Azure Static Web Apps의 사용자 지정 인증

Azure Static Web Apps는 Azure에서 관리하는 공급자 등록을 사용하는 관리 인증을 제공합니다. 등록에 대한 유연성을 높일 수 있도록 사용자 지정 등록을 사용하여 기본값을 재정의할 수 있습니다.

• 사용자 지정 인증을 사용하면 OpenID 커넥트 지원하는 사용자 지정 공급자를 구성할 수도 있습니다. 이 구성을 사용하면 여러 외부 공급자를 등록할 수 있습니다.

• 사용자 지정 등록을 사용하면 미리 구성된 모든 공급자가 비활성화됩니다.

참고 항목

사용자 지정 인증은 Azure Static Web Apps 표준 계획에서만 사용할 수 있습니다.

사용자 지정 ID 공급자 구성

사용자 지정 ID 공급자는 구성 파일의 auth 섹션에서 구성됩니다.

소스 제어에 비밀을 배치하지 않도록 구성은 구성 파일에서 일치하는 이름의 애플리케이션 설정을 살펴봅니다. Azure Key Vault에 비밀을 저장하도록 선택할 수도 있습니다.

Microsoft Entra ID

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
AZURE_CLIENT_ID	Microsoft Entra 앱 등록에 대한 애플리케이션(클라이언트) ID입니다.
AZURE_CLIENT_SECRET	Microsoft Entra 앱 등록에 대한 클라이언트 암호입니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

Microsoft Entra 공급자는 두 가지 버전으로 제공됩니다. 버전 1은 페이로드가 userDetailsClaim사용자 정보를 반환할 수 있도록 하는 명시적으로 정의합니다. 반면 버전 2는 기본적으로 사용자 정보를 반환하며 URL에 openIdIssuer 의해 v2.0 지정됩니다.

Microsoft Entra 버전 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Microsoft Entra 테넌트 ID로 바꾸어 <TENANT_ID> 야 합니다.

Microsoft Entra 버전 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Microsoft Entra 테넌트 ID로 바꾸어 <TENANT_ID> 야 합니다.

Microsoft Entra ID를 구성하는 방법에 대한 자세한 내용은 기존 등록 사용에 대한 App Service 인증/권한 부여 설명서를 참조하세요.

로그인할 수 있는 계정을 구성하려면 애플리케이션에서 지원하는 계정 수정 및 Microsoft Entra 테넌트에서 Microsoft Entra 앱의 사용자 집합으로 제한을 참조하세요.

참고 항목

Microsoft Entra ID에 대한 구성 섹션이 있는 동안 플랫폼은 azureActiveDirectory로그인, 로그아웃 및 사용자 정보 제거를 위해 URL에 별 aad 칭을 지정합니다. 자세한 내용은 인증 및 권한 부여 섹션을 참조하세요.

사과

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
APPLE_CLIENT_ID	Apple 클라이언트 ID입니다.
APPLE_CLIENT_SECRET	Apple 클라이언트 암호입니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Apple을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조 하세요.

Facebook

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
FACEBOOK_APP_ID	Facebook 애플리케이션 ID입니다.
FACEBOOK_APP_SECRET	페이스 북 응용 프로그램 비밀.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

Facebook을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조 하세요.

GitHub

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
GITHUB_CLIENT_ID	GitHub 클라이언트 ID입니다.
GITHUB_CLIENT_SECRET	GitHub 클라이언트 암호입니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
GOOGLE_CLIENT_ID	Google 클라이언트 ID
GOOGLE_CLIENT_SECRET	Google 클라이언트 암호입니다.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Google을 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조 하세요.

Twitter

등록을 만들려면 먼저 다음 애플리케이션 설정을 만듭니다.

설정 이름	값
TWITTER_CONSUMER_KEY	Twitter 사용자 키
TWITTER_CONSUMER_SECRET	트위터 소비자 비밀.

다음으로, 아래의 샘플을 사용하여 구성 파일에서 공급자를 구성합니다.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

Twitter를 인증 공급자로 구성하는 방법에 대한 자세한 내용은 App Service 인증/권한 부여 설명서를 참조하세요.

OpenID Connect

OIDC(OpenID Connect) 사양을 준수하는 사용자 지정 인증 공급자를 사용하도록 Azure Static Web Apps를 구성할 수 있습니다. 사용자 지정 OIDC 공급자를 사용하려면 다음 단계가 필요합니다.

• 하나 이상의 OIDC 공급자가 허용됩니다.
• 각 공급자는 구성에 고유한 이름이 있어야 합니다.
• 하나의 공급자만 기본 리디렉션 대상으로 사용할 수 있습니다.

ID 공급자에 애플리케이션 등록

ID 공급자에 애플리케이션의 세부 정보를 등록해야 합니다. 애플리케이션에 대한 클라이언트 ID 및 클라이언트 암호를 생성하는 데 필요한 단계에 대해 공급자에게 문의하세요.

애플리케이션이 ID 공급자에 등록되면 정적 웹앱의 애플리케이션 설정에서 다음 애플리케이션 비밀을 만듭니다.

설정 이름	값
MY_PROVIDER_CLIENT_ID	정적 웹앱에 대한 인증 공급자가 생성한 클라이언트 ID입니다.
MY_PROVIDER_CLIENT_SECRET	정적 웹앱에 대한 인증 공급자의 사용자 지정 등록에 의해 생성된 클라이언트 암호입니다.

추가 공급자를 등록하는 경우 각각 애플리케이션 설정에 연결된 클라이언트 ID 및 클라이언트 비밀 저장소가 필요합니다.

Important

애플리케이션 비밀은 중요한 보안 자격 증명입니다. 이 비밀을 다른 사람과 공유하거나, 클라이언트 애플리케이션 내에 배포하거나, 소스 제어에 체크 인하지 마세요.

등록 자격 증명이 있으면 다음 단계를 사용하여 사용자 지정 등록을 만듭니다.

1. 공급자에 대한 OpenID 커넥트 메타데이터가 필요합니다. 이 정보는 일반적으로 공급자의 발급자 URL에 /.well-known/openid-configuration이 접미사로 추가된 구성 메타데이터 문서를 통해 노출됩니다. 이 구성 URL을 수집합니다.

2. OIDC 공급자 및 공급자 정의에 대한 구성 블록이 있는 구성 파일의 auth 섹션을 추가합니다.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• 이 예제에서 공급자 이름 myProvider는 Azure Static Web Apps에서 사용되는 고유 식별자입니다.
• 공급자의 발급자 URL 경로로 바꿔 <PROVIDER_ISSUER_URL> 야 합니다.
• 개체 login 를 사용하면 사용자 지정 범위, 로그인 매개 변수 또는 사용자 지정 클레임에 대한 값을 제공할 수 있습니다.

인증 콜백

ID 공급자가 로그인 또는 로그아웃 요청을 완료하려면 리디렉션 URL이 필요합니다. 대부분의 공급자는 콜백 URL을 허용 목록에 추가해야 합니다. 다음 엔드포인트는 리디렉션 대상으로 사용할 수 있습니다.

Type	URL 패턴
로그인	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
로그아웃	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Microsoft Entra ID를 사용하는 경우 자리 표시자에 대한 <PROVIDER_NAME_IN_CONFIG> 값으로 사용합니다aad.

참고 항목

이러한 URL은 인증 공급자로부터 응답을 받기 위해 Azure Static Web Apps에서 제공하므로 이러한 경로에서 페이지를 만들 필요가 없습니다.

로그인, 로그아웃 및 사용자 세부 정보

사용자 지정 ID 공급자를 사용하려면 다음 URL 패턴을 사용합니다.

작업	패턴
로그인	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
로그아웃	/.auth/logout
사용자 세부 정보	/.auth/me
사용자 세부 정보 제거	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Microsoft Entra ID를 사용하는 경우 자리 표시자에 대한 <PROVIDER_NAME_IN_CONFIG> 값으로 사용합니다aad.

역할 관리

정적 웹앱에 액세스하는 모든 사용자는 하나 이상의 역할에 속해 있습니다. 사용자가 속할 수 있는 두 가지 기본 제공 역할이 있습니다.

• anonymous: 모든 사용자가 자동으로 익명 역할에 속합니다.
• 인증됨: 로그인한 모든 사용자가 인증된 역할에 속합니다.

기본 제공 역할 외에 사용자 지정 역할을 사용자에게 할당하고, staticwebapp.config.json 파일에서 참조할 수 있습니다.

초대장

역할에 사용자 추가

역할에 사용자를 추가하려면 사용자를 특정 역할에 연결할 수 있는 초대를 생성합니다. 역할은 정의되고 staticwebapp.config.json 파일에 기본.

초대 만들기

초대는 개별 권한 부여 공급자와 관련이 있으므로 지원할 공급자를 선택할 때 앱의 요구 사항을 고려합니다. 일부 공급자는 사용자의 이메일 주소를 노출하지만 다른 공급자는 사이트의 사용자 이름만 제공합니다.

권한 부여 공급자	노출
Microsoft Entra ID	메일 주소
GitHub	사용자 이름
Twitter	사용자 이름

다음 단계를 수행하여 초대를 만듭니다.

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 초대를 선택합니다.
4. 옵션 목록에서 권한 부여 공급자를 선택합니다.
5. 초대 대상 세부 정보 상자에 받는 사람의 사용자 이름 또는 전자 메일 주소를 추가합니다.
   • GitHub 및 Twitter의 경우 사용자 이름을 입력합니다. 다른 모든 사람의 경우 받는 사람의 전자 메일 주소를 입력합니다.
6. Do기본 드롭다운 메뉴에서 정적 사이트의 do기본를 선택합니다.
   • 선택한 도메인은 초대에 표시되는 도메인입니다. 사용자 지정 do기본 사이트와 연결된 경우 사용자 지정 작업을 선택합니다기본.
7. 역할 상자에 쉼표로 구분된 역할 이름 목록을 추가합니다.
8. 초대를 다시 사용할 최대 시간을 입력합니다기본 유효합니다.
   • 가능한 최대 제한은 7일인 168시간입니다.
9. 생성을 선택합니다.
10. 초대 링크 상자에서 링크를 복사합니다.
11. 액세스 권한을 부여하는 사용자에게 초대 링크를 전자 메일로 보냅니다.

사용자가 초대에서 링크를 선택하면 해당 계정으로 로그인하라는 메시지가 표시됩니다. 성공적으로 로그인하면 사용자가 선택한 역할과 연결됩니다.

주의

경로 규칙이 선택한 인증 공급자와 충돌하지 않는지 확인합니다. 경로 규칙으로 공급자를 차단하면 사용자가 초대를 수락할 수 없습니다.

역할 할당 업데이트

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 목록에서 사용자를 선택합니다.
4. 역할 상자에서 역할 목록을 편집합니다.
5. 업데이트를 선택합니다.

사용자 삭제

1. Azure Portal에서 Static Web Apps 리소스로 이동합니다.
2. 설정에서 역할 관리를 선택합니다.
3. 목록에서 사용자를 찾습니다.
4. 사용자의 행에 대한 확인란을 선택합니다.
5. 삭제를 선택합니다.

사용자를 제거할 때 다음 항목에 유의하세요.

• 사용자를 제거하면 해당 권한이 무효화됩니다.
• 전 세계적으로 전파하는 데 몇 분 정도 걸릴 수 있습니다.
• 사용자를 앱에 다시 추가하면 userId가 변경됩니다.

함수(미리 보기)

기본 제공 초대 시스템을 사용하는 대신 서버리스 함수를 사용하여 사용자가 로그인할 때 프로그래밍 방식으로 역할을 할당할 수 있습니다.

함수에서 사용자 지정 역할을 할당하려면 사용자가 ID 공급자를 사용하여 성공적으로 인증할 때마다 자동으로 호출되는 API 함수를 정의할 수 있습니다. 함수는 공급자로부터 사용자 정보를 전달받습니다. 사용자에게 할당된 사용자 지정 역할 목록을 반환해야 합니다.

이 함수의 사용 예제는 다음과 같습니다.

• 데이터베이스를 쿼리하여 사용자에게 할당해야 하는 역할 확인
• Microsoft Graph API 호출하여 Active Directory 그룹 멤버 자격에 따라 사용자의 역할 결정
• ID 공급자가 반환한 클레임을 기반으로 사용자 역할 결정

참고 항목

함수를 통해 역할을 할당하는 기능은 사용자 지정 인증이 구성된 경우에만 사용할 수 있습니다.

이 기능을 사용하도록 설정하면 기본 제공 초대 시스템을 통해 할당된 모든 역할이 무시됩니다.

역할을 할당하기 위한 함수 구성

API 함수를 역할 할당 함수로 사용하도록 Static Web Apps 구성하려면 앱 구성 파일의 auth 섹션에 rolesSource 속성을 추가합니다. rolesSource 속성 값은 API 함수의 경로입니다.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

참고 항목

구성되면 외부 HTTP 요청에서 역할 할당 함수에 더 이상 액세스할 수 없습니다.

역할을 할당하기 위한 함수 만들기

앱 구성에서 속성을 정의 rolesSource 한 후 지정된 경로에 정적 웹앱에 API 함수를 추가합니다. 관리되는 함수 앱을 사용하거나 고유한 함수 앱을 가져올 수 있습니다.

사용자가 ID 공급자를 사용하여 성공적으로 인증할 때마다 POST 메서드는 지정된 함수를 호출합니다. 이 함수는 공급자의 사용자 정보를 포함하는 요청 본문에 JSON 개체를 전달합니다. 일부 ID 공급자의 경우 사용자 정보에는 함수가 사용자의 ID를 사용하여 API를 호출하는 데 사용할 수 있는 accessToken도 포함됩니다.

Microsoft Entra ID에서 다음 예제 페이로드를 참조하세요.

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

함수는 사용자의 정보를 사용하여 사용자에게 할당할 역할을 결정할 수 있습니다. 사용자에게 할당할 사용자 지정 역할 이름 목록이 포함된 JSON 본문과 함께 HTTP 200 응답을 반환해야 합니다.

예를 들어 사용자에게 Reader 및 Contributor 역할을 할당하려면 다음 응답을 반환합니다.

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

사용자에게 다른 역할을 할당하지 않으려면 빈 roles 배열을 반환합니다.

자세한 내용은 자습서: 함수 및 Microsoft Graph를 사용하여 사용자 지정 역할 할당을 참조하세요.

다음 단계

프로그래밍 방식으로 사용자 역할 설정