적용 대상: 
인력 테넌트(자세한 정보)
SSO(Single Sign-On)는 Microsoft ID 플랫폼 및 Microsoft Entra ID의 주요 제품으로, 앱 사용자에게 쉽고 안전한 로그인을 제공합니다. 또한 앱 보호 정책(APP)을 사용하면 사용자의 데이터를 안전하게 유지하는 주요 보안 정책을 지원할 수 있습니다. 이러한 기능을 함께 사용하면 보안 사용자 로그인 및 앱 데이터 관리가 가능합니다.
이 문서에서는 SSO 및 APP이 중요한 이유를 설명하고 이러한 기능을 지원하는 모바일 애플리케이션을 빌드하기 위한 고급 지침을 제공합니다. 이는 휴대폰 및 태블릿 앱 모두에 적용됩니다. 조직의 Microsoft Entra 테넌트에 SSO를 배포하려는 IT 관리자인 경우 Single Sign-On 배포를 계획하기 위한 지침을 확인하세요.
Single Sign-On 및 앱 보호 정책 정보
SSO(Single Sign-On)를 사용하면 사용자가 자격 증명을 다시 입력하지 않고도 한 번 로그인하고 다른 애플리케이션에 액세스할 수 있습니다. 이렇게 하면 앱에 더 쉽게 액세스할 수 있으며 사용자가 긴 사용자 이름 및 암호 목록을 기억할 필요가 없습니다. 앱에서 구현하면 앱에 더 쉽게 액세스하고 사용할 수 있습니다.
또한 앱에서 Single Sign-On을 사용하도록 설정하면 암호 없는 로그인과 같은 최신 인증과 함께 제공되는 새로운 인증 메커니즘의 잠금이 해제됩니다. 사용자 이름과 암호는 애플리케이션에 대한 가장 인기 있는 공격 벡터 중 하나이며, SSO를 사용하면 추가 보안을 추가하거나 보다 안전한 인증 메커니즘을 사용하는 조건부 액세스 또는 암호 없는 로그인을 적용하여 이러한 위험을 완화할 수 있습니다. 마지막으로 Single Sign-On을 사용하도록 설정하면 Single Sign-Out도 가능합니다. 이는 공유 디바이스에서 사용되는 작업 애플리케이션과 같은 상황에서 유용합니다.
앱 보호 정책(APP) 은 조직의 데이터가 안전하게 유지되고 포함되도록 합니다. 이를 통해 회사는 앱 내에서 데이터를 관리하고 보호할 수 있으며 앱 및 해당 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다. 앱 보호 정책을 구현하면 앱이 조건부 액세스 정책으로 보호되는 리소스에 사용자를 연결하고 다른 보호된 앱과 안전하게 데이터를 전송할 수 있습니다. 앱 보호 정책에 의해 잠금 해제된 시나리오에는 앱을 열 때 PIN 입력 요구, 앱 간 데이터 공유 제어, 회사 앱 데이터가 개인 스토리지 위치에 저장되지 않도록 하는 것이 포함됩니다.
Single Sign-On 구현
앱에서 Single Sign-On을 활용할 수 있도록 하려면 다음을 사용하는 것이 좋습니다.
MSAL(Microsoft 인증 라이브러리) 사용
애플리케이션에서 Single Sign-On을 구현하는 가장 좋은 방법은 MSAL(Microsoft 인증 라이브러리)을 사용하는 것입니다. MSAL을 사용하면 최소한의 코드 및 API 호출로 앱에 인증을 추가하고 , Microsoft ID 플랫폼의 전체 기능을 가져오고, Microsoft에서 보안 인증 솔루션의 유지 관리를 처리하도록 할 수 있습니다. 기본적으로 MSAL은 애플리케이션에 대한 SSO 지원을 추가합니다. 또한 앱 보호 정책을 구현하려는 경우 MSAL을 사용하는 것이 요구 사항입니다.
비고
포함된 웹 보기를 사용하도록 MSAL을 구성할 수 있습니다. 이렇게 하면 Single Sign-On이 방지됩니다. 기본 동작(즉, 시스템 웹 브라우저)을 사용하여 SSO가 작동하는지 확인합니다.
iOS 애플리케이션의 경우 MSAL을 사용하여 로그인을 설정하는 방법과 다양한 SSO 시나리오에 대해 MSAL을 구성하기 위한 지침을 보여 주는 빠른 시작이 있습니다.
Android 애플리케이션의 경우 MSAL을 사용하여 로그인을 설정하는 방법과 MSAL을 사용하여 Android에서 앱 간 SSO를 사용하도록 설정하는 방법에 대한 지침을 보여 주는 빠른 시작이 있습니다.
시스템 웹 브라우저 사용
웹 브라우저는 대화형 인증에 필요합니다. MSAL 이외의 최신 인증 라이브러리(즉, 다른 OpenID Connect 또는 SAML 라이브러리)를 사용하는 모바일 앱의 경우 또는 사용자 고유의 인증 코드를 구현하는 경우 시스템 브라우저를 인증 화면으로 사용하여 SSO를 사용하도록 설정해야 합니다.
Google에는 Android 애플리케이션: Chrome 사용자 지정 탭 - Google Chrome에서 이 작업을 수행하기 위한 지침이 있습니다.
Apple에는 iOS 애플리케이션에서 이 작업을 수행하기 위한 지침이 있습니다. 웹 서비스를 통해 사용자 인증 | Apple 개발자 설명서.
팁 (조언)
Apple 디바이스용 SSO 플러그 인을 사용하면 Intune을 사용하여 관리되는 디바이스에서 포함된 웹 보기를 사용하는 iOS 앱용 SSO를 허용합니다. 모든 사용자에 대해 SSO를 사용하도록 설정하는 앱을 개발하기 위한 최상의 옵션으로 MSAL 및 시스템 브라우저를 권장하지만, 그렇지 않으면 가능하지 않은 일부 시나리오에서 SSO를 허용합니다.
앱 보호 정책 사용
앱 보호 정책을 사용하도록 설정하려면 MSAL(Microsoft 인증 라이브러리)을 사용합니다. MSAL은 Microsoft ID 플랫폼의 인증 및 권한 부여 라이브러리이며 Intune SDK는 함께 작동하도록 개발되었습니다.
또한 인증에 broker 앱을 사용해야 합니다. 브로커는 앱 준수를 보장하기 위해 앱이 애플리케이션 및 디바이스 정보를 제공해야 합니다. iOS 사용자는 Microsoft Authenticator 앱을 사용하고 Android 사용자는 조정된 인증에 Microsoft Authenticator 앱 또는 회사 포털 앱을 사용합니다. 기본적으로 MSAL은 인증 요청을 수행하기 위한 첫 번째 선택으로 브로커를 사용합니다. 따라서 MSAL을 기본 설정으로 사용할 때 인증을 위한 브로커 사용 기능이 자동으로 활성화됩니다.
마지막으로 앱 에 Intune SDK를 추가하여 앱 보호 정책을 사용하도록 설정합니다. 대부분의 SDK는 절편 모델을 따르며 앱 보호 정책을 자동으로 적용하여 앱이 수행하는 작업이 허용되는지 여부를 확인합니다. 또한 특정 작업에 제한이 있는지 앱에 알리기 위해 수동으로 호출할 수 있는 API도 있습니다.