Microsoft Entra B2B 협업을 사용하여 로컬로 관리되는 파트너 계정에 클라우드 리소스에 대한 액세스 권한 부여
Microsoft Entra ID 이전에는 온-프레미스 ID 시스템을 사용하는 조직은 전통적으로 온-프레미스 디렉터리에 파트너 계정을 관리해왔습니다. 이러한 조직에서는 앱을 Microsoft Entra ID로 이동하기 시작할 때 파트너가 필요한 리소스에 액세스할 수 있는지 확인하려고 합니다. 리소스가 온-프레미스에 있는지 아니면 클라우드에 있는지 여부는 중요하지 않습니다. 또한 파트너 사용자가 온-프레미스 및 Microsoft Entra 리소스 모두에 대해 동일한 로그인 자격 증명을 사용할 수 있기를 원합니다.
온-프레미스 디렉터리에 외부 파트너에 대한 계정을 만드는 경우(예를 들어 partners.contoso.com 도메인에서 Maria Sullivan이란 외부 사용자를 위한 “msullivan”이란 로그인 이름의 계정을 하나 만드는 경우) 이제 이러한 계정을 클라우드에 동기화할 수 있습니다. 특히, Microsoft Entra Connect를 사용하여 파트너 계정을 클라우드에 동기화하면 UserType이 Guest인 사용자 계정이 만들어집니다. 그러면 파트너 사용자에게 필요 이상의 많은 액세스 권한을 제공하지 않으면서 파트너 사용자가 로컬 계정과 동일한 자격 증명을 사용하여 클라우드 리소스에 액세스하도록 할 수 있습니다. 로컬 게스트 계정 변환에 대한 자세한 내용은 로컬 게스트 계정을 Microsoft Entra B2B 게스트 계정으로 변환을 참조하세요.
참고 항목
내부 사용자를 B2B 협업에 초대하는 방법도 알아보세요. 이 기능을 사용하면 내부 게스트 사용자를 온-프레미스 디렉터리에서 클라우드로 동기화했는지와 관계없이 B2B 협업을 사용하도록 초대할 수 있습니다. 사용자가 B2B 협업 사용을 위한 초대를 수락하면 자신의 ID와 자격 증명을 사용하여 액세스하려는 리소스에 로그인할 수 있습니다. 암호를 유지하거나 계정 주기를 관리할 필요가 없습니다.
UserType에 대한 고유한 특성 식별
UserType 특성의 동기화를 사용하도록 설정하기 전에 먼저 온-프레미스 Active Directory에서 UserType 특성을 파생시키는 방법을 결정해야 합니다. 즉, 외부 협력자에 대해 고유한 온-프레미스 환경의 매개 변수를 알아봅니다. 해당 조직의 멤버와 이러한 외부 협력자를 구별하는 매개 변수를 확인합니다.
이를 위한 두 가지 일반적인 방법은 다음과 같습니다.
- 사용하지 않는 온-프레미스 Active Directory 특성(예: extensionAttribute1)을 원본 속성으로 사용하도록 지정합니다.
- 또는 UserType 특성의 값을 다른 속성에서 파생시킵니다. 예를 들어 온-프레미스 Active Directory UserPrincipalName 특성이 @partners.contoso.com 도메인으로 끝나는 경우 모든 사용자를 게스트로 동기화하는 것이 좋습니다.
자세한 특성 요구 사항은 UserType의 동기화 사용을 참조하세요.
사용자를 클라우드에 동기화하도록 Microsoft Entra Connect 구성
고유한 특성을 식별한 후 Microsoft Entra Connect를 구성하여 이러한 사용자를 클라우드에 동기화하면 UserType이 Guest인 사용자 계정이 만들어집니다. 권한 부여 관점에서 이러한 사용자는 Microsoft Entra B2B 협업 초대 프로세스를 통해 만들어진 B2B 사용자와 구분할 수 없습니다.
구현 지침은 UserType의 동기화 사용을 참조하세요.