Microsoft Entra 온-프레미스 애플리케이션 ID 프로비전 아키텍처
개요
다음 다이어그램에서는 온-프레미스 애플리케이션 프로비저닝의 작동 방식을 보여 줍니다.
사용자를 온-프레미스 애플리케이션으로 프로비저닝하는 세 가지 기본 구성 요소가 있습니다.
- 프로비전 에이전트는 Microsoft Entra ID와 온-프레미스 환경 간에 연결을 제공합니다.
- ECMA(Extensible Connectivity) 호스트는 Microsoft Entra ID의 프로비전 요청을 대상 애플리케이션에 대한 요청으로 변환합니다. Microsoft Entra ID와 애플리케이션 간의 게이트웨이 역할을 합니다. Microsoft Identity Manager에서 사용되는 기존 ECMA2 커넥터를 가져올 수 있습니다. SCIM 애플리케이션 또는 SCIM 게이트웨이를 빌드한 경우에는 ECMA 호스트가 필요하지 않습니다.
- Microsoft Entra 프로비전 서비스는 동기화 엔진 역할을 합니다.
참고 항목
Microsoft Identity Manager 동기화는 필요하지 않습니다. 그러나 ECMA 호스트로 가져오기 전에 ECMA2 커넥터를 빌드하고 테스트하는 데 사용할 수 있습니다. ECMA2 커넥터는 MIM과 관련이 있으며, 여기서 ECMA 호스트는 프로비저닝 에이전트와 함께 사용하도록 지정됩니다.
방화벽 요구 사항
회사 네트워크에 대한 인바운드 연결을 열 필요가 없습니다. 프로비저닝 에이전트는 프로비저닝 서비스에 대한 아웃바운드 연결만 사용하므로 들어오는 연결에 대한 방화벽 포트를 열지 않아도 됩니다. 모든 연결은 아웃바운드이고 보안 채널을 통해 발생하기 때문에 경계(DMZ) 네트워크가 필요하지 않습니다.
프로비전 에이전트에 필요한 아웃바운드 엔드포인트는 여기에 자세히 설명되어 있습니다.
ECMA 커넥터 호스트 아키텍처
ECMA 커넥터 호스트에는 온-프레미스 프로비전을 달성하는 데 사용하는 여러 영역이 있습니다. 아래 다이어그램은 이러한 개별 영역을 나타내는 개념도입니다. 해당 영역은 아래 표에 더 자세히 설명되어 있습니다.
| 영역 | 설명 |
|---|---|
| 끝점 | Microsoft Entra 프로비전 서비스와의 통신 및 데이터 전송을 담당합니다. |
| 메모리 내 캐시 | 온-프레미스 데이터 원본에서 가져온 데이터를 저장하는 데 사용됩니다. |
| 자동 동기화 | ECMA 커넥터 호스트와 온-프레미스 데이터 원본 간의 비동기 데이터 동기화를 제공합니다. |
| 비즈니스 논리 | 모든 ECMA 커넥터 호스트 활동을 조정하는 데 사용됩니다. 자동 동기화 시간은 ECMA 호스트에서 구성할 수 있습니다. 이것은 속성 페이지에 있습니다. |
앵커 특성 및 고유 이름 정보
다음 정보는 특히 genericSQL 커넥터에서 사용되는 앵커 특성 및 고유 이름을 더 잘 설명하기 위해 제공됩니다.
앵커 특성은 변경되지 않고 ECMA 커넥터 호스트 메모리 내 캐시의 해당 개체를 나타내는 개체 형식의 고유한 특성입니다.
DN(고유 이름)은 디렉터리 계층 구조에서 현재 위치를 표시하여 개체를 고유하게 식별하는 이름입니다. 또는 파티션에서 SQL을 사용할 수 있습니다. 이 이름은 앵커 특성을 디렉터리 파티션의 루트에 연결하여 형성됩니다.
예를 들어 Active Directory 또는 LDAP와 같은 기존 형식의 기존 DN을 생각할 때 다음과 비슷한 것을 생각합니다.
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
하지만 계층 구조가 아닌 평평한 SQL과 같은 데이터 원본의 경우에는 DN이 테이블 중 하나에 이미 있거나 ECMA 커넥터 호스트에 제공하는 정보에서 만들어져야 합니다.
이 작업은 genericSQL 커넥터를 구성할 때 확인란에서 자동 생성됨을 선택하여 수행할 수 있습니다. DN이 자동으로 생성되도록 선택하면 ECMA 호스트는 DN을 LDAP 형식(CN=<anchorvalue>,OBJECT=<type>)으로 생성합니다. 또한 연결 페이지에서 DN이 앵커가 선택 취소되어 있다고 가정합니다.
genericSQL 커넥터는 DN이 LDAP 형식을 사용하여 채워질 것으로 예상합니다. 일반 SQL 커넥터는 구성 요소 이름이 "OBJECT="인 LDAP 스타일을 사용합니다. 이렇게 하면 파티션을 사용할 수 있습니다(각 개체 형식이 파티션임).
ECMA 커넥터 호스트는 현재 USER 개체 형식만 지원하기 때문에 OBJECT=<type>은 OBJECT=USER입니다. 따라서 앵커 값이 ljacobson인 사용자의 DN은 다음과 같습니다.
CN=ljacobson,OBJECT=USER
사용자 만들기 워크플로
Microsoft Entra 프로비전 서비스는 ECMA 커넥터 호스트를 쿼리하여 사용자가 존재하는지 확인합니다. 일치하는 특성을 필터로 사용합니다. 이 특성은 Azure AD 포털의 엔터프라이즈 애플리케이션 -> 온-프레미스 프로비전 -> 프로비전 -> 특성 일치 아래에서 정의됩니다. 일치 우선 순위가 1로 표시됩니다. 하나 이상의 일치하는 특성을 정의하고 우선 순위를 지정할 수 있습니다. 일치하는 특성을 변경하려는 경우 그렇게 할 수 있습니다.
ECMA 커넥터 호스트는 GET 요청을 수신하고 내부 캐시를 쿼리하여 사용자가 존재하는지 여부와 가져온 기반이 있는지 여부를 확인합니다. 이 작업은 위의 일치하는 특성을 사용하여 수행됩니다. 일치하는 특성을 여러 개 정의하는 경우 Microsoft Entra 프로비전 서비스는 각 특성에 대해 GET 요청을 보내고 ECMA 호스트는 일치하는 항목을 찾을 때까지 캐시에서 일치 항목을 확인합니다.
사용자가 존재하지 않는 경우 Microsoft Entra ID는 사용자를 만들기 위해 POST 요청을 보냅니다. ECMA 커넥터 호스트는 HTTP 201을 사용하여 Microsoft Entra ID에 다시 응답하고 사용자에게 ID를 제공합니다. 이 ID는 개체 유형 페이지에 정의된 앵커 값에서 파생됩니다. 이 앵커는 Microsoft Entra ID에서 향후 및 후속 요청에 대해 ECMA 커넥터 호스트를 쿼리하는 데 사용됩니다.
Microsoft Entra ID의 사용자에게 변경 내용이 발생하면 Microsoft Entra ID는 1단계의 일치 특성이 아닌 이전 단계의 앵커를 사용하여 사용자를 검색하기 위해 GET 요청을 만듭니다. 예를 들어, 이를 통해 Microsoft Entra ID의 사용자와 앱 간의 링크를 끊지 않고 UPN을 변경할 수 있습니다.
에이전트 모범 사례
- Workday/SuccessFactors/Microsoft Entra Connect 클라우드 동기화와 함께 온-프레미스 프로비전 기능에 동일한 에이전트를 사용하는 것은 현재 지원되지 않습니다. Microsoft는 다른 프로비전 시나리오와 동일한 에이전트에서 온-프레미스 프로비전을 지원하기 위해 적극적으로 노력하고 있습니다.
-
- 에이전트와 Azure 간 아웃바운드 TLS 통신에 대한 모든 형태의 인라인 검사를 방지합니다. 이 유형의 인라인 검사를 수행하면 통신 흐름이 저하됩니다.
- 에이전트는 Azure 및 애플리케이션과 둘 다 통신해야 하므로 에이전트의 배치는 두 연결의 대기 시간에 영향을 줍니다. 각 네트워크 연결을 최적화하여 엔드투엔드 트래픽의 대기 시간을 최소화할 수 있습니다. 각 연결은 다음을 통해 최적화할 수 있습니다.
- 홉의 두 끝 사이의 거리 줄이기
- 트래버스하기 적합한 네트워크 선택. 예를 들어 공용 인터넷보다 프라이빗 네트워크를 트래버스하는 것이 전용 링크가 있으므로 더 빠를 수 있습니다.
- 에이전트와 ECMA 호스트는 통신에 인증서를 사용합니다. ECMA 호스트에서 생성된 자체 서명된 인증서는 테스트 목적으로만 사용해야 합니다. 자체 서명된 인증서는 기본적으로 2년 후에 만료되며 해지할 수 없습니다. 프로덕션 사용 사례에 대해 신뢰할 수 있는 CA의 인증서를 사용하는 것이 좋습니다.
프로비저닝 에이전트 질문
몇 가지 일반적인 질문에 대한 답변이 여기에 있습니다.
내 프로비저닝 에이전트의 버전을 어떻게 알 수 있나요?
- 프로비저닝 에이전트가 설치된 Windows Server에 로그인합니다.
- 제어판>프로그램 제거/변경으로 이동합니다.
- Microsoft Entra Connect 프로비전 에이전트 항목에 해당하는 버전을 찾습니다.
Microsoft Entra Connect 또는 Microsoft Identity Manager를 실행하는 동일한 서버에 프로비전 에이전트를 설치할 수 있나요?
예. Microsoft Entra Connect 또는 Microsoft Identity Manager를 실행하는 동일한 서버에 프로비전 에이전트를 설치할 수 있지만 필수는 아닙니다.
아웃바운드 HTTP 통신에 프록시 서버를 사용하도록 프로비저닝 에이전트를 구성하려면 어떻게 할까요?
프로비저닝 에이전트는 아웃바운드 프록시 사용을 지원합니다. 에이전트 구성 파일 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config를 편집하여 에이전트를 구성할 수 있습니다. 파일의 끝 쪽으로 닫는 </configuration> 태그 바로 앞에 다음 줄을 추가합니다. [proxy-server] 및 [proxy-port] 변수를 프록시 서버 이름 및 포트 값으로 바꿉니다.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
프로비전 에이전트가 Microsoft Entra 테넌트와 통신할 수 있고 에이전트에 필요한 포트를 차단하는 방화벽이 없는지 어떻게 확인하나요?
필요한 모든 포트가 열려 있는지 확인할 수도 있습니다.
프로비저닝 에이전트를 제거하려면 어떻게 할까요?
- 프로비저닝 에이전트가 설치된 Windows Server에 로그인합니다.
- 제어판>프로그램 제거/변경으로 이동합니다.
- 다음 프로그램을 제거합니다.
- Microsoft Entra Connect 프로비전 에이전트
- Microsoft Entra Connect 에이전트 업데이터
- Microsoft Entra Connect 프로비전 에이전트 패키지
프로비저닝 에이전트 기록
이 문서에는 릴리스된 Microsoft Entra Connect 프로비전 에이전트의 버전과 기능이 나열되어 있습니다. Microsoft Entra 팀은 새로운 기능으로 프로비전 에이전트를 정기적으로 업데이트합니다. 온-프레미스 프로비전과 클라우드 동기화/HR 기반 프로비전에 동일한 에이전트를 사용하지 않는지 확인하세요.
Microsoft에서는 최신 에이전트 버전 및 이전 버전을 직접 지원합니다.
다운로드 링크
온-프레미스 앱 프로비전이 프로비전 에이전트에 포함되었으며 포털에서 사용할 수 있습니다. 프로비전 에이전트 설치를 참조하세요.
1.1.892.0
2022년 5월 20일 - 다운로드용으로 릴리스됨
해결된 문제
- 정수 특성으로 변경 내용을 내보내는 지원이 추가되었으며, 이는 일반 LDAP 커넥터를 사용하는 고객에게 이점을 제공합니다.
1.1.846.0
2022년 4월 11일 - 다운로드용으로 릴리스됨
해결된 문제
- 사용자를 AD LDS로 프로비전할 때 일반 LDAP 커넥터에 대한 앵커로 ObjectGUID에 대한 지원을 추가했습니다.