Azure Static Web Apps의 사용자 지정 인증

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

Microsoft Entra 공급자는 두 가지 버전으로 제공됩니다. 버전 1은 페이로드가 사용자 정보를 반환할 수 있도록 하는 userDetailsClaim을 명시적으로 정의합니다. 반대로 버전 2는 기본적으로 사용자 정보를 반환하고, openIdIssuer URL에서 v2.0으로 지정됩니다.

Microsoft Entra 버전 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

<TENANT_ID>를 Microsoft Entra 테넌트 ID로 바꿉니다.

Microsoft Entra 버전 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

<TENANT_ID>를 Microsoft Entra 테넌트 ID로 바꿉니다.

Microsoft Entra ID를 구성하는 방법에 대한 자세한 내용은 기존 등록 사용에 대한 App Service 인증/권한 부여 설명서를 참조하세요.

로그인할 수 있는 계정을 구성하려면 애플리케이션에서 지원하는 계정 수정 및 Microsoft Entra 앱을 Microsoft Entra 테넌트의 사용자 집합으로 제한을 참조하세요.

사용자 지정 인증서

Microsoft Entra ID 앱 등록에 사용자 지정 인증서를 추가하려면 다음 단계를 따릅니다.

1. 아직 인증서가 없으면 Microsoft Key Vault에 인증서를 업로드합니다.

2. Static Web App에 관리 ID를 추가합니다.

   사용자가 할당한 관리 ID의 경우 정적 사이트 개체의 keyVaultReferenceIdentity 속성을 사용자가 할당한 관리 ID의 resourceId로 설정합니다.

   관리 ID가 시스템에서 할당된 경우 이 단계를 건너뜁니다.

3. 관리 ID에 다음 액세스 정책을 부여합니다.

   • 비밀: Get/List
   • 인증서: Get/List

4. 다음 예에 표시된 대로 azureActiveDirectory 구성 섹션의 인증 구성 섹션을 clientSecretCertificateKeyVaultReference 값으로 업데이트합니다.

   {
     "auth": {
       "rolesSource": "/api/GetRoles",
       "identityProviders": {
         "azureActiveDirectory": {
           "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
           "registration": {
             "openIdIssuer": "https://login.microsoftonline.com/common/v2.0",
             "clientIdSettingName": "AZURE_CLIENT_ID",
             "clientSecretCertificateKeyVaultReference": "@Microsoft.KeyVault(SecretUri=https://<KEY_VAULT_NAME>.azure.net/certificates/<CERTIFICATE_NAME>/<CERTIFICATE_VERSION_ID>)",
             "clientSecretCertificateThumbprint": "*"
           }
         }
       }
     }
   }
   

   <>로 묶인 자리 표시자의 값을 바꿔야 합니다.

   비밀 URI에서 키 자격 증명 모음 이름과 인증서 이름을 지정합니다. 버전에 고정하려면 인증서 버전을 포함하고, 그렇지 않으면 런타임이 인증서의 최신 버전을 선택할 수 있도록 버전을 생략합니다.

   항상 최신 버전의 인증서 지문을 끌어오려면 clientSecretCertificateThumbprint를 *와 동일하게 설정합니다.

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Apple을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조하세요.

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Facebook을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조하세요.

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Google을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조하세요.

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "X_CONSUMER_KEY",
          "consumerSecretSettingName": "X_CONSUMER_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

X를 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조 하세요.

OIDC(OpenID Connect) 사양을 준수하는 사용자 지정 인증 공급자를 사용하도록 Azure Static Web Apps를 구성할 수 있습니다. 사용자 지정 OIDC 공급자를 사용하려면 다음 단계가 필요합니다.

• 하나 이상의 OIDC 공급자가 허용됩니다.
• 각 공급자는 구성에 고유한 이름이 있어야 합니다.
• 하나의 공급자만 기본 리디렉션 대상이 될 수 있습니다.

ID 공급자에 애플리케이션 등록

ID 공급자에 애플리케이션의 세부 정보를 등록해야 합니다. 애플리케이션에 대한 클라이언트 ID 및 클라이언트 암호를 생성하는 데 필요한 단계는 공급자에게 문의하세요.

애플리케이션이 ID 공급자에 등록되면 정적 웹앱의 애플리케이션 설정에서 다음 애플리케이션 비밀을 만듭니다.

다른 공급자를 등록하는 경우 각 공급자에는 애플리케이션 설정에 연결된 클라이언트 ID와 클라이언트 암호 저장소가 필요합니다.

등록 자격 증명이 있으면 다음 단계를 사용하여 사용자 지정 등록을 만듭니다.

1. 또한 공급자에 대한 OpenID Connect 메타데이터가 필요합니다. 이 정보는 일반적으로 공급자의 발급자 URL에 /.well-known/openid-configuration이 접미사로 추가된 구성 메타데이터 문서를 통해 노출됩니다. 이 구성 URL을 수집합니다.

2. OIDC 공급자 및 공급자 정의에 대한 구성 블록이 있는 구성 파일의 auth 섹션을 추가합니다.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• 이 예제에서 공급자 이름 myProvider는 Azure Static Web Apps에서 사용되는 고유 식별자입니다.
• <PROVIDER_ISSUER_URL>을 공급자의 발급자 URL에 대한 경로로 바꿉니다.
• login 개체를 사용하면 사용자 지정 범위, 로그인 매개 변수 또는 사용자 지정 클레임에 대한 값을 제공할 수 있습니다.

역할에 사용자 추가

사용자를 역할에 추가하려면 특정 역할에 사용자를 연결하는 데 사용할 수 있는 초대를 생성합니다. 역할은 staticwebapp.config.json 파일에서 정의되고 유지됩니다.

초대 만들기

초대는 개별 인증 공급자와 관련이 있으므로 지원할 공급자를 선택할 때 앱의 요구 사항을 고려해야 합니다. 일부 공급자는 사용자의 이메일 주소를 노출하지만 다른 공급자는 사이트의 사용자 이름만 제공합니다.

다음 단계를 사용하여 초대를 만듭니다.

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 초대를 선택합니다.
4. 옵션 목록에서 권한 부여 공급자를 선택합니다.
5. 초대 대상자 정보 상자에 받는 사람의 사용자 이름 또는 이메일 주소를 추가합니다.
   • GitHub 및 X의 경우 사용자 이름을 입력합니다. 다른 모든 경우에는 받는 사람의 이메일 주소를 입력합니다.
6. 도메인 드롭다운 메뉴에서 정적 사이트의 도메인을 선택합니다.
   • 선택한 도메인은 초대에 표시되는 도메인입니다. 사이트와 연결된 사용자 지정 도메인이 있는 경우 사용자 지정 도메인을 선택합니다.
7. 역할 상자에 쉼표로 구분된 역할 이름 목록을 추가합니다.
8. 초대가 유효한 상태로 유지되도록 할 최대 시간을 입력합니다.
   • 가능한 최대 제한은 168시간(7일)입니다.
9. 생성을 선택합니다.
10. 초대 링크 상자에서 링크를 복사합니다.
11. 액세스를 허용하는 사용지에게 초대 링크를 메일로 보냅니다.

사용자가 초대의 링크를 클릭하면 해당 계정으로 로그인하라는 메시지가 표시됩니다. 성공적으로 로그인하면 사용자는 선택한 역할과 연결됩니다.

역할 할당 업데이트

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 목록에서 사용자를 선택합니다.
4. 역할 상자에서 역할 목록을 편집합니다.
5. 업데이트를 선택합니다.

사용자 삭제

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 목록에서 사용자를 찾습니다.
4. 사용자의 행에 대한 확인란을 선택합니다.
5. 삭제를 선택합니다.

사용자를 제거하는 경우 다음 항목을 염두에 두어야 합니다.

• 사용자를 제거하면 해당 권한이 무효화됩니다.
• 전 세계적으로 전파하는 데 몇 분 정도 걸릴 수 있습니다.
• 사용자를 앱에 다시 추가하면 userId가 변경됩니다.

기본 제공 초대 시스템을 사용하는 대신 서버리스 함수를 사용하여 사용자가 로그인할 때 프로그래밍 방식으로 역할을 할당할 수 있습니다.

함수에서 사용자 지정 역할을 할당하려면 사용자가 ID 공급자를 사용하여 성공적으로 인증할 때마다 자동으로 호출되는 API 함수를 정의할 수 있습니다. 함수는 공급자로부터 사용자 정보를 전달받습니다. 사용자에게 할당된 사용자 지정 역할 목록을 반환해야 합니다.

이 함수의 사용 예제는 다음과 같습니다.

• 데이터베이스를 쿼리하여 사용자에게 할당해야 하는 역할 확인
• Microsoft Graph API 호출하여 Active Directory 그룹 멤버 자격에 따라 사용자의 역할 결정
• ID 공급자가 반환한 클레임을 기반으로 사용자 역할 결정

역할을 할당하기 위한 함수 구성

API 함수를 역할 할당 함수로 사용하도록 Static Web Apps 구성하려면 앱 구성 파일의 auth 섹션에 rolesSource 속성을 추가합니다. rolesSource 속성 값은 API 함수의 경로입니다.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

역할을 할당하기 위한 함수 만들기

앱 구성에서 rolesSource 속성을 정의한 후 지정한 경로의 정적 웹앱에 API 함수를 추가합니다. 관리형 함수 앱을 사용하거나 사용자 고유의 함수 앱을 가져올 수 있습니다.

사용자가 ID 공급자를 사용하여 성공적으로 인증할 때마다 POST 메서드가 지정된 함수를 호출됩니다. 이 함수는 공급자의 사용자 정보를 포함하는 요청 본문에서 JSON 개체를 전달합니다. 일부 ID 공급자의 경우 사용자 정보에는 함수가 사용자의 ID를 사용하여 API를 호출하는 데 사용할 수 있는 accessToken도 포함됩니다.

Microsoft Entra ID의 다음 예 페이로드를 참조하세요.

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

함수는 사용자의 정보를 사용하여 사용자에게 할당할 역할을 결정할 수 있습니다. 사용자에게 할당할 사용자 지정 역할 이름 목록이 포함된 JSON 본문과 함께 HTTP 200 응답을 반환해야 합니다.

예를 들어 사용자에게 Reader 및 Contributor 역할을 할당하려면 다음 응답을 반환합니다.

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

사용자에게 다른 역할을 할당하지 않으려면 빈 roles 배열을 반환합니다.

자세한 내용은 자습서: 함수 및 Microsoft Graph를 사용하여 사용자 지정 역할 할당을 참조하세요.