중요합니다
2025년 5월 1일부터 새 고객을 위해 Azure AD B2C를 더 이상 구매할 수 없습니다. FAQ에서 자세히 알아보세요.
이 문서에서는 웹 애플리케이션에 대한 Azure AD B2C(Azure Active Directory B2C) 인증 환경을 사용하도록 설정, 사용자 지정 및 개선하는 방법을 설명합니다.
시작하기 전에 다음 문서를 숙지하는 것이 중요합니다.
사용자 지정 도메인 사용
사용자 지정 도메인을 사용하여 인증 URL을 완전히 브랜드화할 수 있습니다. 사용자 관점에서 사용자는 Azure AD B2C b2clogin.com 도메인 이름으로 리디렉션되지 않고 인증 프로세스 중에 도메인에 남아 있습니다.
URL에서 "b2c"에 대한 모든 참조를 제거하려면 인증 요청 URL의 B2C 테넌트 이름(contoso.onmicrosoft.com)을 테넌트 ID GUID로 바꿀 수도 있습니다. 예를 들어, https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/를 https://account.contosobank.co.uk/<tenant ID GUID>/로 변경할 수 있습니다.
인증 URL에서 사용자 지정 도메인 및 테넌트 ID를 사용하려면 사용자 지정 도메인 사용의 지침을 따릅니다. 프로젝트 루트 폴더에서 appsettings.json 파일을 엽니다. 이 파일에는 Azure AD B2C ID 공급자에 대한 정보가 포함되어 있습니다.
appsettings.json 파일에서 다음을 수행합니다.
- 사용자 지정 도메인으로
Instance항목을 업데이트합니다. -
Domain테넌트 ID로 항목을 업데이트합니다. 자세한 내용은 테넌트 ID 사용을 참조하세요.
다음 JSON은 변경 전의 앱 설정을 보여줍니다.
"AzureAdB2C": {
"Instance": "https://contoso.b2clogin.com",
"Domain": "tenant-name.onmicrosoft.com",
...
}
다음 JSON은 변경 후 앱 설정을 보여줍니다.
"AzureAdB2C": {
"Instance": "https://login.contoso.com",
"Domain": "00000000-0000-0000-0000-000000000000",
...
}
고급 시나리오 지원
AddMicrosoftIdentityWebAppAuthentication Microsoft ID 플랫폼 API의 메서드를 사용하면 개발자가 고급 인증 시나리오에 대한 코드를 추가하거나 OpenIdConnect 이벤트를 구독할 수 있습니다. 예를 들어 앱이 Azure AD B2C로 보내는 인증 요청을 사용자 지정할 수 있는 OnRedirectToIdentityProvider를 구독할 수 있습니다.
고급 시나리오를 지원하려면 Startup.cs 파일을 열고 함수에서 ConfigureServices 다음 코드 조각으로 바꿉 AddMicrosoftIdentityWebAppAuthentication 니다.
// Configuration to sign-in users with Azure AD B2C
//services.AddMicrosoftIdentityWebAppAuthentication(Configuration, "AzureAdB2C");
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(options =>
{
Configuration.Bind("AzureAdB2C", options);
options.Events ??= new OpenIdConnectEvents();
options.Events.OnRedirectToIdentityProvider += OnRedirectToIdentityProviderFunc;
});
앞의 코드는 메서드에 대한 참조 OnRedirectToIdentityProviderFunc 와 함께 OnRedirectToIdentityProvider 이벤트를 추가합니다. 클래스에 다음 코드 조각을 추가합니다 Startup.cs .
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Custom code here
// Don't remove this line
await Task.CompletedTask.ConfigureAwait(false);
}
컨텍스트 매개 변수를 사용하여 컨트롤러와 함수 간에 매개 변수를 OnRedirectToIdentityProvider 전달할 수 있습니다.
로그인 이름 미리 입력
로그인 사용자 경험 중에 앱은 특정 사용자를 대상으로 할 수 있습니다. 앱이 사용자를 대상으로 하는 경우 권한 부여 요청 login_hint 에서 사용자의 로그인 이름을 사용하여 쿼리 매개 변수를 지정할 수 있습니다. Azure AD B2C는 로그인 이름을 자동으로 채우며 사용자는 암호만 제공해야 합니다.
로그인 이름을 미리 입력하려면 다음을 시행합니다.
사용자 지정 정책을 사용하는 경우 직접 로그인 설정에 설명된 대로 필요한 입력 클레임을 추가합니다.
지원 고급 시나리오 절차를 완료합니다.
함수에 다음 코드 줄을 추가합니다
OnRedirectToIdentityProvider.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.LoginHint = "emily@contoso.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
ID 공급자 미리 선택
Facebook, LinkedIn 또는 Google과 같은 소셜 계정을 포함하도록 애플리케이션에 대한 로그인 과정을 구성한 경우 매개 변수를 domain_hint 지정할 수 있습니다. 이 쿼리 매개 변수는 로그인에 사용해야 하는 소셜 ID 공급자에 대한 힌트를 Azure AD B2C에 제공합니다. 예를 들어 애플리케이션이 지정 domain_hint=facebook.com하는 경우 로그인 흐름은 Facebook 로그인 페이지로 직접 이동합니다.
사용자를 외부 ID 공급자로 리디렉션하려면 다음을 수행합니다.
외부 ID 공급자의 도메인 이름을 확인합니다. 자세한 내용은 소셜 공급자에 대한 로그인 리디렉션을 참조하세요.
지원 고급 시나리오 절차를 완료합니다.
함수에서
OnRedirectToIdentityProviderFunc함수에 다음 코드 줄을 추가합니다OnRedirectToIdentityProvider.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.DomainHint = "facebook.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
UI 언어 지정
Azure AD B2C의 언어 사용자 지정을 사용하면 사용자 흐름이 고객의 요구에 맞게 다양한 언어를 수용할 수 있습니다. 자세한 내용은 언어 사용자 지정을 참조하세요.
기본 설정 언어를 설정하려면 다음을 수행합니다.
지원 고급 시나리오 절차를 완료합니다.
함수에 다음 코드 줄을 추가합니다
OnRedirectToIdentityProvider.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.UiLocales = "es"; // More code await Task.CompletedTask.ConfigureAwait(false); }
사용자 지정 쿼리 문자열 매개 변수 전달
사용자 지정 정책을 사용하면 사용자 지정 쿼리 문자열 매개 변수를 전달할 수 있습니다. 좋은 사용 사례 예제는 페이지 콘텐츠를 동적으로 변경하려는 경우입니다.
사용자 지정 쿼리 문자열 매개 변수를 전달하려면 다음을 수행합니다.
ContentDefinitionParameters 요소를 구성합니다.
지원 고급 시나리오 절차를 완료합니다.
함수에 다음 코드 줄을 추가합니다
OnRedirectToIdentityProvider.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.Parameters.Add("campaignId", "123"); // More code await Task.CompletedTask.ConfigureAwait(false); }
ID 토큰 힌트 전달
신뢰 당사자 애플리케이션은 OAuth2 권한 부여 요청의 일부로 인바운드 JWT(JSON Web Token)를 보낼 수 있습니다. 인바운드 토큰은 사용자 또는 권한 부여 요청에 대한 힌트입니다. Azure AD B2C는 토큰의 유효성을 검사한 다음 클레임을 추출합니다.
인증 요청에 ID 토큰 힌트를 포함하려면 다음을 수행합니다.
지원 고급 시나리오 절차를 완료합니다.
사용자 지정 정책에서 ID 토큰 힌트 기술 프로필을 정의합니다.
함수에 다음 코드 줄을 추가합니다
OnRedirectToIdentityProvider.private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { // The idTokenHint variable holds your ID token context.ProtocolMessage.IdTokenHint = idTokenHint // More code await Task.CompletedTask.ConfigureAwait(false); }
계정 컨트롤러
SignIn, SignUp 또는 SignOut 작업을 사용자 지정하려면 사용자 고유의 컨트롤러를 만드는 것이 좋습니다. 자체 컨트롤러를 사용하면 컨트롤러와 인증 라이브러리 간에 매개 변수를 전달할 수 있습니다.
AccountController 는 로그인 및 로그아웃 작업을 처리하는 NuGet 패키지의 일부입니다 Microsoft.Identity.Web.UI .
Microsoft ID 웹 라이브러리에서 구현을 찾을 수 있습니다.
계정 컨트롤러 추가
Visual Studio 프로젝트에서 Controllers 폴더를 마우스 오른쪽 단추로 클릭한 다음 새 컨트롤러를 추가합니다. MVC - 빈 컨트롤러를 선택한 다음 MyAccountController.cs 이름을 제공합니다.
다음 코드 조각은 MyAccountController 작업을 사용하는 사용자 지정 을 보여 줍니다.
using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.OpenIdConnect;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
namespace mywebapp.Controllers
{
[AllowAnonymous]
[Area("MicrosoftIdentity")]
[Route("[area]/[controller]/[action]")]
public class MyAccountController : Controller
{
[HttpGet("{scheme?}")]
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
return Challenge(properties, scheme);
}
}
}
_LoginPartial.cshtml 보기에서 컨트롤러에 대한 로그인 링크를 변경합니다.
<form method="get" asp-area="MicrosoftIdentity" asp-controller="MyAccount" asp-action="SignIn">
Azure AD B2C 정책 ID 전달
다음 코드 조각은 MyAccountController 및 등록 작업을 사용하는 사용자 지정 을 보여 줍니다. 작업은 인증 라이브러리에 명명된 policy 매개 변수를 전달합니다. 이렇게 하면 특정 작업에 대한 올바른 Azure AD B2C 정책 ID를 제공할 수 있습니다.
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignIn";
return Challenge(properties, scheme);
}
public IActionResult SignUp([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignUp";
return Challenge(properties, scheme);
}
_LoginPartial.cshtml 보기에서 등록 또는 프로필 편집과 같은 다른 인증 링크의 값을 asp-controller 변경 MyAccountController 합니다.
사용자 지정 매개 변수 전달
다음 코드 조각은 MyAccountController 작업을 사용하는 사용자 지정 을 보여 줍니다. 작업은 인증 라이브러리에 명명된 campaign_id 매개 변수를 전달합니다.
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["policy"] = "B2C_1_SignIn";
properties.Items["campaign_id"] = "1234";
return Challenge(properties, scheme);
}
지원 고급 시나리오 절차를 완료한 다음, 메서드에서 OnRedirectToIdentityProvider 사용자 지정 매개 변수를 읽습니다.
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Read the custom parameter
var campaign_id = context.Properties.Items.FirstOrDefault(x => x.Key == "campaign_id").Value;
// Add your custom code here
if (campaign_id != null)
{
// Send parameter to authentication request
context.ProtocolMessage.SetParameter("campaign_id", campaign_id);
}
await Task.CompletedTask.ConfigureAwait(false);
}
로그아웃 리디렉션 보호
로그아웃 후 사용자는 애플리케이션에 대해 지정된 회신 URL에 post_logout_redirect_uri 관계없이 매개 변수에 지정된 URI로 리디렉션됩니다. 그러나 유효한 id_token_hint 토큰이 전달되고 로그아웃 요청에서 ID 토큰 필요 를 설정한 경우 Azure AD B2C는 리디렉션을 수행하기 전에 애플리케이션의 post_logout_redirect_uri 구성된 리디렉션 URI 중 하나와 일치하는 값을 확인합니다. 애플리케이션에 대해 일치하는 회신 URL이 구성되지 않은 경우 오류 메시지가 표시되고 사용자가 리디렉션되지 않습니다.
애플리케이션에서 보안 로그아웃 리디렉션을 지원하려면 먼저 계정 컨트롤러 및 고급 시나리오 지원 섹션의 단계를 따릅니다. 그런 다음, 아래 단계를 수행합니다.
컨트롤러에서
MyAccountController.cs다음 코드 조각을 사용하여 SignOut 작업을 추가합니다.[HttpGet("{scheme?}")] public async Task<IActionResult> SignOutAsync([FromRoute] string scheme) { scheme ??= OpenIdConnectDefaults.AuthenticationScheme; //obtain the id_token var idToken = await HttpContext.GetTokenAsync("id_token"); //send the id_token value to the authentication middleware properties.Items["id_token_hint"] = idToken; return SignOut(properties,CookieAuthenticationDefaults.AuthenticationScheme,scheme); }Startup.cs 클래스에서 값을 구문 분석
id_token_hint하고 인증 요청에 값을 추가합니다. 다음 코드 조각은 인증 요청에 값을 전달하는id_token_hint방법을 보여 줍니다.private async Task OnRedirectToIdentityProviderForSignOutFunc(RedirectContext context) { var id_token_hint = context.Properties.Items.FirstOrDefault(x => x.Key == "id_token_hint").Value; if (id_token_hint != null) { // Send parameter to authentication request context.ProtocolMessage.SetParameter("id_token_hint", id_token_hint); } await Task.CompletedTask.ConfigureAwait(false); }함수에서
ConfigureServices컨트롤러에SaveTokens대한 옵션을 추가 하면 값에id_token액세스할 수 있습니다.services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(options => { Configuration.Bind("AzureAdB2C", options); options.Events ??= new OpenIdConnectEvents(); options.Events.OnRedirectToIdentityProviderForSignOut += OnRedirectToIdentityProviderForSignOutFunc; options.SaveTokens = true; });appsettings.json 구성 파일에서 로그아웃 리디렉션 URI 경로를 키에
SignedOutCallbackPath추가합니다."AzureAdB2C": { "Instance": "https://<your-tenant-name>.b2clogin.com", "ClientId": "<web-app-application-id>", "Domain": "<your-b2c-___domain>", "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>", "SignUpSignInPolicyId": "<your-sign-up-in-policy>" }
위의 예제에서 로그아웃 요청에 전달된 post_logout_redirect_uri 형식 https://your-app.com/signout/<your-sign-up-in-policy>입니다. 이 URL은 애플리케이션 등록의 회신 URL에 추가해야 합니다.
역할 기반 액세스 제어
ASP.NET Core의 권한 부여를 사용하면 다음 방법 중 하나를 사용하여 사용자가 보호된 리소스에 액세스할 수 있는 권한이 있는지 확인할 수 있습니다.
메서드에서 ConfigureServices 권한 부여 모델을 추가하는 메서드를 추가 AddAuthorization 합니다. 다음 예제에서는 라는 EmployeeOnly정책을 만듭니다. 정책은 클레임 EmployeeNumber 이 있는지 확인합니다. 클레임 값은 1, 2, 3, 4 또는 5 ID 중 하나여야 합니다.
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy =>
policy.RequireClaim("EmployeeNumber", "1", "2", "3", "4", "5"));
});
AuthorizeAttribute 및 다양한 매개 변수를 사용하여 ASP.NET Core에서 권한 부여를 제어합니다. 가장 기본적인 형식에서 컨트롤러, 작업 또는 Razor 페이지에 특성을 적용 Authorize 하면 해당 구성 요소의 인증된 사용자에 대한 액세스가 제한됩니다.
정책 이름을 가진 특성을 사용하여 컨트롤러에 Authorize 정책을 적용합니다. 다음 코드는 정책에 의해 Claims 권한이 부여된 사용자로 작업에 대한 액세스를 EmployeeOnly 제한합니다.
[Authorize(Policy = "EmployeeOnly")]
public IActionResult Claims()
{
return View();
}
다음 단계
- 권한 부여에 대한 자세한 내용은 ASP.NET Core의 권한 부여 소개를 참조하세요.