다단계 옵션을 사용하여 Azure AD B2C 구현

Lina Fontaine

2024년 5월 14일 화요일 오전 11:30:43

Azure AD B2C 사용자 지정 정책 구현 살펴보기
여러 인증 방법을 Azure AD B2C에 통합하면 보안과 사용자 유연성이 향상됩니다. 사용자가 다단계 인증(MFA)을 위해 이메일, 전화 또는 인증 앱 중에서 선택해야 하는 시나리오에서는 사용자 지정 정책이 중요합니다. 이러한 정책은 다양한 인증 기본 설정을 수용하는 맞춤형 사용자 여정을 허용하여 원활하고 안전한 사용자 경험을 보장합니다.
문제는 특히 TOTP(시간 기반 일회용 암호)를 다른 방법과 통합할 때 Azure 프레임워크 내의 기술 실행에 있는 경우가 많습니다. 사용자 흐름에서 이러한 옵션을 성공적으로 병합하려면 사용자 여정의 정확한 구성 및 관리가 필요하며, 이는 종종 설정 후 지속적인 MFA 선택 프롬프트와 같은 문제로 이어질 수 있습니다.

명령 설명

<ClaimType> 데이터 유형, 표시 속성 및 제한 사항을 지정하여 정책에서 클레임 유형을 정의합니다.

<UserJourney> 사용자 지정 정책에서 사용자가 거치는 일련의 단계를 설명합니다.

<OrchestrationStep> 유형 및 순서를 포함하여 사용자 경험 내의 개별 단계를 지정합니다.

<Precondition> 사용자 데이터 또는 이전 입력을 기반으로 흐름을 제어하는 데 사용되는 오케스트레이션 단계를 실행하기 위해 충족해야 하는 조건을 정의합니다.

<ClaimsProviderSelections> 사용자 경험 단계에서 선택할 수 있는 클레임 공급자를 지정합니다.

<ClaimsExchange> 어떤 공급자로부터 어떤 클레임이 필요한지 지정하여 클레임 공급자와의 클레임 교환을 정의합니다.

명령	설명
<ClaimType>	데이터 유형, 표시 속성 및 제한 사항을 지정하여 정책에서 클레임 유형을 정의합니다.
<UserJourney>	사용자 지정 정책에서 사용자가 거치는 일련의 단계를 설명합니다.
<OrchestrationStep>	유형 및 순서를 포함하여 사용자 경험 내의 개별 단계를 지정합니다.
<Precondition>	사용자 데이터 또는 이전 입력을 기반으로 흐름을 제어하는 데 사용되는 오케스트레이션 단계를 실행하기 위해 충족해야 하는 조건을 정의합니다.
<ClaimsProviderSelections>	사용자 경험 단계에서 선택할 수 있는 클레임 공급자를 지정합니다.
<ClaimsExchange>	어떤 공급자로부터 어떤 클레임이 필요한지 지정하여 클레임 공급자와의 클레임 교환을 정의합니다.

Azure AD B2C 사용자 지정 정책 통합 설명

위에 자세히 설명된 스크립트는 Azure AD B2C 내에서 사용자 지정 MFA(다단계 인증) 옵션을 구현하는 데 필수적입니다. 의 사용 태그는 전화, 이메일, TOTP(Time-based One-Time Password) 등 사용자가 선택할 수 있는 클레임 유형을 정의하므로 매우 중요합니다. 또한 이 클레임 유형은 사용자가 사용할 수 있는 입력 옵션을 지정하여 동적 사용자별 인증 환경을 만들기 위한 초석이 됩니다. 사용자가 여기에서 선택하는 사항은 인증 과정의 흐름에 영향을 미치고 개인화된 보안 조치를 가능하게 합니다.

그만큼 그리고 태그는 전체 로그인 또는 가입 프로세스를 구성합니다. 각 오케스트레이션 단계에는 이전 입력 또는 사용자 상태를 기반으로 흐름을 안내하는 데 사용되는 전제 조건이 포함될 수 있습니다. 예를 들어, 태그는 선택한 MFA 방법과 같은 특정 클레임이 설정되었는지 여부를 평가하고, 이 평가를 기반으로 특정 단계를 건너뛰어 프로세스를 간소화할 수 있습니다. 이 사용자 지정 기능을 통해 Azure AD B2C는 다양한 사용자 시나리오 및 기본 설정에 적응하여 보안과 사용자 환경을 모두 향상할 수 있습니다.

Azure AD B2C에 다단계 인증 통합

사용자 정의 정책을 위한 XML 구성

<ClaimType Id="extension_mfaByPhoneOrEmail">
    <DisplayName>Please select your preferred MFA method</DisplayName>
    <DataType>string</DataType>
    <UserInputType>RadioSingleSelect</UserInputType>
    <Restriction>
        <Enumeration Text="Phone" Value="phone" SelectByDefault="true" />
        <Enumeration Text="Email" Value="email" SelectByDefault="false" />
        <Enumeration Text="Authenticator App" Value="TOTP" SelectByDefault="false" />
    </Restriction>
</ClaimType>
<UserJourney Id="SignUpOrSignInMFAOption">
    <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
            <ClaimsProviderSelections>
                <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
            </ClaimsProviderSelections>
            <ClaimsExchanges>
                <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
            </ClaimsExchanges>
        </OrchestrationStep>
    </OrchestrationSteps>
</UserJourney>

MFA 선택 유지를 위한 스크립트

XML의 사용자 정의 정책 구성

<OrchestrationStep Order="5" Type="ClaimsExchange">
    <Preconditions>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>email</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>phone</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>TOTP</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
    </Preconditions>
</OrchestrationStep>

Azure AD B2C 사용자 지정 정책을 위한 고급 통합 기술

Azure AD B2C 사용자 지정 정책의 더 깊은 복잡성을 이해하려면 이러한 정책이 외부 시스템 및 API와 상호 작용하는 방식을 살펴봐야 합니다. Azure AD B2C의 사용자 지정 정책은 사용자 인증을 처리할 뿐만 아니라 향상된 확인 프로세스를 위해 외부 API와 상호 작용하거나 인증 과정 중에 추가 사용자 데이터를 검색하도록 구성할 수도 있습니다. 이 기능을 통해 조직은 일반적인 MFA 설정을 넘어서는 복잡한 보안 요구 사항과 조건부 액세스 시나리오를 구현할 수 있습니다.

예를 들어 시스템이 사용자 행동과 외부 위협 인텔리전스 서비스에서 제공하는 추가 컨텍스트를 기반으로 로그인 시도와 관련된 위험을 평가하는 위험 기반 인증을 통합합니다. 이 고급 기술은 외부 API를 호출하고 사용하기 위해 API 응답을 기반으로 흐름을 결정하고 실시간 평가에 따라 동적으로 보안을 강화합니다.

의 목적은 무엇입니까? Azure AD B2C 사용자 지정 정책에서?
그만큼 ID 플랫폼에서 사용자 상호 작용 중에 수집, 저장 및 조작할 수 있는 데이터 요소를 정의합니다.
특정 조건에서만 MFA를 시행하려면 어떻게 해야 합니까?
조건부 MFA는 다음을 사용하여 시행할 수 있습니다. 내의 태그 MFA를 요청하기 전에 특정 조건을 확인합니다.
Azure AD B2C 사용자 지정 정책이 외부 API를 호출할 수 있나요?
예, 다음을 사용하여 외부 API와 상호 작용할 수 있습니다. 이를 통해 정책은 제3자 서비스로부터 정보를 보내고 받을 수 있습니다.
사용하면 어떤 이점이 있나요? Azure AD B2C에 있나요?
다양한 사용자 사례 및 조건에 맞춰 사용자가 인증 프로세스를 통해 사용할 수 있는 사용자 지정 경로를 정의할 수 있습니다.
Azure AD B2C에서 사용자 지정 정책을 디버깅하려면 어떻게 하나요?
디버깅은 "개발" 모드에서 정책을 업로드하여 수행할 수 있으며, 정책 실행 시 문제를 식별하는 데 도움이 되는 자세한 오류 로그를 활성화합니다.

이메일, 전화 및 TOTP 인증 옵션을 사용하여 Azure AD B2C를 구현하면 유연성이 제공될 뿐만 아니라 사용자가 선호하는 방법을 선택할 수 있어 보안도 향상됩니다. 이러한 옵션을 구성하는 과정에서는 복잡한 인증 시나리오를 효과적으로 관리하는 데 있어 사용자 지정 정책의 힘을 보여줍니다. 이러한 시스템을 통합하는 과제는 강력한 보안을 보장하면서 사용자 친화성을 유지하고 확장 가능한 방식으로 다양한 요구 사항을 충족할 수 있는 Azure AD B2C의 기능을 입증하는 것입니다.