다음을 통해 공유

포털에 대한 OpenID Connect 공급자 구성

  • 아티클

참고

2022년 10월 12일부터 Power Apps 포털이 Power Pages가 됩니다. 추가 정보: Microsoft Power Pages는 이제 일반적으로 사용할 수 있습니다(블로그)
곧 Power Apps 포털 설명서를 마이그레이션하고 Power Pages 설명서와 병합할 예정입니다.

OpenID Connect 외부 ID 공급자는 OpenID Connect 사양에 부합하는 서비스입니다. OpenID Connect는 클라이언트가 사용자의 신원을 확인할 수 있도록 하는 보안 토큰인 ID 토큰의 개념을 도입했습니다. ID 토큰은 사용자—에 대한 기본 프로필 정보도 가져옵니다. 일반적으로 클레임이라고 합니다.

이 문서에서는 OpenID Connect를 지원하는ID 공급자가 Power Apps 포털과 통합하는 방법을 설명합니다. 포털용 OpenID Connect 공급자의 몇 가지 예: Azure Active Directory (Azure AD) B2C, Azure AD, 다수 테넌트를 가진 Azure AD.

포털에서 지원 및 지원되지 않는 인증 흐름

  • 암시적 권한 부여
    • 이 흐름은 포털에서 사용하는 기본 인증 방법입니다.
  • 인증 코드
    • 포털은 client_secret_post 메서드를 사용하여 ID 서버의 토큰 끝점과 통신합니다.
    • private_key_jwt 메서드를 이용하여 토큰 끝점과 인증하는 것은 지원되지 않습니다.
  • 하이브리드(제한된 지원)
    • 포털은 id_token이 응답에 표시되는 것을 요구하여 코드 토큰으로 response_type 값을 갖는 것은 지원되지 않습니다.
    • 포털의 하이브리드 흐름은 암시적 허용 흐름과 동일한 흐름을 따르며 id_token을 사용하여 사용자를 직접 로그인합니다.
  • 포털은 사용자 인증을 위한 기술에 기반한 코드 교환용 증명 키(PKCE)–를 지원하지 않습니다.

참고

인증 설정을 변경하면 포털에 반영되는 데 몇 분이 걸릴 수 있습니다. 변경 사항을 즉시 반영하려면 포털 작업을 사용하여 포털을 다시 시작합니다.

OpenID Connect 공급자 구성

다른 모든 공급자와 마찬가지로 OpenID Connect 공급자를 구성하려면 Power Apps에 로그인해야 합니다.

  1. 포털에 대해 공급자 추가를 선택합니다.

  2. 로그인 공급자기타를 선택합니다.

  3. 프로토콜에 대하여, OpenID Connect를 선택합니다.

  4. 공급자 이름을 입력합니다.

    공급자 이름.

  5. 다음을 선택합니다.

  6. 애플리케이션을 만들고 ID 공급자와 함께 설정을 구성합니다.

    애플리케이션 만들기.

    참고

    응답 URL은 앱에서 인증 성공 후 사용자를 포털로 리디렉션하는 데 사용됩니다. 포털에서 사용자 지정 도메인 이름을 사용하는 경우 여기에 제공된 것과 다른 URL이 있을 수 있습니다.

  7. 포털 구성에 대한 다음 사이트 설정을 입력합니다.

    OpenID 사이트 설정 구성.

    참고

    검토하고—필요한 경우 기본값을 변경—합니다.

    Name 설명
    인증 기관 ID 공급자에 연결된 인증 기관(또는 발급자) URL.
    예(Azure AD):https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    클라이언트 ID ID 공급자를 통해 만든 응용 프로그램의 ID로 포털에 사용됩니다.
    리디렉션 URL ID 공급자가 인증 응답을 보낼 위치.​
    예: https://contoso-portal.powerappsportals.com/signin-openid_1
    주의: 기본 포털 URL을 사용하는 경우 OpenID 연결 공급자 설정 생성 및 구성 단계에서 응답 URL을 복사 및 붙여넣을 수 있습니다. 사용자 지정 도메인 이름을 사용하는 경우 수동으로 URL을 입력합니다. 여기에 입력한 값이 ID 공급자 구성(예: Azure portal)의 응용 프로그램에 대한 리디렉션 URI 값과 정확히 일치하는지 확인합니다.
    메타데이터 주소​ 메타데이터를 획득하기 위한 발견 종점. 일반적인 형식: [Authority URL]/.well-known / openid-configuration.
    예(Azure AD):https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    범위 OpenID Connect 범위 매개 변수를 통해 요청할 범위의 공백으로 구분된 목록.
    기본값: openid
    예(Azure AD):openid profile email
    추가 정보: 포털에서 Azure AD로 OpenID Connect을 사용할 때 추가 클레임 구성
    응답 형식 ​OpenID Connect response_type 매개 변수의 값입니다.
    가능한 값은 다음을 포함합니다.
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    기본값: code id_token
    클라이언트 암호 공급자 애플리케이션의 클라이언트 비밀 값. 이는 앱 암호 또는 소비자 암호로 지칭될 수도 있습니다. 선택한 응답 유형이 code인 경우 이 설정이 필요합니다.
    응답 모드 ​OpenID Connect response_mode 매개 변수의 값입니다. 선택한 응답 유형이 code인 경우 값은 query여야 합니다. 기본값: form_post.

  8. 사용자 로그아웃 설정을 구성합니다.

    로그아웃 설정.

    이름 설명
    외부 로그아웃 외부 계정 로그아웃을 활성화하거나 비활성화합니다. 활성화로 설정하면 사용자가 포털에서 로그아웃할 때 외부 로그아웃 사용자 환경으로 리디렉션됩니다. 비활성화로 설정하면 사용자가 포털에서만 로그아웃됩니다.
    사후 로그아웃 리디렉션 URL ​ID 공급자가 외부 로그아웃 이후 사용자를 리디렉션할 위치입니다. 이 위치는 ID 공급자 구성에서 적절하게 설정해야 합니다.
    RP가 시작한 로그아웃 신뢰 당사자가 시작한 로그아웃을 활성화하거나 비활성화합니다. 이 설정을 사용하려면 먼저 외부 로그아웃을 활성화해야 합니다.

  9. (선택 사항)추가 설정 구성.

    추가 설정.

    이름 설명
    발급자 필터 모든 테넌트에 걸친 모든 발급자와 일치하는 와일드 카드 기반 필터입니다.
    예: https://sts.windows.net/*/
    대상 그룹 유효성 검사​ ​활성화된 경우 토큰 유효성을 검사하는 동안 대상 그룹의 유효성을 검사합니다.
    유효한 대상 그룹​ 대상 그룹 URL의 쉼표로 구분된 목록입니다.
    발급자 유효성 검사​ 사용하는 경우 토큰 유효성을 검사하는 동안 발급자의 유효성을 검사합니다.
    유효한 발급자 발급자 URL의 쉼표로 구분된 목록입니다.
    등록 클레임 매핑 연락처 레코드의 속성을 등록하는 동안 공급자로부터 반환된 클레임 값을 매핑하기 위한 논리적 이름-클레임의 쌍 목록입니다.
    형식: field_logical_name=jwt_attribute_name 포털에서 field_logical_name는 필드의 논리적 이름이고, jwt_attribute_name은 ID 공급자에서 반환된 값을 가진 속성입니다.
    예: Azure AD의 profile범위를 사용할 때 firstname=given_name,lastname=family_name. 이 예에서 firstnamelastname은 포털의 프로필 필드의 논리적 이름인 반면 given_namefamily_name은 각 필드에 대해 ID 공급자가 반환한 값을 갖는 속성입니다.
    로그인 클레임 매핑 모든 로그인 중에 공급자로부터 반환된 클레임 값을 연락처 레코드의 특성에 매핑하기 위한 논리적 이름 클레임 쌍의 목록입니다.
    형식: field_logical_name=jwt_attribute_name 포털에서 field_logical_name는 필드의 논리적 이름이고, jwt_attribute_name은 ID 공급자에서 반환된 값을 가진 특성입니다.
    예: Azure AD의 profile범위를 사용할 때 firstname=given_name,lastname=family_name. 이 예에서 firstnamelastname은 포털의 프로필 필드의 논리적 이름인 반면 given_namefamily_name은 각 필드에 대해 ID 공급자가 반환한 값을 갖는 속성입니다.
    임시 수명 임시 값의 수명(분)입니다. 기본값: 10분.
    토큰 수명 사용​ 인증 세션 수명(예: 쿠키)이 인증 토큰과 일치해야 함을 나타냅니다. 지정된 경우 이 값은 Authentication/ApplicationCookie/ExpireTimeSpan 사이트 설정의 응용 프로그램 쿠키 만료 시간 값을 재정의합니다.
    이메일을 사용한 연락처 매핑 연락처가 해당 이메일 주소에 매핑되는지 여부를 지정합니다.
    On으로 설정하면 사용자 로그인 성공 후 외부 ID 공급자를 연락처에 할당하는 고유한 연락처 레코드와 일치하는 이메일 주소와 연결됩니다.

    참고

    UI_Locales 요청 매개변수가 이제 인증 요청에서 자동으로 전송되고 포털에서 선택한 언어로 설정됩니다.

OpenID Connect 공급자 편집

구성된 OpenID Connect 공급자를 편집하려면 공급자 편집 을 참조하세요.

참조 항목

Azure AD를 사용하여 포털용 OpenID Connect 공급자 구성
포털에서 OpenID Connect 사용에 대한 FAQ

참고

귀사의 설명서 언어 기본 설정에 대해 말씀해 주시겠습니까? 간단한 설문 조사에 응해주세요. (이 설문 조사는 영어로 되어 있습니다.)

이 설문 조사는 약 7분 정도 걸립니다. 개인 데이터는 수집되지 않습니다(개인정보처리방침).