Microsoft Entra 백업 인증 시스템은 지원되는 프로토콜과 흐름을 사용하는 애플리케이션에 복원력을 제공합니다. 백업 인증 시스템에 대한 자세한 내용은 Microsoft Entra ID의 백업 인증 시스템을 참조하세요.
보호를 위한 애플리케이션 요구 사항
애플리케이션은 지정된 Azure 환경에 대해 지원되는 호스트 이름과 통신해야 하며 현재 백업 인증 시스템에서 지원되는 프로토콜을 사용해야 합니다. MSAL(Microsoft 인증 라이브러리)과 같은 인증 라이브러리를 사용하면 백업 인증 시스템에서 지원하는 인증 프로토콜을 사용할 수 있습니다.
백업 인증 시스템에서 지원되는 호스트 이름
| Azure 환경 | 지원되는 호스트 이름 |
|---|---|
| Azure 상용 | login.microsoftonline.com |
| Azure Government (애저 정부) | login.microsoftonline.us |
백업 인증 시스템에서 지원하는 인증 프로토콜
OAuth 2.0 및 OpenID Connect(OIDC)
공통 지침
OAuth(Open Authorization) 2.0 및/또는 OIDC 프로토콜을 사용하는 모든 애플리케이션은 복원력을 보장하기 위해 다음 사례를 준수해야 합니다.
- 애플리케이션이 MSAL을 사용하거나 OpenID Connect 및 OAuth2 사양을 엄격하게 준수합니다. Microsoft에서는 플랫폼 및 사용 사례에 적합한 MSAL 라이브러리를 사용하는 것이 좋습니다. 이러한 라이브러리를 사용하면 백업 인증 시스템에서 API 사용 및 호출 패턴을 지원할 수 있습니다.
- 애플리케이션은 액세스 토큰을 획득할 때 동적 동의 대신 고정된 범위 집합을 사용합니다.
- 사용자의 애플리케이션은 리소스 소유자 암호 자격 증명 부여를 사용하지 않습니다. 이 부여 형식은 모든 클라이언트 유형의 백업 인증 시스템에서 지원되지 않습니다. Microsoft는 더 나은 보안과 복원력을 위해 대체 승인 흐름으로 전환할 것을 강력히 권장합니다.
- 사용자의 응용 프로그램은 UserInfo 엔드포인트에 의존하지 않습니다. 대신 ID 토큰을 사용하도록 전환하면 최대 2개의 네트워크 요청을 제거하여 대기 시간을 줄이고 백업 인증 시스템 내에서 ID 토큰 복원력에 대한 기존 지원을 사용합니다.
네이티브 애플리케이션
네이티브 애플리케이션은 웹 브라우저가 아닌 데스크톱이나 모바일 디바이스에서 직접 실행되는 공용 클라이언트 애플리케이션입니다. Microsoft Entra 관리 센터 또는 Azure Portal의 애플리케이션 등록에서 공용 클라이언트로 등록됩니다.
다음 사항이 모두 충족되는 경우 네이티브 애플리케이션은 백업 인증 시스템으로 보호됩니다.
- 애플리케이션은 최소 3일 동안 토큰 캐시를 유지합니다. 애플리케이션은 사용자가 애플리케이션을 닫을 때에도 토큰 캐시를 유지하기 위해 디바이스의 토큰 캐시 위치 또는 토큰 캐시 직렬화 API를 사용해야 합니다.
- 애플리케이션은 MSAL AcquireTokenSilent API를 사용하여 캐시된 새로 고침 토큰을 사용하여 토큰을 검색합니다. 사용자 상호 작용이 필요한 경우 AcquireTokenInteractive API를 사용하면 백업 인증 시스템에서 토큰을 획득하지 못할 수 있습니다.
백업 인증 시스템은 현재 디바이스 권한 부여를 지원하지 않습니다.
단일 페이지 웹 애플리케이션
SPA(단일 페이지 웹 애플리케이션)는 백업 인증 시스템에서 제한적으로 지원됩니다. 암시적 허용 흐름을 사용하고 OpenID Connect ID 토큰만 요청하는 SPA는 보호됩니다. MSAL.js 2.x는 암시적 흐름을 지원하지 않으므로 MSAL.js 1.x를 사용하거나 암시적 허용 흐름을 직접 구현하는 앱만 이 보호를 사용할 수 있습니다.
백업 인증 시스템은 현재 Proof Key for Code Exchange를 사용한 인증 코드 흐름을 지원하지 않습니다.
웹 애플리케이션 및 서비스
백업 인증 시스템은 현재 기밀 클라이언트로 구성된 웹 애플리케이션 및 서비스를 지원하지 않습니다. 새로 고침 토큰과 클라이언트 암호 또는 인증서 사용자 권한 부여 정보를 사용한 인증 코드 부여 흐름 및 후속 토큰 획득에 대한 보호는 현재 지원되지 않습니다. OAuth 2.0 대리 흐름은 현재 지원되지 않습니다.
SAML 2.0 단일 로그인 (SSO)
백업 인증 시스템은 SAML(Security Assertion Markup Language) 2.0 SSO(Single Sign-On) 프로토콜을 부분적으로 지원합니다. SAML 2.0 IdP(ID 공급자) 시작 흐름을 사용하는 흐름은 백업 인증 시스템으로 보호됩니다. SP(서비스 공급자) 시작 흐름을 사용하는 애플리케이션은 현재 백업 인증 시스템으로 보호되지 않습니다.
백업 인증 시스템에서 지원되는 워크로드 ID 인증 프로토콜
OAuth 2.0
관리 정체성
관리 ID를 사용하여 Microsoft Entra 액세스 토큰을 획득하는 애플리케이션은 보호됩니다. 대부분의 시나리오에서 사용자 할당 관리형 ID를 사용하는 것이 좋습니다. 이 보호는 사용자 및 시스템 할당 관리형 ID 모두에 적용됩니다.
서비스 주체
백업 인증 시스템은 현재 클라이언트 사용자 인증 정보 부여 흐름을 사용하는 서비스 주체 기반 워크로드 ID 인증을 지원하지 않습니다. Microsoft에서는 보호 기능을 사용할 수 있게 되면 백업 인증 시스템으로 애플리케이션을 보호할 수 있도록 플랫폼에 적합한 MSAL 버전을 사용하는 것이 좋습니다.