 이벤트 트리거
Azure Functions에 대한 인증 이벤트 트리거를 사용하면 Microsoft Entra ID 인증 이벤트를 처리하는 사용자 지정 확장을 구현할 수 있습니다. 인증 이벤트 트리거는 인증 이벤트에 대한 수신 HTTP 요청에 대한 모든 백 엔드 처리를 처리합니다.
- API 호출 보안을 위한 토큰 유효성 검사
- 개체 모델, 입력 및 IDE Intellisense
- API 요청 및 응답 스키마의 인바운드 및 아웃바운드 유효성 검사