자습서: Azure Active Directory B2C를 사용하여 Keyless 구성

암호 없는 키 없는 솔루션을 사용하여 Azure AD B2C(Azure Active Directory B2C)를 구성하는 방법을 알아봅니다. IdP(ID 공급자)로 Azure AD B2C를 사용하여 고객 애플리케이션과 Keyless를 통합하여 암호 없는 인증을 제공합니다. ZKB(Keyless Zero-Knowledge 생체 인식)는 고객 환경을 향상시키고 개인 정보를 보호하면서 사기, 피싱 및 자격 증명 재사용을 제거하는 데 도움이 되는 암호 없는 다단계 인증입니다.

keyless.io 이동하여 다음을 알아봅니다.

• 열쇠가 없는
• Keyless가 제로 지식 증명을 사용하여 생체 인식 데이터를 보호하는 방법

필수 조건

시작하려면 다음이 필요합니다.

• Azure 구독
  • 계정이 없으면 Azure 무료 계정을 만듭니다.
• Azure 구독에 연결된 Azure AD B2C 테넌트
• 키 없는 클라우드 테넌트
  • 데모를 요청하려면 keyless.io 이동합니다.
• 사용자 디바이스에 설치된 Keyless Authenticator 앱

시나리오 설명

Keyless 통합에는 다음 구성 요소가 포함됩니다.

• Azure AD B2C – 사용자 자격 증명을 확인하는 권한 부여 서버입니다. IdP라고도 합니다.
• 웹 및 모바일 애플리케이션 - Keyless 및 Azure AD B2C로 보호하기 위한 모바일 또는 웹 애플리케이션
• Keyless Authenticator 모바일 앱 - Azure AD B2C 지원 애플리케이션에 대한 인증을 위한 모바일 앱

다음 아키텍처 다이어그램에서는 구현을 보여 줍니다.

1. 사용자가 로그인 페이지에 도착합니다. 사용자가 로그인/등록을 선택하고 사용자 이름을 입력합니다.
2. 애플리케이션은 ID 확인을 위해 Azure AD B2C에 사용자 특성을 보냅니다.
3. Azure AD B2C는 인증을 위해 사용자 특성을 Keyless로 보냅니다.
4. Keyless는 사용자의 등록된 모바일 디바이스에 인증, 얼굴 생체 인식 검사를 위해 푸시 알림을 보냅니다.
5. 사용자가 푸시 알림에 응답하고 액세스 권한이 부여되거나 거부됩니다.

IdP를 추가하고, IdP를 구성하고, 사용자 흐름 정책을 만듭니다.

다음 섹션을 사용하여 IdP를 추가하고, IdP를 구성하고, 사용자 흐름 정책을 만듭니다.

새 ID 공급자 추가

새 ID 공급자를 추가하려면 다음을 수행합니다.

1. Azure AD B2C 테넌트에서 적어도 B2C IEF 정책 관리자로 Azure Portal에 로그인합니다.
2. 디렉터리 + 구독을 선택합니다.
3. 포털 설정, 디렉터리 + 구독 페이지의 디렉터리 이름 목록에서 Azure AD B2C 디렉터리를 찾습니다.
4. 전환을 선택합니다.
5. Azure Portal의 왼쪽 위 모서리에서 모든 서비스를 선택합니다.
6. Azure AD B2C를 검색하고 선택합니다.
7. 대시보드>Azure Active Directory B2C>ID 공급자로 이동합니다.
8. ID 공급자를 선택합니다.
9. 추가를 선택합니다.

ID 공급자 구성

IdP를 구성하려면 다음을 수행합니다.

1. ID 공급자 유형>OpenID Connect(미리 보기)를 선택합니다.
2. 이름에 대해 Keyless를 선택합니다.
3. 메타데이터 URL의 경우 호스트된 키리스 인증 앱 URI를 삽입한 다음 경로(예: https://keyless.auth/.well-known/openid-configuration.)를 삽입합니다.
4. 클라이언트 암호의 경우 키 없는 인증 인스턴스와 연결된 비밀을 선택합니다. 비밀은 나중에 Keyless 컨테이너 구성에서 사용됩니다.
5. 클라이언트 ID의 경우 클라이언트 ID를 선택합니다. 클라이언트 ID는 나중에 Keyless 컨테이너 구성에서 사용됩니다.
6. 범위의 경우 openid를 선택합니다.
7. 응답 유형에 대해 id_token 선택합니다.
8. 응답 모드의 경우 form_post 선택합니다.
9. 확인을 선택합니다.
10. 이 ID 공급자의 클레임 매핑을 선택합니다.
11. UserID의 경우 구독에서 선택합니다.
12. 표시 이름으로 구독에서를 선택합니다.
13. 응답 모드의 경우 구독에서 선택합니다.
14. 저장을 선택합니다.

사용자 흐름 정책 만들기

Keyless는 B2C ID 공급자를 사용하는 새 OIDC(OpenID Connect) IdP로 표시됩니다.

1. Azure AD B2C 테넌트를 엽니다.
2. 정책 아래에서 사용자 흐름을 선택합니다.
3. 새 사용자 흐름을 선택합니다.
4. 회원가입 및 로그인 선택.
5. 버전을 선택합니다.
6. 선택하고생성합니다.
7. 정책의 이름을 입력합니다.
8. ID 공급자 섹션에서 만든 키 없는 ID 공급자를 선택합니다.
9. 이름을 입력합니다.
10. 만든 IdP를 선택합니다.
11. 전자 메일 주소를 추가합니다. Azure는 로그인을 Keyless로 리디렉션하지 않습니다. 사용자 옵션과 함께 화면이 나타납니다.
12. Multi-Factor Authentication 필드를 그대로 둡니다.
13. 조건부 액세스 정책 적용을 선택합니다.
14. 사용자 특성 및 토큰 클레임의 특성 수집 옵션에서 전자 메일 주소를 선택합니다.
15. Azure AD B2C가 클라이언트 애플리케이션에 반환하는 클레임과 함께 Microsoft Entra ID가 수집하는 사용자 특성을 추가합니다.
16. 선택하고생성합니다.
17. 새 사용자 흐름을 선택합니다.
18. 왼쪽 패널에서 애플리케이션 클레임을 선택합니다.
19. 옵션에서 전자 메일 확인란을 선택합니다.
20. 저장을 선택합니다.

사용자 흐름 테스트

1. Azure AD B2C 테넌트를 엽니다.
2. 정책에서 ID 환경 프레임워크를 선택합니다.
3. 만들어진 SignUpSignIn을 선택합니다.
4. 사용자 흐름 실행을 선택합니다.
5. 애플리케이션의 경우 등록된 앱(예: JWT)을 선택합니다.
6. 회신 URL의 경우 리디렉션 URL을 선택합니다.
7. 사용자 흐름 실행을 선택합니다.
8. 등록 흐름을 완료하고 계정을 만듭니다.
9. 사용자 특성을 만든 후 흐름 중에 Keyless가 호출됩니다.

흐름이 불완전한 경우 사용자가 디렉터리에 저장되어 있는지 또는 없는지 확인합니다.

다음 단계

• Azure AD B2C 사용자 지정 정책 개요
• 자습서: Azure AD B2C에서 사용자 흐름 및 사용자 지정 정책 만들기