Power Pages의 5가지 인증 방법 중 잘못된 선택이 보안 감사 실패와 3주의 재개발을 초래했다

Context

Power Pages는 Dataverse 기반의 저코드 외부 포털 구축 도구다. 기본 Local Authentication은 Dataverse에 비밀번호를 저장하며 Microsoft는 프로덕션 사용 시 Azure AD B2C 마이그레이션을 권장한다. 팀들은 설정 마법사의 편리함에 속아 프로덕션 환경에 부적합한 인증 방법을 선택하는 실수가 빈번하다.

Technical Solution

• Local Authentication → 프로덕션 환경에서 Azure AD B2C 마이그레이션 필요
• OIDC → authorization code flow with PKCE 전환으로 ID token 브라우저 노출 방지
• SAML 2.0 → ADFS, Okta, Ping Identity 연동 시 WantAssertionsSigned=True 설정
• Social OAuth → consumer 커뮤니티 포털용, enterprise MFA 미지원
• Open Registration → enterprise 포털에서 OpenRegistrationEnabled=False 필수

Impact

잘못된 인증 선택으로 3주의 마이그레이션 기간이 발생했으며 프로젝트 예산 초과와 v2 로드맵 지연을 초래했다.

Key Takeaway

프로젝트 1차 스프린트에서의 인증 결정이 보안 감사 합격 여부와 향후 개발 일정을 결정한다.