중요합니다
2025년 5월 1일부터 새 고객을 위해 Azure AD B2C를 더 이상 구매할 수 없습니다. FAQ에서 자세히 알아보세요.
시작하기 전에 이 페이지의 맨 위에 있는 정책 유형 선택기를 사용하여 설정하려는 정책 유형을 선택합니다. Azure Active Directory B2C는 미리 정의된 사용자 흐름 또는 완전히 구성 가능한 사용자 지정 정책을 통해 사용자가 애플리케이션과 상호 작용하는 방법을 정의하는 두 가지 방법을 제공합니다. 이 게시물에서 필요한 단계는 각 방법마다 다릅니다.
이 기능은 사용자 지정 정책에만 사용할 수 있습니다. 설정 단계의 경우 이전 선택기에서 사용자 지정 정책을 선택합니다.
Azure AD B2C(Azure Active Directory B2C)는 암호와 인증서를 정책 키 형식으로 저장하여 통합된 서비스와의 신뢰를 설정합니다. 이러한 트러스트는 다음으로 구성됩니다.
- 외부 ID 공급자
- REST API 서비스와 연결
- 토큰 서명 및 암호화
이 문서에서는 Azure AD B2C에서 사용하는 정책 키에 대해 알아야 할 사항에 대해 설명합니다.
비고
현재 정책 키 구성은 사용자 지정 정책 으로만 제한됩니다.
정책 키 메뉴에서 Azure Portal의 서비스 간에 트러스트를 설정하기 위해 비밀 및 인증서를 구성할 수 있습니다. 키는 대칭 또는 비대칭일 수 있습니다. 대칭 암호화 또는 프라이빗 키 암호화는 공유 비밀이 데이터를 암호화하고 암호 해독하는 데 사용되는 위치입니다. 비대칭 암호화 또는 공개 키 암호화는 신뢰 당사자 애플리케이션과 공유되는 공개 키와 Azure AD B2C에만 알려진 프라이빗 키로 구성된 키 쌍을 사용하는 암호화 시스템입니다.
정책 키 집합 및 키
Azure AD B2C의 정책 키에 대한 최상위 리소스는 키 집합 컨테이너입니다. 각 키 집합에는 하나 이상의 키가 포함됩니다. 키에는 다음과 같은 특성이 있습니다.
| 특성 | 필수 | 비고 |
|---|---|---|
use |
예 | 사용법: 공개 키의 의도된 사용을 식별합니다. 데이터 암호화 또는 데이터에 encsig대한 서명 확인. |
nbf |
아니오 | 활성화 날짜 및 시간입니다. 오버라이드 값은 관리자가 수동으로 설정할 수 있습니다. |
exp |
아니오 | 만료 날짜 및 시간입니다. 오버라이드 값은 관리자가 수동으로 설정할 수 있습니다. |
PKI 표준에 따라 키 활성화 및 만료 값을 설정하는 것이 좋습니다. 보안 또는 정책상의 이유로 이러한 인증서를 주기적으로 순환해야 할 수 있습니다. 예를 들어 매년 모든 인증서를 회전하는 정책이 있을 수 있습니다.
키를 만들려면 다음 방법 중 하나를 선택할 수 있습니다.
- 수동 - 정의한 문자열을 사용하여 비밀을 만듭니다. 비밀은 대칭 키입니다. 활성화 및 만료 날짜를 설정할 수 있습니다.
-
생성됨 - 키를 자동으로 생성합니다. 활성화 및 만료 날짜를 설정할 수 있습니다. 다음 두 가지 옵션이 있습니다.
- 비밀 - 대칭 키를 생성합니다.
- RSA - 키 쌍(비대칭 키)을 생성합니다.
- 업로드 - 인증서 또는 PKCS12 키를 업로드합니다. 인증서에는 프라이빗 및 퍼블릭 키(비대칭 키)가 포함되어야 합니다.
키 롤오버
보안을 위해 Azure AD B2C는 키를 주기적으로 롤오버하거나 긴급 시 즉시 롤오버할 수 있습니다. Azure AD B2C와 통합되는 모든 애플리케이션, ID 공급자 또는 REST API는 발생 빈도에 관계없이 키 롤오버 이벤트를 처리할 준비가 되어 있어야 합니다. 그렇지 않은 경우 애플리케이션 또는 Azure AD B2C가 만료된 키를 사용하여 암호화 작업을 수행하려고 하면 로그인 요청이 실패합니다.
Azure AD B2C 키 집합에 여러 키가 있는 경우 다음 조건에 따라 한 번에 하나의 키만 활성화됩니다.
키 활성화는 활성화 날짜를 기준으로 합니다.
- 키는 정품 인증 날짜를 기준으로 오름차순으로 정렬됩니다. 나중에 활성화 날짜가 추가된 키는 목록에서 더 낮게 표시됩니다. 활성화 날짜가 없는 키는 목록 맨 아래에 있습니다.
- 현재 날짜와 시간이 키의 활성화 날짜보다 크면 Azure AD B2C는 키를 활성화하고 이전 활성 키 사용을 중지합니다.
현재 키의 만료 시간이 경과하고 키 컨테이너에 유효한 nbf(이전이 아님) 및 exp(만료) 시간이 있는 새 키가 포함되어 있으면 새 키가 자동으로 활성화됩니다. 새 토큰은 새로 활성 키로 서명됩니다. 관리자가 사용하지 않도록 설정할 때까지 토큰 유효성 검사를 위해 게시된 만료된 키를 유지할 수 있지만 지원 요청을 제출하여 요청해야 합니다.
현재 키의 만료 시간이 경과하고 키 컨테이너에 유효 하지 않은 이전 및 만료 시간이 있는 새 키가 없는 경우 Azure AD B2C는 만료된 키를 사용할 수 없습니다. Azure AD B2C는 사용자 지정 정책의 종속 구성 요소 내에서 오류 메시지를 발생합니다. 이 문제를 방지하려면 활성화 및 만료 날짜 없이 기본 키를 안전망으로 만들 수 있습니다.
OpenId Connect 잘 알려진 구성 엔드포인트의 키 엔드포인트(JWKS URI)는 키가 JwtIssuer 기술 프로필에서 참조될 때 키 컨테이너에 구성된 키를 반영합니다. OIDC 라이브러리를 사용하는 애플리케이션은 이 메타데이터를 자동으로 가져와 올바른 키를 사용하여 토큰의 유효성을 검사합니다. 자세한 내용은 항상 최신 토큰 서명 키를 자동으로 가져오는 Microsoft 인증 라이브러리를 사용하는 방법을 알아봅니다.
키 캐싱
키가 업로드되면 키의 활성화 플래그가 기본적으로 false로 설정됩니다. 그런 다음 이 키의 상태를 Enabled로 설정할 수 있습니다. 키가 활성화되고 유효한 경우(현재 시간은 NBF와 EXP 사이임) 키가 사용됩니다.
중요한 상태
활성화 플래그 속성은 관리자가 키를 사용하지 않도록 설정하고 순환에서 벗어날 수 있도록 Azure Portal UX 내에서 수정할 수 있습니다.
정책 키 관리
키 컨테이너 내에서 현재 활성 키를 얻으려면 Microsoft Graph API getActiveKey 엔드포인트를 사용합니다.
서명 및 암호화 키를 추가하거나 삭제하려면 다음을 수행합니다.
- Azure Portal에 로그인합니다.
- 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
- Azure Portal에서 Azure AD B2C를 검색하고 선택합니다.
- 개요 페이지에서 정책아래에 있는 식별 경험 프레임워크를 선택합니다.
-
정책 키 선택
- 새 키를 추가하려면 추가를 선택합니다.
- 새 키를 제거하려면 키를 선택한 다음 삭제를 선택합니다. 키를 삭제하려면 삭제할 키 컨테이너의 이름을 입력합니다. Azure AD B2C는 키를 삭제하고 접미사 .bak 사용하여 키의 복사본을 만듭니다.
키 바꾸기
키 집합의 키는 바꿀 수 없거나 이동식이 아닙니다. 기존 키를 변경해야 하는 경우:
- 활성화 날짜가 현재 날짜 및 시간으로 설정된 새 키를 추가하는 것이 좋습니다. Azure AD B2C는 새 키를 활성화하고 이전 활성 키 사용을 중지합니다.
- 또는 올바른 키를 사용하여 새 키 집합을 만들 수 있습니다. 새 키 집합을 사용하도록 정책을 업데이트한 다음 이전 키 집합을 제거합니다.