랩 06: 페더레이션 ID 공급자 추가

랩 시나리오

귀사는 여러 공급업체와 협력하고 있으며, 때로는 일부 공급업체 계정을 디렉터리에 게스트로 추가하고 해당 Google 계정을 사용하여 로그인하도록 허용해야 합니다.

예상 소요 시간: 25분

연습 1 - ID 공급자 구성

작업 1 - ID 공급자로 사용할 Google 구성

중요 참고 사항 - 이 연습을 하려면 Google의 Gmail 계정이 필요합니다. 새 Google 계정을 만든 다음, 연습 단계를 수행합니다. 랩을 완료하려면 메일 주소와 암호를 기록해 둡니다.

  1. https://console.developers.google.com 에서 Google API로 이동하고, Google 계정으로 로그인합니다. 공유 팀 Google 계정을 사용하는 것이 좋습니다.

  2. 해당 계정을 사용하라는 메시지가 표시되면 서비스 약관에 동의합니다.

새 프로젝트 만들기:

  1. 페이지 위쪽에서 프로젝트 메뉴를 선택하여 프로젝트 선택 페이지를 엽니다. 새 프로젝트를 선택합니다. 나머지 필드는 기본 설정으로 둡니다.

  2. 새 프로젝트 페이지에서 프로젝트에 이름(예: MyB2BApp)을 지정한 다음, 만들기를 선택합니다.

  3. 알림 메시지 상자에서 링크를 선택하거나 페이지 맨 위에 있는 프로젝트 메뉴를 사용하여 새 프로젝트를 엽니다.

  4. 왼쪽 메뉴에서 API 및 서비스를 선택한 다음, OAuth 동의 화면을 선택합니다.

  5. 사용자 유형에서 외부를 선택한 다음, 만들기를 선택합니다.

  6. OAuth 동의 화면의 앱 정보 아래에 Microsoft Entra ID와 같은 앱 이름을 입력합니다.

  7. 사용자 지원 이메일에서 이메일 주소를 선택합니다. 여기에는 Google에 로그인하는 데 사용한 메일 주소가 포함되어야 합니다.

  8. 권한 있는 도메인에서 + 도메인 추가를 선택한 다음, microsoftonline.com 도메인을 추가합니다.

   microsoftonline.com

  1. 개발자 연락처 정보에서 포털에 로그인하는 데 사용한 랩 계정의 메일 주소를 입력합니다.

  2. 저장하고 계속을 선택합니다.

  3. 왼쪽 메뉴에서 자격 증명을 선택합니다.

  4. + 자격 증명 만들기를 선택한 다음, OAuth 클라이언트 ID를 선택합니다.

  5. 애플리케이션 유형 메뉴에서 웹 애플리케이션을 선택합니다. Microsoft Entra B2B와 같이 애플리케이션에 적합한 이름을 지정합니다. 권한 있는 리디렉션 URI에서 다음 URI를 추가합니다.

      https://login.microsoftonline.com

  https://login.microsoftonline.com/te/**tenant ID**/oauth2/authresp    (여기서 <tenant ID> 는 테넌트 ID)    ```
  https://login.microsoftonline.com/te/**tenant name**.onmicrosoft.com/oauth2/authresp
   (where <tenant name> is your tenant name)    ```

  1. 만들기를 선택합니다. 클라이언트 ID클라이언트 비밀을 복사합니다. Azure Portal에서 ID 공급자를 추가할 때 복사한 정보를 사용합니다.

  2. 프로젝트를 테스트 게시 상태로 둘 수 있습니다.

작업 2 - 테스트 사용자 추가

  1. API 및 서비스 메뉴에서 OAuth 동의 화면을 선택합니다.

  2. 페이지의 *테스트 사용자 섹션에서 + 사용자 추가를 선택합니다.

  3. 이 랩을 위해 만들었거나 사용 중인 gmail 계정을 입력합니다.

  4. 저장을 선택합니다.

연습 2 - 외부 ID 공급자와 작동하도록 Azure 구성

작업 1 - Google 페더레이션을 위한 Microsoft Entra ID 구성

  1. 관리자 권한으로  https://entra.microsoft.com  에 로그인합니다.

  2.  Microsoft Entra ID를 선택합니다.

  3.  ID에서  외부 ID를 선택합니다.

  4. 왼쪽 메뉴에서 모든 ID 공급자 를 선택합니다.

  5. Microsoft는 Google에 대한 직접 페더레이션을 ID 공급자로 제공합니다.**외부 ID 모든 ID 공급자** 페이지에서 + Google을 선택하여 시작할 수 있습니다.

  6. + Google을 선택하면 Google을 ID 공급자로 구성하는 데 필요한 추가 정보가 포함된 다른 페이지가 열립니다.

  7. 미리 복사해 둔 클라이언트 ID클라이언트 암호를 입력합니다.

  8. 저장을 선택합니다.

이렇게 하면 Google이 ID 공급자로 구성됩니다.

작업 2 - 테스트 사용자 계정 초대

  1. 기존 Gmail 계정을 사용한 경우 **외부 ID 모든 ID 공급자**를 사용하여 계정을 삭제해야 합니다. Google 개발자 콘솔로 돌아가서 만든 프로젝트를 삭제할 수도 있습니다.

  2. Microsoft Entra ID를 엽니다.

  3. 사용자로 이동하여 모든 사용자를 선택합니다.

  4. + 새 사용자를 선택합니다.

  5. 드롭다운 메뉴에서 외부 사용자 초대를 선택합니다.

  6. 연습 1 작업 2에서 Google 앱의 테스트 사용자로 설정한 gmail 계정에 대한 정보를 입력합니다.

  7. 원하는 대로 개인 메시지를 입력합니다.

  8. 초대를 선택합니다.

작업 3 - 초대 수락 및 로그인

  1. InPrivate 브라우저를 사용하여 gmail 계정에 로그인합니다.

  2. 받은 편지함에서 대신 Microsoft 초대를 엽니다.

  3. 메시지에서 초대 수락 링크를 선택합니다.

  4. 로그인 대화 상자에서 요청된 대로 사용자 이름과 암호를 입력합니다(요청된 경우). 참고 페더레이션이 제대로 작동하는 경우 새 Google 외부 ID 공급자의 첫 번째 결과가 표시됩니다. 로그인 화면으로 이동하여 gmail 자격 증명으로 로그인할 수 있습니다. 페더레이션이 작동하지 않거나 설정되지 않은 경우 사용자가 로그인 후 계정 확인 메일을 보내 계정을 확인합니다. 페더레이션을 사용하면 추가 확인이 필요하지 않습니다.

참고 액세스 오류 500이 발생하면 약 30초 동안 기다렸다가 페이지를 새로 고칩니다. 다시 제출하기를 선택합니다. 이 오류는 랩 환경에서만 발생하는 타이밍 문제입니다.

  1. 새로 받은 요청한 권한: 메시지를 읽어보세요. 이 메시지는 Azure Lab 도메인에서 제공됩니다.

  2. 수락을 선택합니다.

  3. 로그인이 완료되면 MyApplications가 전송됩니다.

작업 4 - Google 계정을 사용하여 Microsoft 365에 로그인

  1. 작업 3의 외부 사용자 초대 프로세스를 완료하면 Microsoft Online에 직접 로그인할 수 있습니다.

  2. 열려 있는 브라우저에서 새 탭을 엽니다. 참고 작업 3에서 InPrivate 브라우저를 새로 열지 않은 경우 이 단계를 수행해야 합니다.

  3. 다음 웹 주소를 입력합니다.

   login.microsoftonline.com

  1. 대화 상자에서 로그인 옵션을 선택합니다.

  2. 조직에 로그인을 선택합니다.

  3. 상자에 랩 테넌트 도메인 이름을 입력하고 다음을 선택합니다.

  4. 만든 Google 메일 주소 및 암호를 입력합니다. 이 시점에서 확인을 위해 계정이 Google에 전달된 것을 볼 수 있습니다. 그런 다음, Microsoft Office 포털을 입력합니다.