Azure AD B2C를 사용하여 웹앱에서 인증 옵션을 사용하도록 설정
이 문서에서는 웹 애플리케이션에 대한 Azure AD B2C(Azure Active Directory B2C) 인증 환경을 사용하도록 설정, 사용자 지정 및 개선할 수 있는 방법을 설명합니다.
시작하기 전에 다음 문서를 숙지하는 것이 중요합니다.
사용자 지정 도메인 사용
사용자 지정 도메인을 사용하여 인증 URL을 완전히 브랜드화할 수 있습니다. 사용자 관점에서 사용자는 인증 프로세스 중에 Azure AD B2C b2clogin.com 도메인 이름으로 리디렉션되는 대신 도메인에 남아 있습니다.
URL의 “b2c”에 대한 모든 참조를 제거하기 위해 인증 요청 URL의 B2C 테넌트 이름인 contoso.onmicrosoft.com을 테넌트 ID GUID로 바꿀 수도 있습니다. 예를 들어, https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/을 https://account.contosobank.co.uk/<tenant ID GUID>/로 변경할 수 있습니다.
인증 URL에서 사용자 지정 도메인과 테넌트 ID를 사용하려면 사용자 지정 도메인을 사용하는 것으로 설정의 참고 자료를 따릅니다. 프로젝트 루트 폴더에서 appsettings.json 파일을 엽니다. 이 파일에는 Azure AD B2C ID 공급자에 대한 정보가 포함되어 있습니다.
appsettings.json 파일에서 다음을 수행합니다.
다음 JSON은 변경 전의 앱 설정을 보여 줍니다.
"AzureAdB2C": {
"Instance": "https://contoso.b2clogin.com",
"Domain": "tenant-name.onmicrosoft.com",
...
}
다음 JSON은 변경 후의 앱 설정을 보여 줍니다.
"AzureAdB2C": {
"Instance": "https://login.contoso.com",
"Domain": "00000000-0000-0000-0000-000000000000",
...
}
고급 시나리오 지원
개발자는 Microsoft ID 플랫폼 API의 AddMicrosoftIdentityWebAppAuthentication 메서드를 사용하여 고급 인증 시나리오에 대한 코드를 추가하거나 OpenIdConnect 이벤트를 구독할 수 있습니다. 예를 들어, 앱이 Azure AD B2C로 보내는 인증 요청을 사용자 지정할 수 있는 OnRedirectToIdentityProvider를 구독할 수 있습니다.
고급 시나리오를 지원하려면 Startup.cs 파일을 열고 ConfigureServices 함수에서 AddMicrosoftIdentityWebAppAuthentication을 다음 코드 스니펫으로 바꿉니다.
// Configuration to sign-in users with Azure AD B2C
//services.AddMicrosoftIdentityWebAppAuthentication(Configuration, "AzureAdB2C");
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(options =>
{
Configuration.Bind("AzureAdB2C", options);
options.Events ??= new OpenIdConnectEvents();
options.Events.OnRedirectToIdentityProvider += OnRedirectToIdentityProviderFunc;
});
위의 코드는 OnRedirectToIdentityProviderFunc 메서드에 대한 참조와 함께 OnRedirectToIdentityProvider 이벤트를 추가합니다.
Startup.cs 클래스에 다음 코드 조각을 추가합니다.
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Custom code here
// Don't remove this line
await Task.CompletedTask.ConfigureAwait(false);
}
컨텍스트 매개 변수를 사용하여 컨트롤러와 OnRedirectToIdentityProvider 함수 간에 매개 변수를 전달할 수 있습니다.
로그인 이름 미리 채우기
사용자가 로그인하는 동안, 앱은 특정 사용자를 대상으로 지정할 수 있습니다. 앱이 사용자를 대상으로 하는 경우 권한 부여 요청에 login_hint 쿼리 매개 변수와 사용자의 로그인 이름을 지정할 수 있습니다. Azure AD B2C가 자동으로 로그인 이름을 채우며, 사용자는 암호만 입력하면 됩니다.
로그인 이름을 미리 입력하려면 다음을 수행합니다.
사용자 지정 정책을 사용하는 경우 직접 로그인 설정에 설명된 대로 필요한 입력 클레임을 추가합니다.
고급 시나리오 지원 프로시저를 완료합니다.
OnRedirectToIdentityProvider함수에 다음 코드 줄을 추가합니다.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.LoginHint = "emily@contoso.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
ID 공급자 사전 선택
Facebook, LinkedIn 또는 Google 등과 같은 소셜 계정을 포함하도록 애플리케이션에 대한 로그인 과정을 구성한 경우 domain_hint 매개 변수를 지정할 수 있습니다. 이 쿼리 매개 변수는 로그인에 사용해야 하는 소셜 ID 공급자에 대한 힌트를 Azure AD B2C에 제공합니다. 예를 들어, 애플리케이션이 domain_hint=facebook.com을 지정하는 경우, 로그인 흐름을 통해 Facebook 로그인 페이지로 직접 이동됩니다.
외부 ID 공급자로 사용자를 리디렉션하려면 다음을 수행합니다.
외부 ID 공급자의 도메인 이름을 확인합니다. 자세한 내용은 소셜 공급자로 로그인 리디렉션을 참조하세요.
고급 시나리오 지원 프로시저를 완료합니다.
OnRedirectToIdentityProviderFunc함수에서OnRedirectToIdentityProvider함수에 다음 코드 줄을 추가합니다.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.DomainHint = "facebook.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
UI 언어 지정
Azure AD B2C의 언어 사용자 지정을 사용하면 사용자 흐름 상에서 고객의 요구 사항에 맞게 다양한 언어를 수용할 수 있습니다. 자세한 내용은 언어 사용자 지정을 참조하세요.
기본 설정 언어를 지정하려면 다음을 수행합니다.
언어 사용자 지정을 구성합니다.
고급 시나리오 지원 프로시저를 완료합니다.
OnRedirectToIdentityProvider함수에 다음 코드 줄을 추가합니다.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.UiLocales = "es"; // More code await Task.CompletedTask.ConfigureAwait(false); }
사용자 지정 쿼리 문자열 매개 변수 전달
사용자 지정 정책을 사용하면 사용자 지정 쿼리 문자열 매개 변수를 전달할 수 있습니다. 페이지 콘텐츠를 동적으로 변경하려는 경우가 좋은 사용 사례입니다.
사용자 지정 쿼리 문자열 매개 변수를 전달하려면 다음 단계를 수행합니다.
ContentDefinitionParameters 요소를 구성합니다.
고급 시나리오 지원 프로시저를 완료합니다.
OnRedirectToIdentityProvider함수에 다음 코드 줄을 추가합니다.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.Parameters.Add("campaignId", "123"); // More code await Task.CompletedTask.ConfigureAwait(false); }
ID 토큰 힌트 전달
신뢰 당사자 애플리케이션은 OAuth2 권한 부여 요청의 일부로 인바운드 JWT(JSON Web Token)를 보낼 수 있습니다. 인바운드 토큰은 사용자 또는 권한 부여 요청에 대한 힌트입니다. Azure AD B2C는 토큰의 유효성을 검사하고 클레임을 추출합니다.
인증 요청에 ID 토큰 힌트를 포함하려면 다음을 수행합니다.
고급 시나리오 지원 프로시저를 완료합니다.
사용자 지정 정책에서 ID 토큰 힌트 기술 프로필을 정의합니다.
OnRedirectToIdentityProvider함수에 다음 코드 줄을 추가합니다.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { // The idTokenHint variable holds your ID token context.ProtocolMessage.IdTokenHint = idTokenHint // More code await Task.CompletedTask.ConfigureAwait(false); }
계정 컨트롤러
SignIn, SignUp 또는 SignOut 작업을 사용자 지정하려면 자체 컨트롤러를 만드는 것이 좋습니다. 사용자 고유의 컨트롤러를 사용하면 컨트롤러와 인증 라이브러리 간에 매개 변수를 전달할 수 있습니다.
AccountController는 로그인 및 로그아웃 작업을 처리하는 Microsoft.Identity.Web.UI NuGet 패키지의 일부입니다.
Microsoft ID 웹 라이브러리에서 해당 기능이 구현된 것을 확인하실 수 있습니다.
계정 컨트롤러 추가
Visual Studio 프로젝트에서 컨트롤러 폴더를 마우스 오른쪽 단추로 클릭하고 새 컨트롤러를 추가합니다. MVC - 빈 컨트롤러를 선택하고 MyAccountController.cs라는 이름을 제공합니다.
다음 코드 조각에서는 SignIn 작업을 사용하는 사용자 지정 MyAccountController을 보여 줍니다.
using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.OpenIdConnect;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
namespace mywebapp.Controllers
{
[AllowAnonymous]
[Area("MicrosoftIdentity")]
[Route("[area]/[controller]/[action]")]
public class MyAccountController : Controller
{
[HttpGet("{scheme?}")]
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
return Challenge(properties, scheme);
}
}
}
_LoginPartial.cshtml 보기에서 컨트롤러에 대한 로그인 링크를 변경합니다.
<form method="get" asp-area="MicrosoftIdentity" asp-controller="MyAccount" asp-action="SignIn">
Azure AD B2C 정책 ID 전달
다음 코드 조각에서는 SignIn 및 SignUp 작업을 사용하는 사용자 지정 MyAccountController를 보여 줍니다. 해당 작업은 policy이라는 매개 변수를 인증 라이브러리에 전달합니다. 이렇게 하면 특정 작업에 대해 올바른 Azure AD B2C 정책 ID를 제공할 수 있습니다.
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignIn";
return Challenge(properties, scheme);
}
public IActionResult SignUp([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignUp";
return Challenge(properties, scheme);
}
_LoginPartial.cshtml 보기에서 등록 또는 프로필 편집과 같은 다른 모든 인증 링크에 대해 asp-controller 값을 MyAccountController로 변경합니다.
사용자 지정 매개 변수 전달
다음 코드 조각에서는 SignIn 작업을 사용하는 사용자 지정 MyAccountController을 보여 줍니다. 해당 작업은 campaign_id이라는 매개 변수를 인증 라이브러리에 전달합니다.
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignIn";
properties.Items["campaign_id"] = "1234";
return Challenge(properties, scheme);
}
고급 시나리오 지원 절차를 완료한 다음 OnRedirectToIdentityProvider 메서드에서 사용자 지정 매개 변수를 읽습니다.
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Read the custom parameter
var campaign_id = context.Properties.Items.FirstOrDefault(x => x.Key == "campaign_id").Value;
// Add your custom code here
if (campaign_id != null)
{
// Send parameter to authentication request
context.ProtocolMessage.SetParameter("campaign_id", campaign_id);
}
await Task.CompletedTask.ConfigureAwait(false);
}
로그아웃 리디렉션 보안
로그아웃 후 사용자는 애플리케이션에 대해 지정된 회신 URL에 관계없이 post_logout_redirect_uri 매개 변수에 지정된 URI로 리디렉션됩니다. 그러나 유효한 id_token_hint가 전달되고 로그아웃 요청에서 ID 토큰 요구가 켜져 있는 경우 Azure AD B2C는 리디렉션을 수행하기 전 post_logout_redirect_uri 값이 애플리케이션의 구성된 리디렉션 URI 중 하나와 일치하는지 확인합니다. 애플리케이션에 일치하는 회신 URL이 구성되지 않은 경우 오류 메시지가 표시되고 사용자는 리디렉션되지 않습니다.
애플리케이션에서 보안 로그아웃 리디렉션을 지원하려면 먼저 계정 컨트롤러 및 고급 시나리오 지원 섹션의 단계를 따릅니다. 그런 다음 아래 단계를 따릅니다.
MyAccountController.cs컨트롤러에서 다음 코드 조각을 사용하여 SignOut 작업을 추가합니다.[HttpGet("{scheme?}")] public async Task<IActionResult> SignOutAsync([FromRoute] string scheme) { scheme ??= OpenIdConnectDefaults.AuthenticationScheme; //obtain the id_token var idToken = await HttpContext.GetTokenAsync("id_token"); //send the id_token value to the authentication middleware properties.Items["id_token_hint"] = idToken; return SignOut(properties,CookieAuthenticationDefaults.AuthenticationScheme,scheme); }Startup.cs 클래스에서
id_token_hint값을 구문 분석하고 값을 인증 요청에 추가합니다. 다음 코드 조각은id_token_hint값을 인증 요청에 전달하는 방법을 보여 줍니다.private async Task OnRedirectToIdentityProviderForSignOutFunc(RedirectContext context) { var id_token_hint = context.Properties.Items.FirstOrDefault(x => x.Key == "id_token_hint").Value; if (id_token_hint != null) { // Send parameter to authentication request context.ProtocolMessage.SetParameter("id_token_hint", id_token_hint); } await Task.CompletedTask.ConfigureAwait(false); }ConfigureServices함수에서 Controllers가id_token값에 액세스할 수 있도록SaveTokens옵션을 추가합니다.services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(options => { Configuration.Bind("AzureAdB2C", options); options.Events ??= new OpenIdConnectEvents(); options.Events.OnRedirectToIdentityProviderForSignOut += OnRedirectToIdentityProviderForSignOutFunc; options.SaveTokens = true; });appsettings.json 구성 파일에서 로그아웃 리디렉션 URI 경로를
SignedOutCallbackPath키에 추가합니다."AzureAdB2C": { "Instance": "https://<your-tenant-name>.b2clogin.com", "ClientId": "<web-app-application-id>", "Domain": "<your-b2c-domain>", "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>", "SignUpSignInPolicyId": "<your-sign-up-in-policy>" }
위의 예제에서 로그아웃 요청으로 전달된 post_logout_redirect_uri의 형식은 https://your-app.com/signout/<your-sign-up-in-policy>입니다. 이 URL을 애플리케이션 등록의 회신 URL에 추가해야 합니다.
역할 기반 액세스 제어
ASP.NET Core의 권한 부여를 사용하면 다음 방법 중 하나를 사용하여 사용자가 보호된 리소스에 액세스할 수 있는 권한이 있는지 확인할 수 있습니다.
ConfigureServices 메서드에서 권한 부여 모델을 추가하는 AddAuthorization 메서드를 추가합니다. 다음 예시에서는 EmployeeOnly이라는 정책을 생성합니다. 이 정책은 클레임 EmployeeNumber가 존재하는지 여부를 확인합니다. 클레임 값은 1, 2, 3, 4, 5와 같은 ID 중 하나여야 합니다.
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy =>
policy.RequireClaim("EmployeeNumber", "1", "2", "3", "4", "5"));
});
ASP.NET Core의 권한 부여는 AuthorizeAttribute 및 다양한 매개 변수를 사용하여 제어됩니다. 가장 기본적인 형태에서 컨트롤러, 작업, Razor 페이지에 Authorize 특성을 적용하면 해당 구성 요소의 인증된 사용자에 대한 액세스를 제한합니다.
정책 이름과 함께 Authorize 특성을 사용하여 정책을 컨트롤러에 적용합니다. 다음 코드는 EmployeeOnly 정책에 따라 권한이 부여된 사용자의 Claims 작업에 대한 액세스를 제한합니다.
[Authorize(Policy = "EmployeeOnly")]
public IActionResult Claims()
{
return View();
}
다음 단계
- 권한 부여에 대한 자세한 내용은 ASP.NET Core의 권한 부여 소개를 참조하세요.