Azure DevOps Services
중요합니다
Microsoft Entra ID 인증은 Azure DevOps Services와 통합되는 새 애플리케이션에 권장되는 방법입니다. 향상된 보안, 엔터프라이즈 ID 통합 및 최신 인증 기능을 제공합니다.
이 문서에서는 Microsoft Entra ID 인증의 이점을 설명하고 애플리케이션에서 구현하는 방법을 안내합니다.
개요
Microsoft Entra ID 는 조직을 지원하는 Microsoft의 클라우드 기반 ID 및 액세스 관리 플랫폼입니다.
- 사용자 ID 관리 및 리소스에 대한 액세스 제어
- 다단계 인증 및 조건부 액세스와 같은 엔터프라이즈 보안 정책 구현
- Azure DevOps Services를 포함하여 수천 개의 애플리케이션과 통합
- Microsoft 및 비 Microsoft 서비스에서 SSO(Single Sign-On) 제공
많은 Azure DevOps 엔터프라이즈 고객은 이러한 기능과 향상된 보안 기능을 사용하기 위해 Azure DevOps 조직을 Microsoft Entra ID에 연결합니다.
비고
Microsoft Entra ID는 이전에 Azure AD(Azure Active Directory)라고 했습니다. 일부 Microsoft 제품 및 설명서에 참조가 계속 표시될 수 있습니다.
인증 옵션
Microsoft ID 플랫폼은 Azure DevOps 액세스를 위한 두 가지 기본 인증 패턴을 제공합니다.
사용자 위임(OAuth)
최적 대상: 사용자를 대신하여 작동하는 대화형 애플리케이션
- 사용자가 Microsoft Entra ID 자격 증명으로 로그인
- 애플리케이션은 로그인한 사용자 역할을 하는 위임된 권한을 받습니다.
- 다단계 인증 및 조건부 액세스 정책 지원
- 웹 애플리케이션, 데스크톱 앱 및 사용자 연결 도구에 적합합니다.
시작: Microsoft Entra ID OAuth 구현
애플리케이션 ID(서비스 주체 및 관리 ID)
최적 대상: 백그라운드 서비스 및 자동화 시나리오
- 애플리케이션은 사용자 자격 증명이 아닌 자체 ID를 사용하여 인증합니다.
- CI/CD 파이프라인, 백그라운드 서비스 및 자동화된 도구에 적합
- 서비스 간 통신을 위한 더 강력한 보안
- 서비스 주체와 Azure 관리 ID를 모두 지원합니다.
시작: 서비스 주체 및 관리 ID
Microsoft Entra ID 인증의 이점
Microsoft Entra ID 인증은 레거시 Azure DevOps 인증 방법에 비해 상당한 이점을 제공합니다.
향상된 보안
- 수명이 짧은 토큰 (1시간 만료)은 손상된 자격 증명으로 인한 위험을 줄입니다.
- 조건부 액세스 정책은 토큰 도난 및 무단 액세스로부터 보호합니다.
- 다른 보안 계층에 대한 다단계 인증 지원
- 실시간 위험 평가를 사용하여 고급 위협 방지
엔터프라이즈 통합
- Microsoft 및 비 Microsoft 애플리케이션에서 Single Sign-On
- 사용자 및 애플리케이션에 대한 중앙 집중식 ID 관리
- 조직 수준에서 정책 적용
- 거버넌스 요구 사항에 대한 감사 및 규정 준수 기능
개발자 경험
- 자동 토큰 새로 고침을 사용하는 MSAL(최신 인증 라이브러리)
- 모든 Microsoft 서비스에서 일관된 ID 플랫폼
- 빠른 구현을 위한 풍부한 설명서 및 샘플
- 정기적인 기능 업데이트를 사용한 활성 지원 및 개발
레거시 메서드와의 비교
| 특징 | Microsoft Entra ID (마이크로소프트 엔트라 ID) | 개인용 액세스 토큰 | Azure DevOps OAuth |
|---|---|---|---|
| 토큰 수명 | 1시간(자동 새로 고침) | 최대 1년 | 구성 가능 |
| 다단계 인증 | ✅ 기본 지원 | ❌ 지원 안 됨 | ❌ 지원 안 됨 |
| 조건부 액세스 | ✅ 전체 지원 | ❌ 지원 안 됨 | ❌ 지원 안 됨 |
| Enterprise 정책 | ✅ 강제 | ⚠️ 제한됨 | ⚠️ 제한됨 |
| 감사 로깅 | ✅ 포괄적인 | ⚠️ 기본 | ⚠️ 기본 |
| 향후 투자 | ✅ 활성 개발 | ⚠️ 유지 관리 모드 | ❌ 사용 중단 권장 |
중요합니다
토큰 호환성: Microsoft Entra ID 토큰 및 Azure DevOps 토큰은 서로 교환할 수 없습니다. Azure DevOps OAuth에서 Microsoft Entra ID OAuth로 마이그레이션하는 애플리케이션에는 사용자 재인증이 필요합니다.
레거시 인증에서 마이그레이션
조직은 보안 위험으로 인해 PAT(개인 액세스 토큰) 생성을 제한하는 보안 정책을 점점 더 채택하고 있습니다. Microsoft Entra ID 인증은 일반적인 PAT 시나리오에 대한 안전한 대안을 제공합니다.
| PAT 시나리오 | Microsoft Entra 대안 |
|---|---|
| GCM(Git Credential Manager)을 사용하여 인증 | GCM은 기본적으로 PAT를 사용하여 인증합니다. 기본 자격 증명 형식을 .로 oauth설정합니다.
GCM(Git Credential Manager) 페이지에서 자세히 알아보세요. |
| 빌드 또는 릴리스 파이프라인에서 인증 | 워크로드 ID 페더레이션과 서비스 연결을 사용합니다. |
| Azure DevOps REST API에 대한 임시 요청 | Azure CLI를 사용하여 일회성 Microsoft Entra 토큰을 발급합니다. |
팁 (조언)
명확한 Microsoft Entra 토큰 대안이 없는 Azure DevOps PAT 시나리오가 있나요? 개발자 커뮤니티에서 시나리오를 공유하세요!