외부 테넌트에 대한 ID 공급자

적용 대상: 외부 테넌트(자세한 정보)

Microsoft Entra 외부 ID를 사용하면 소비자 및 비즈니스 고객 대면 앱에 대한 안전하고 사용자 지정된 로그인 환경을 만들 수 있습니다. 외부 테넌트에는 사용자가 앱에 등록하는 여러 가지 방법이 있습니다. 이메일과 암호 또는 일회용 암호를 사용하여 계정을 만들 수 있습니다. 또는 Facebook, Google, Apple 또는 사용자 지정 OIDC 또는 SAML/idP(WS-Fed ID 공급자)로 로그인을 사용하도록 설정하는 경우 사용자는 외부 ID 공급자에서 자격 증명을 사용하여 로그인할 수 있습니다. 사용자 객체는 등록 중에 수집된 신원 정보를 사용하여 디렉터리에 생성됩니다.

이 문서에서는 외부 테넌트에서 앱에 등록하고 로그인할 때 기본 인증에 사용할 수 있는 ID 공급자에 대해 설명합니다. 사용자가 로그인할 때마다 두 번째 형태의 확인이 필요한 MFA(다단계 인증) 정책을 적용하여 보안을 강화할 수도 있습니다(자세한 정보).

이메일 및 암호 로그인

이메일 등록은 로컬 계정 ID 공급자 설정에서 기본적으로 사용하도록 설정됩니다. 전자 메일 옵션을 사용하면 사용자가 전자 메일 주소와 암호를 사용하여 등록하고 로그인할 수 있습니다.

• 등록: 사용자에게 일회용 암호로 등록 시 확인되는 전자 메일 주소를 묻는 메시지가 표시됩니다. 그러면 사용자는 등록 페이지에서 요청된 다른 정보(예: 표시 이름, 지정된 이름 및 성)를 입력합니다. 그런 다음, 계속을 선택하여 계정을 만듭니다.

• 로그인: 사용자가 등록하고 계정을 만든 후 전자 메일 주소와 암호를 입력하여 로그인할 수 있습니다.

• 암호 재설정: 이메일 및 암호 로그인을 사용하도록 설정하면 암호 페이지에 암호 재설정 링크가 나타납니다. 사용자가 암호를 잊어버린 경우 이 링크를 선택하면 전자 메일 주소로 일회용 암호가 전송됩니다. 확인 후 사용자는 새 암호를 선택할 수 있습니다.

  

등록 및 로그인 사용자 흐름을 만들기할 때 암호가 포함된 이메일이 기본 옵션입니다.

일회용 암호 로그인이 포함된 이메일

일회용 암호가 포함된 이메일은 로컬 계정 ID 공급자 설정의 옵션입니다. 이 옵션을 사용하면 사용자가 로그인할 때마다 저장된 암호 대신 임시 암호로 로그인합니다.

• 등록: 사용자는 전자 메일 주소로 등록하고 전자 메일 주소로 전송되는 임시 코드를 요청할 수 있습니다. 그런 다음, 이 코드를 입력하여 로그인을 계속합니다.

• 로그인: 사용자가 등록하고 계정을 만든 후 로그인할 때마다 전자 메일 주소를 입력하고 임시 암호를 받습니다.

  

또한 로그인 페이지에서 셀프 서비스 암호 재설정 링크를 표시, 숨기기 또는 사용자 지정하는 옵션을 구성할 수 있습니다(자세히 알아보기).

등록 및 로그인 사용자 흐름을 만들기할 때 이메일 일회용 암호는 로컬 계정 옵션 중 하나입니다.

소셜 ID 공급자: Facebook, Google 및 Apple

최적의 로그인 환경을 위해 가능한 한 소셜 ID 공급자와 페더레이션하여 사용자에게 원활한 등록 및 로그인 환경을 제공할 수 있습니다. 외부 테넌트에서 사용자가 자신의 Facebook, Google 또는 Apple 계정을 사용하여 등록하고 로그인하도록 허용할 수 있습니다.

소셜 ID 공급자를 사용하도록 설정하면 사용자는 등록 페이지에서 사용할 수 있는 소셜 ID 공급자 옵션 중에서 선택할 수 있습니다. 외부 테넌트에 소셜 ID 공급자를 설정하려면 ID 공급자에서 애플리케이션을 만들고 자격 증명을 구성합니다. 클라이언트 또는 앱 ID, 클라이언트 또는 앱 비밀 또는 인증서를 가져온 다음 외부 테넌트를 구성하는 데 사용할 수 있습니다.

Google 로그인

Google과의 페더레이션을 설정하여 사용자가 자신의 Gmail 계정으로 애플리케이션에 로그인하도록 허용할 수 있습니다. Google을 애플리케이션의 로그인 옵션 중 하나로 추가한 후 로그인 페이지에서 사용자는 Google 계정을 사용하여 Microsoft Entra 외부 ID에 로그인할 수 있습니다.

다음 스크린샷은 Google 환경을 통한 로그인을 보여 줍니다. 로그인 페이지에서 사용자는 Google로 로그인을 선택합니다. 이 시점에서 사용자는 로그인을 완료하기 위해 Google ID 공급자로 리디렉션됩니다.

Google을 ID 공급자로 추가하는 방법을 알아봅니다.

Facebook 로그인

Facebook과의 페더레이션을 설정하여 사용자가 자신의 Facebook 계정으로 애플리케이션에 로그인하도록 허용할 수 있습니다. Facebook을 애플리케이션의 로그인 옵션 중 하나로 추가한 후 로그인 페이지에서 사용자는 Facebook 계정을 사용하여 Microsoft Entra 외부 ID에 로그인할 수 있습니다.

다음 스크린샷은 Facebook 환경을 통한 로그인을 보여 줍니다. 로그인 페이지에서 사용자는 Facebook으로 로그인을 선택합니다. 그런 다음 사용자는 로그인을 완료하기 위해 Facebook ID 공급자로 리디렉션됩니다.

Facebook을 ID 공급자로 추가하는 방법을 알아봅니다.

Apple 로그인

Apple과의 페더레이션을 설정하여 사용자가 자신의 Apple 계정으로 애플리케이션에 로그인하도록 허용할 수 있습니다. 애플리케이션의 로그인 옵션 중 하나로 Apple을 추가한 후 로그인 페이지에서 사용자는 Apple 계정으로 Microsoft Entra 외부 ID에 로그인할 수 있습니다.

다음 스크린샷은 Apple 환경을 사용한 로그인을 보여 줍니다. 로그인 페이지에서 사용자는 Apple로 로그인을 선택합니다. 그런 다음 사용자가 Apple ID 공급자로 리디렉션되어 로그인을 완료합니다. Apple을 ID 공급자추가하는 방법을 알아봅니다.

사용자 지정 OIDC ID 공급자

사용자가 외부 ID 공급자의 자격 증명을 사용하여 애플리케이션에 등록하고 로그인할 수 있도록 사용자 지정 OIDC(OpenID Connect) ID 공급자를 설정할 수 있습니다. OIDC 프로토콜을 사용하여 Azure AD B2C 테넌트와 로그인 및 등록 흐름을 페더레이션할 수도 있습니다.

사용자 지정 OIDC ID 공급자설정 방법을 알아봅니다.

사용자 지정 SAML/WS-Fed ID 공급자

사용자가 ID 공급자와 함께 자신의 계정을 사용하여 애플리케이션에 등록하고 로그인할 수 있도록 SAML 또는 WS-Fed ID 공급자를 설정할 수 있습니다. 사용자는 으로 등록하거나 으로 로그인 옵션을 선택할 수 있습니다. ID 공급자로 리디렉션된 다음 성공적으로 로그인하면 Microsoft Entra로 돌아갑니다. 외부 테넌트의 경우 사용자의 로그인 전자 메일은 SAML 페더레이션 중에 설정된 미리 정의된 도메인과 일치할 필요가 없습니다. 따라서 도메인을 추가, 변경 또는 제거하여 페더레이션 설정을 업데이트해도 기존 사용자의 환경에는 영향을 주지 않습니다.

외부 ID 공급자의 미리 정의된 도메인과 일치하는 로그인 페이지에서 전자 메일 주소를 입력하는 사용자는 해당 ID 공급자를 사용하여 인증하도록 리디렉션됩니다. 계정이 없는 경우 추가 세부 정보를 묻는 메시지가 표시될 수 있으며 계정이 만들어집니다.

자세한 내용은 SAML/WS-Fed ID 공급자참조하세요. 자세한 설정 단계는 SAML/WS-Fed ID 공급자페더레이션 추가를 참조하세요.

도메인 가속

사용자 지정 SAML/WS-Fed IdP와 페더레이션하는 경우 사용자는 일반적으로 Microsoft 로그인 페이지를 먼저 본 다음 ID 공급자를 선택합니다. 이러한 IDP는 하나 이상의 도메인과 연결할 수 있습니다. domain_hint 로그인 URL에 매개 변수를 포함하면 사용자가 지정된 도메인과 연결된 ID 공급자의 로그인 페이지로 직접 갈 수 있습니다.

사용자 지정 SAML ID 공급자의 경우 구문에서 페더레이션 IdP 필드의 도메인 이름 에 지정된 도메인을 domain_hint 사용합니다. domain_hint=<___domain name of federating idp>

발급자 가속

Facebook, Google, Apple 또는 사용자 지정 OpenID Connect IdP와 같은 다른 외부 ID 공급자와 페더레이션하는 경우 사용자는 일반적으로 Microsoft 로그인 페이지를 먼저 본 다음 해당 ID 공급자를 선택합니다. domain_hint 로그인 URL에 매개 변수를 포함하면 사용자가 지정된 도메인과 연결된 ID 공급자의 로그인 페이지로 직접 갈 수 있습니다.

다음 domain_hint 값을 사용하여 이러한 ID 공급자의 로그인 페이지로 직접 이동하면 됩니다.

• 페이스 북 : domain_hint=facebook.

• 구글: domain_hint=google.

• 애플: domain_hint=apple.

• 사용자 지정 OIDC: domain_hint=<issuer URI>. 사용자 지정 OIDC ID 공급자의 경우 구문에서 발급자 URI 의 domain_hint 도메인 부분을 사용합니다.

  

로그인 방법 업데이트 중

언제든지 앱의 로그인 옵션을 업데이트할 수 있습니다. 예를 들어, 소셜 ID 공급자를 추가하거나 로컬 계정 로그인 방법을 변경할 수 있습니다.

로그인 방법을 변경하면 변경 내용은 새 사용자에게만 영향을 미칩니다. 기존 사용자는 원래 방법을 사용하여 계속 로그인합니다. 예를 들어, 이메일 및 암호 로그인 방법으로 시작한 다음 일회용 암호가 있는 이메일로 변경한다고 가정해 보겠습니다. 신규 사용자는 일회용 암호를 사용하여 로그인하지만, 이미 이메일과 암호로 가입한 사용자에게는 이메일과 암호를 입력하라는 메시지가 계속 표시됩니다.

Microsoft Graph API

Microsoft Entra 외부 ID에서 ID 공급자 및 인증 방법을 관리하기 위해 다음 Microsoft Graph API 작업이 지원됩니다.

• 어떤 ID 공급자와 인증 방법이 지원되는지 확인하려면 availableProviderTypes 나열 API를 호출합니다.
• 테넌트에 이미 구성되어 사용하도록 설정된 ID 공급자와 인증 방법을 식별하려면 identityProviders 나열 API를 호출합니다.
• 지원되는 ID 공급자 또는 인증 방법을 사용하도록 설정하려면 identityProvider 만들기 API를 호출합니다.

관련 콘텐츠

• Facebook을 ID 공급자로 추가
• Google을 ID 공급자로 추가
• Apple을 ID 공급자로 추가
• SAML/WS-Fed ID 공급자와의 페더레이션 추가
• 외부 ID 공급자로 OpenID Connect 추가