외부 저장소에서 클레임이 있는 토큰을 받도록 SAML 앱 구성

  • 아티클

이 문서에서는 사용자 지정 클레임 공급자로부터 외부 클레임이 있는 토큰을 받도록 SAML 애플리케이션을 구성하는 방법을 설명합니다.

필수 조건

외부 클레임이 있는 토큰을 받도록 SAML 애플리케이션을 구성하기 전에 먼저 다음 섹션을 따릅니다.

보강된 토큰을 받는 SAML 애플리케이션 구성

개별 앱 관리자 또는 소유자는 사용자 지정 클레임 공급자를 사용하여 기존 애플리케이션 또는 새 애플리케이션에 대한 토큰을 보강할 수 있습니다. 이러한 앱은 JWT(OpenID Connect) 또는 SAML 형식의 토큰을 사용할 수 있습니다.

다음 단계는 보강된 클레임이 있는 토큰을 받을 수 있는지 여부를 테스트할 수 있도록 데모 XRayClaims 애플리케이션을 등록하는 것입니다.

새 SAML 애플리케이션 추가

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

테넌트에서 갤러리가 아닌 새 SAML 애플리케이션을 추가합니다.

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.

  3. 새 애플리케이션을 선택한 다음, 사용자 고유의 애플리케이션 만들기를 선택합니다.

  4. 앱의 이름을 추가합니다. 예: AzureADClaimsXRay 갤러리에 없는 다른 애플리케이션 통합(비갤러리) 옵션을 선택하고 만들기를 선택합니다.

SAML을 사용하여 Single Sign-On 구성

앱에 대한 Single Sign-On을 설정합니다.

  1. 개요 페이지에서 Single Sign-On 설정을 선택한 다음, SAML을 선택합니다. 기본 SAML 구성에서 편집을 선택합니다.

  2. 식별자 추가를 선택하고 식별자로 "urn:microsoft:adfs:claimsxray"를 추가합니다. 해당 식별자를 조직의 다른 애플리케이션에서 이미 사용 중인 경우 urn:microsoft:adfs:claimsxray12 등의 다른 식별자를 사용할 수 있습니다.

  3. 회신 URL을 선택하고 https://adfshelp.microsoft.com/ClaimsXray/TokenResponse를 회신 URL로 추가합니다.

  4. 저장을 선택합니다.

클레임 구성

사용자 지정 클레임 공급자 API에서 반환하는 특성은 Microsoft Entra ID에서 반환된 토큰에 자동으로 포함되지 않습니다. 사용자 지정 클레임 공급자가 반환한 특성을 참조하고 토큰에서 클레임으로 반환하도록 애플리케이션을 구성해야 합니다.

  1. 해당 새 앱에 대한 엔터프라이즈 애플리케이션 구성 페이지에서 Single Sign-On 창으로 이동합니다.

  2. 특성 및 클레임 섹션에 대해 편집을 선택합니다.

  3. 고급 설정 섹션을 확장합니다.

  4. 사용자 지정 클레임 공급자에 대해 구성을 선택합니다.

  5. 사용자 지정 클레임 공급자 드롭다운에서 이전에 등록한 사용자 지정 인증 확장을 선택합니다. 저장을 선택합니다.

  6. 새 클레임 추가를 선택하여 새 클레임을 추가합니다.

  7. 발급하려는 클레임에 대해 이름(예: "DoB")을 지정합니다. 필요에 따라 네임스페이스 URI를 설정합니다.

  8. 원본의 경우 특성을 선택하고 원본 특성 드롭다운에서 사용자 지정 클레임 공급자가 제공하는 특성을 선택합니다. 표시된 특성은 사용자 지정 클레임 공급자 구성에서 사용자 지정 클레임 공급자가 '사용 가능'으로 정의한 특성입니다. 사용자 지정 클레임 공급자에서 제공하는 특성에는 customclaimsprovider 접두사가 지정됩니다. 예: customclaimsprovider.DateOfBirthcustomclaimsprovider.CustomRoles 이러한 클레임은 API 응답에 따라 단일 값 또는 다중 값일 수 있습니다.

  9. 저장을 선택하여 SAML 토큰 구성에 클레임을 추가합니다.

  10. 클레임 관리특성 및 클레임 창을 닫습니다.

앱에 사용자 또는 그룹 할당

사용자 로그인을 테스트하기 전에 앱에 사용자 또는 사용자 그룹을 할당해야 합니다. 그렇지 않으면 로그인할 때 AADSTS50105 - The signed in user is not assigned to a role for the application 오류가 반환됩니다.

  1. 애플리케이션 개요 페이지의 시작 아래에서 사용자 및 그룹 할당을 선택합니다.

  2. 사용자 및 그룹 페이지에서 사용자/그룹 추가를 선택합니다.

  3. 앱에 로그인할 사용자를 검색하고 선택합니다. 할당 단추를 선택합니다.

애플리케이션 테스트

애플리케이션에 로그인하는 사용자에 대해 토큰이 보강되고 있는지 테스트합니다.

  1. 앱 개요 페이지의 왼쪽 탐색 모음에서 Single Sign-On을 선택합니다.

  2. 아래로 스크롤하고 {app name}(으)로 Single Sign-On 테스트 아래에서 테스트를 선택합니다.

  3. 로그인 테스트를 선택하고 로그인합니다. 로그인이 끝나면 토큰 응답 클레임 X-ray 도구가 표시됩니다. 사용자 지정 클레임 공급자를 원본으로 사용하는 클레임을 포함하여 null이 아닌 값이 있는 경우 토큰에 표시되도록 구성한 클레임이 모두 나열됩니다.

외부 원본의 클레임을 보여 주는 스크린샷

다음 단계

사용자 지정 클레임 공급자 API 문제를 해결합니다.

Azure Functions 샘플 앱에 대한 인증 이벤트 트리거를 확인합니다.