Microsoft Entra ID에서 애플리케이션 프로비전이 작동하는 방식
자동 프로비전은 사용자가 액세스해야 하는 클라우드 애플리케이션에서 사용자 ID와 역할을 만드는 것을 가리킵니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함됩니다. 배포를 시작하기 전에 이 문서를 검토하여 Microsoft Entra 프로비전의 작동 방식을 알아보고 구성 권장 사항을 얻을 수 있습니다.
Microsoft Entra 프로비전 서비스는 애플리케이션 공급업체 또는 온-프레미스 프로비전 에이전트에서 제공하는 SCIM(System for Cross-Do기본 Identity Management) 2.0 사용자 관리 API 엔드포인트에 연결하여 사용자를 SaaS 앱 및 기타 시스템에 프로비전합니다. 이러한 SCIM 엔드포인트를 사용하여 Microsoft Entra ID에서 프로그래밍 방식으로 사용자를 만들고, 업데이트하고, 제거할 수 있습니다. 선택한 애플리케이션의 경우 프로비전 서비스는 그룹과 같은 추가 ID 관련 개체를 만들고, 업데이트하고, 제거할 수도 있습니다. Microsoft Entra ID와 애플리케이션 간의 프로비저닝용으로 사용되는 채널은 HTTPS TLS 1.2 암호화를 사용하여 암호화됩니다.
그림 1: Microsoft Entra 프로비저닝 서비스
그림 2: Microsoft Entra ID에서 인기 있는 SaaS 애플리케이션으로의 “아웃바운드” 사용자 프로비저닝 워크플로
그림 3: 인기 있는 HCM(Human Capital Management) 애플리케이션에서 Microsoft Entra ID 및 Windows Server Active Directory로의 “인바운드”사용자 프로비저닝 워크플로
SCIM 2.0을 사용한 프로비저닝
Microsoft Entra ID 프로비저닝 서비스는 자동 프로비저닝을 위해 SCIM 2.0 프로토콜을 사용합니다. 이 서비스는 애플리케이션의 SCIM 엔드포인트에 연결하고 SCIM 사용자 개체 스키마 및 REST API를 사용하여 사용자와 그룹의 프로비전 및 프로비전 해제를 자동화합니다. Microsoft Entra 갤러리에 있는 대부분의 애플리케이션에 대해 SCIM 기반 프로비저닝 커넥터가 제공됩니다. 개발자는 Microsoft Entra ID의 SCIM 2.0 사용자 관리 API를 사용하여 프로비전 서비스와 통합되는 앱에 대한 엔드포인트를 빌드합니다. 자세한 내용은 SCIM 엔드포인트 빌드 및 사용자 프로비저닝 구성을 참조하세요. 또한 온-프레미스 프로비저닝 에이전트는 Microsoft Entra SCIM 작업을 LDAP, SQL, REST 또는 SOAP, PowerShell, 사용자 지정 ECMA 커넥터 또는 파트너가 빌드한 커넥터 및 게이트웨이로 변환합니다.
현재 자동 Microsoft Entra 프로비저닝 커넥터가 없는 앱에 대해 커넥터를 요청하려면 Microsoft Entra 애플리케이션 요청을 참조하세요.
Authorization
Microsoft Entra ID가 애플리케이션의 사용자 관리 API에 연결하려면 자격 증명이 필요합니다. 애플리케이션에 대해 자동 사용자 프로비전을 구성할 때는 유효한 자격 증명을 입력해야 합니다. 갤러리 애플리케이션의 경우 앱 자습서에서 애플리케이션의 자격 증명 유형 및 요구 사항을 확인할 수 있습니다. 비 갤러리 애플리케이션의 경우 SCIM 설명서를 참조하여 자격 증명 유형 및 요구 사항을 이해할 수 있습니다. Microsoft Entra 관리 센터에서는 Microsoft Entra ID가 제공된 자격 증명을 사용하여 해당 앱의 프로비저닝 앱에 연결을 시도하여 자격 증명을 테스트할 수 있습니다.
매핑 특성
타사 SaaS 애플리케이션에 대해 사용자 프로비저닝을 사용하도록 설정하면 Microsoft Entra 관리 센터는 특성 매핑을 통해 해당 특성 값을 제어합니다. 매핑은 사용자 계정이 프로비저닝되거나 업데이트될 때 Microsoft Entra ID와 대상 애플리케이션 간에 흐르는 사용자 특성을 결정합니다.
Microsoft Entra 사용자 개체와 각 SaaS 앱의 사용자 개체 사이에는 미리 구성된 특성 및 특성 매핑 세트가 있습니다. 일부 앱은 사용자 외에도 다른 유형의 개체(예: 그룹)를 관리합니다.
프로비저닝을 설정할 때는 Microsoft Entra ID에서 애플리케이션으로 이동하는 사용자(또는 그룹) 속성을 정의하는 특성 매핑 및 워크플로를 검토하고 구성하는 것이 중요합니다. 두 시스템 간 사용자/그룹을 고유하게 식별하고 일치시키는 데 사용되는 일치하는 속성(이 특성을 사용하여 개체 일치)을 검토 및 구성하세요.
비즈니스 요구 사항에 따라 기본 특성 매핑을 사용자 지정할 수 있습니다. 따라서 기존의 특성 매핑을 변경 또는 삭제하거나 새 특성 매핑을 만들 수 있습니다. 자세한 내용은 SaaS 애플리케이션에 대한 사용자 프로비저닝 특성 매핑 사용자 지정을 참조하세요.
SaaS 애플리케이션에 프로비전을 구성하면 식 매핑은 지정할 수 있는 특성 매핑의 유형 중 하나입니다. 이러한 매핑의 경우, 사용자의 데이터를 SaaS 애플리케이션에 대해 사용하는 형식으로 변환할 수 있는 스크립트 방식의 식을 작성해야 합니다. 자세한 내용은 특성 매핑에 대한 식 작성을 참조하세요.
범위 지정
할당 기반 범위 지정
Microsoft Entra ID에서 SaaS 애플리케이션으로의 아웃바운드 프로비저닝의 경우 사용자 또는 그룹 할당은 프로비저닝 범위에 포함될 사용자를 결정하는 가장 일반적인 방법입니다. 이러한 할당은 Single Sign-On 활성화에도 사용되므로 액세스와 프로비저닝을 관리하기 위해 동일한 방법을 사용할 수 있습니다. 할당 기반 범위 지정은 Workday 및 Successfactors와 같은 인바운드 프로비저닝이 시나리오에는 적용되지 않습니다.
그룹 - Microsoft Entra ID P1 또는 P2 라이선스 계획을 통해 그룹을 사용하여 SaaS 애플리케이션에 대한 액세스를 할당할 수 있습니다. 그런 다음, 프로비저닝 범위를 할당된 사용자 및 그룹만 동기화로 설정하면 Microsoft Entra 프로비저닝 서비스는 사용자가 애플리케이션에 할당된 그룹의 멤버인지 여부에 따라 사용자를 프로비전하거나 프로비전 해제합니다. 그룹 개체 자체는 애플리케이션이 그룹 개체를 지원하지 않는 한 프로비저닝되지 않습니다. 애플리케이션에 할당된 그룹에서 “SecurityEnabled” 속성이 “True”로 설정되어 있는지 확인합니다.
동적 그룹. Microsoft Entra 사용자 프로비저닝 서비스는 동적 그룹에 있는 사용자를 읽고 프로비전할 수 있습니다. 다음과 같은 주의 사항 및 권장 사항에 유의하세요.
동적 그룹은 Microsoft Entra ID에서 SaaS 애플리케이션으로의 엔드투엔드 프로비저닝의 전체 성능에 영향을 줄 수 있습니다.
동적 그룹의 사용자가 SaaS 애플리케이션에서 프로비전 또는 프로비전 해제되는 속도는 동적 그룹이 멤버 자격 변경을 평가하는 속도에 따라 좌우됩니다. 동적 그룹의 처리 상태를 확인하는 방법에 대한 내용은 멤버 관리 규칙에 대한 처리 상태 확인을 참조하세요.
사용자가 동적 그룹의 멤버 자격을 잃은 경우 이는 프로비전 해제 이벤트로 간주됩니다. 동적 그룹에 대한 규칙을 만들 때 이 시나리오를 고려하세요.
중첩 그룹. Microsoft Entra 사용자 프로비저닝 서비스는 중첩된 그룹에 있는 사용자를 읽거나 프로비전할 수 없습니다. 서비스는 명시적으로 할당된 그룹의 직계 멤버인 사용자만 읽고 프로비저닝할 수 있습니다. 이것은 Single Sign-On에도 영향을 미치는 “애플리케이션에 대한 그룹 기반 할당”의 제한 사항입니다(그룹을 사용하여 SaaS 애플리케이션에 대한 액세스 관리 참조). 대신 프로비저닝해야 하는 사용자를 포함하는 그룹을 직접 할당하거나 그 밖의 방식으로 범위 지정해야 합니다.
특성 기반 범위 지정
범위 지정 필터를 사용하여 어떤 사용자를 애플리케이션에 프로비저닝할지 결정하는 특성 기반 규칙을 정의할 수 있습니다. 이 방법은 일반적으로 HCM 애플리케이션에서 Microsoft Entra ID 및 Active Directory로의 인바운드 프로비저닝에 사용됩니다. 범위 지정 필터는 각 Microsoft Entra 사용자 프로비저닝 커넥터에 대해 특성 매핑의 일부로 구성됩니다. 특성 기반 범위 지정 필터를 구성하는 방법에 대한 자세한 내용은 범위 지정 필터를 사용한 특성 기반 애플리케이션 프로비저닝을 참조하세요.
B2B(게스트) 사용자
Microsoft Entra 사용자 프로비저닝 서비스를 사용하여 Microsoft Entra ID의 B2B(게스트) 사용자를 SaaS 애플리케이션으로 프로비전할 수 있습니다. 그러나 B2B 사용자가 Microsoft Entra ID를 사용하여 SaaS 애플리케이션에 로그인하려면 Microsoft Entra ID를 SAML(Security Assertion Markup Language) ID 공급자로 사용하도록 SaaS 애플리케이션을 수동으로 구성해야 합니다.
B2B(게스트) 사용자에 대해 SaaS 앱을 구성할 때 다음 일반 지침을 따릅니다.
- 대부분의 앱에서 사용자 설치는 수동으로 진행됩니다. 앱에서도 사용자를 수동으로 만들어야 합니다.
- Dropbox처럼 자동 설치를 지원하는 앱의 경우 앱에서 별도의 초대가 만들어집니다. 사용자는 각 초대를 수락해야 합니다.
- 게스트 사용자의 잘못된(mangled) UPD(사용자 프로필 디스크) 관련 문제를 완화할 수 있도록 사용자 특성에서 항상 사용자 식별자를 user.mail로 설정해야 합니다.
참고 항목
B2B 협업 사용자의 userPrincipalName은 외부 사용자의 이메일 주소 alias@theirdo기본 "alias_theirdo기본#EXT#@yourdo기본"로 나타냅니다. userPrincipalName 특성이 특성 매핑에 원본 특성으로 포함되고 B2B 사용자가 프로비전되는 경우 #EXT# 및 도메인이 userPrincipalName에서 제거되므로 원래 alias@theirdomain은 일치 또는 프로비전에만 사용됩니다. #EXT# 및 도메인을 포함한 전체 사용자 계정 이름을 포함해야 하는 경우 userPrincipalName을 원본 특성으로 originalUserPrincipalName으로 바꿉니다.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain
프로비전 주기: 초기 및 증분
Microsoft Entra ID가 원본 시스템일 경우 프로비저닝 서비스는 델타 쿼리를 사용하여 Microsoft Graph 데이터의 변경 내용을 추적하여 사용자 및 그룹을 모니터링합니다. 프로비저닝 서비스는 원본 시스템 및 대상 시스템에 대해 초기 주기를 실행한 다음, 주기적 증분 주기를 실행합니다.
초기 주기
프로비저닝 서비스가 시작되면 첫 번째 주기는 다음을 수행합니다.
특성 매핑에 정의된 모든 특성을 검색하여 소스 시스템에서 모든 사용자와 그룹을 쿼리합니다.
구성된 할당 또는 특성 기반 범위 지정 필터를 사용하여 반환된 사용자 및 그룹을 필터링합니다.
사용자가 할당되었거나 프로비저닝 범위에 있는 경우 서비스는 지정된 일치 특성을 사용하여 대상 시스템에서 일치하는 사용자를 쿼리합니다. 예: 소스 시스템의 userPrincipal 이름이 일치하는 특성이고 대상 시스템의 userName에 매핑되는 경우 프로비저닝 서비스는 대상 시스템에서 소스 시스템의 userPrincipal 이름 값과 일치하는 userNames를 쿼리합니다.
대상 시스템에 일치하는 사용자가 없으면 원본 시스템에서 반환된 특성을 사용하여 생성됩니다. 사용자 계정이 생성되면 프로비저닝 서비스는 새 사용자의 대상 시스템 ID를 검색 및 캐시합니다. 이 ID는 해당 사용자에 대한 모든 후속 작업을 수행하는 데 사용됩니다.
일치하는 사용자가 있으면 원본 시스템에서 제공하는 특성을 사용하여 업데이트됩니다. 사용자 계정이 일치되면 프로비저닝 서비스는 새 사용자의 대상 시스템 ID를 검색 및 캐시합니다. 이 ID는 해당 사용자에 대한 모든 후속 작업을 수행하는 데 사용됩니다.
특성 매핑에 “참조” 특성이 포함되어 있을 경우 서비스는 대상 시스템에서 추가 업데이트를 수행하여 참조된 개체를 만들고 연결합니다. 예를 들어 대상 시스템에 있는 한 사용자의 “Manager” 특성이 대상 시스템에서 생성된 다른 사용자에 연결되어 있을 수 있습니다.
초기 주기가 끝나면 워터마크를 저장합니다. 이 워터마크는 후속 증분 주기의 시작점을 제공합니다.
ServiceNow, G Suite, Box 등의 일부 애플리케이션은 사용자 프로비저닝뿐 아니라 그룹 및 해당 멤버 프로비저닝도 지원합니다. 이 경우 매핑에서 그룹 프로비저닝을 사용하도록 설정하면 프로비저닝 서비스에서 사용자와 그룹을 동기화한 다음, 그룹 멤버 자격을 동기화합니다.
증분 주기
다른 모든 주기도 초기 주기와 마찬가지로 다음을 수행합니다.
소스 시스템에서 마지막 워터마크가 저장된 이후 업데이트된 사용자 및 그룹을 쿼리합니다.
구성된 할당 또는 특성 기반 범위 지정 필터를 사용하여 반환된 사용자 및 그룹을 필터링합니다.
사용자가 할당되었거나 프로비저닝 범위에 있는 경우 서비스는 지정된 일치 특성을 사용하여 대상 시스템에서 일치하는 사용자를 쿼리합니다.
대상 시스템에 일치하는 사용자가 없으면 원본 시스템에서 반환된 특성을 사용하여 생성됩니다. 사용자 계정이 생성되면 프로비저닝 서비스는 새 사용자의 대상 시스템 ID를 검색 및 캐시합니다. 이 ID는 해당 사용자에 대한 모든 후속 작업을 수행하는 데 사용됩니다.
일치하는 사용자가 있으면 원본 시스템에서 제공하는 특성을 사용하여 업데이트됩니다. 일치하는 새로 할당된 계정인 경우, 프로비저닝 서비스는 새 사용자의 대상 시스템 ID를 검색 및 캐시합니다. 이 ID는 해당 사용자에 대한 모든 후속 작업을 수행하는 데 사용됩니다.
특성 매핑에 “참조” 특성이 포함되어 있을 경우 서비스는 대상 시스템에서 추가 업데이트를 수행하여 참조된 개체를 만들고 연결합니다. 예를 들어 대상 시스템에 있는 한 사용자의 “Manager” 특성이 대상 시스템에서 생성된 다른 사용자에 연결되어 있을 수 있습니다.
이전에 프로비저닝 범위에 있던 사용자가 범위에서 제거되면(할당 취소되는 경우 포함), 서비스는 업데이트를 통해 대상 시스템에서 사용자를 해제합니다.
이전에 프로비저닝 범위에 있던 사용자가 소스 시스템에서 해제 또는 일시 삭제되면 서비스는 업데이트를 통해 대상 시스템에서 사용자를 해제합니다.
이전에 프로비저닝 범위에 있던 사용자가 소스 시스템에서 영구 삭제되면 서비스는 대상 시스템에서 사용자를 삭제합니다. Microsoft Entra ID에서 사용자는 일시 삭제된 날부터 30일 후에 영구 삭제됩니다.
증분 주기가 끝나면 새 워터마크를 저장합니다. 이 워터마크는 후속 증분 주기의 시작점을 제공합니다.
참고 항목
필요에 따라 매핑 섹션의 대상 개체 작업 확인란을 사용하여 만들기, 업데이트 또는 삭제 작업을 사용하지 않도록 설정할 수 있습니다. 업데이트 중에 사용자를 해제하는 논리도 accountEnabled와 같은 필드의 특성 매핑을 통해 제어됩니다.
프로비저닝 서비스는 각 애플리케이션과 관련된 자습서에 정의된 간격마다 연속 증분 주기를 무기한 실행합니다. 증분 주기는 다음과 같은 이벤트 중 하나가 발생할 때까지 실행됩니다.
- 서비스가 Microsoft Entra 관리 센터를 사용하여 수동으로 중지되거나 적절한 Microsoft Graph API 명령을 사용하여 중지됩니다.
- 새 초기 주기는 Microsoft Entra 관리 센터의 프로비저닝 다시 시작 옵션을 사용하거나 적절한 Microsoft Graph API 명령을 사용하여 트리거됩니다. 이 작업은 저장된 워터마크를 모두 지우고 모든 원본 개체를 다시 평가합니다. 또한 이 작업을 수행해도 원본 개체와 대상 개체 간의 링크가 끊어지지 않습니다. 링크를 끊으려면 요청과 함께 Restart synchronizationJob을 사용합니다.
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
"criteria": {
"resetScope": "Full"
}
}
- 특성 매핑 또는 범위 지정 필터가 변경되어 새 초기 주기가 트리거됩니다. 이 작업도 저장된 워터마크를 모두 지우고 모든 원본 개체를 다시 평가합니다.
- 높은 오류 비율로 인해 프로비전 프로세스가 격리(예제 참조) 상태로 전환되고 4주 넘게 격리 상태로 유지됩니다. 이 이벤트가 발생하면 자동으로 서비스를 사용할 수 없게 됩니다.
오류 및 다시 시도
대상 시스템의 오류로 인해 대상 시스템에서 개별 사용자를 추가, 업데이트 또는 삭제할 수 없는 경우 다음 동기화 주기에서 작업이 다시 시도됩니다. 오류는 지속적으로 다시 시도되므로 다시 시도 빈도를 점진적으로 다시 스케일링합니다. 오류를 해결하려면 관리자가 프로비저닝 로그를 확인하여 근본 원인을 파악하고 적절한 조치를 수행해야 합니다. 일반적인 오류는 다음과 같습니다.
- 대상 시스템에서 필요한 특성이 사용자의 소스 시스템에 채워져 있지 않음
- 대상 시스템에서 UNIQUE 제약 조건을 가진 특성 값이 사용자의 원본 시스템에 있고 다른 사용자 레코드에 동일한 값이 있음
이러한 오류는 원본 시스템에서 영향을 받는 사용자의 특성 값을 조정하거나 충돌이 발생하지 않도록 특성 매핑을 조정하여 해결할 수 있습니다.
격리
대상 시스템에 대한 호출이 오류(예: 잘못된 관리자 자격 증명)로 인해 대부분 또는 모두 일관되게 실패하는 경우 프로비저닝 작업이 “격리” 상태로 전환됩니다. 이 상태는 프로비저닝 요약 보고서에 표시되고 Microsoft Entra 관리 센터에서 메일 알림이 구성된 경우 메일을 통해 표시됩니다.
격리 중에 증분 주기 빈도는 하루에 한 번까지 점차 감소됩니다.
위반 오류를 모두 수정하고 다음 동기화 주기가 시작되면 프로비저닝 작업이 격리에서 제거됩니다. 프로비저닝 작업이 4주 넘게 격리 상태로 유지되면 프로비저닝 작업을 사용할 수 없게 됩니다. 격리 상태에 대한 자세한 내용은 여기를 참조하세요.
프로비저닝 소요 시간
성능은 대로 프로비저닝 작업이 초기 프로비저닝 주기와 증분 주기 중 어느 것을 실행하는지에 따라 달라집니다. 프로비저닝 소요 시간 및 프로비저닝 서비스 상태를 모니터링하는 방법은 사용자 프로비저닝 상태 확인을 참조하세요.
사용자가 올바르게 프로비저닝되었는지 확인하는 방법
사용자 프로비저닝 서비스에서 실행하는 모든 작업은 Microsoft Entra 프로비저닝 로그(미리 보기)에 기록됩니다. 로그에는 원본 및 대상 시스템에 만들어진 모든 읽기 및 쓰기 작업과 각 작업 동안 읽거나 쓴 사용자 데이터가 포함됩니다. Microsoft Entra 관리 센터에서 프로비저닝 로그를 읽는 방법에 대한 자세한 내용은 프로비저닝 보고 가이드를 참조하세요.
프로비전 해제
Microsoft Entra 프로비저닝 서비스는 사용자가 제거된 경우 계정을 프로비전 해제함으로써 원본 및 대상 시스템을 동기화합니다.
프로비저닝 서비스는 사용자 삭제 및 비활성화(경우에 따라 일시 삭제라고도 함)를 모두 지원합니다. 비활성화 및 삭제의 정확한 정의는 대상 앱의 구현에 따라 다르지만 일반적으로 비활성화는 사용자가 로그인할 수 없음을 나타냅니다. 삭제는 사용자가 애플리케이션에서 완전히 제거되었음을 나타냅니다. SCIM 애플리케이션의 경우 비활성화는 사용자에 대해 '활성' 속성을 false로 설정하는 요청입니다.
사용자를 비활성화하도록 애플리케이션 구성
업데이트 확인란이 선택되어 있는지 확인합니다.
애플리케이션에 대한 '활성' 매핑이 있는지 확인합니다. 앱 갤러리의 애플리케이션을 사용하는 경우 매핑이 약간 다를 수 있습니다. 이 경우 갤러리 애플리케이션에 대한 기본 매핑을 사용합니다.
사용자를 삭제하도록 애플리케이션 구성
이 시나리오는 사용 안 함 또는 삭제를 트리거합니다.
- 사용자가 Microsoft Entra ID에서 일시 삭제됩니다(휴지통을 보냄/AccountEnabled 속성을 false로 설정). 사용자가 Microsoft Entra ID에서 삭제되고 30일이 지나면 테넌트에서 영구 삭제됩니다. 이 시점에서 프로비전 서비스는 DELETE 요청을 보내서 애플리케이션에서 사용자를 영구 삭제합니다. 30일 기간 중 언제든지 사용자를 수동으로 삭제할 수 있으며, 이렇게 하면 애플리케이션으로 삭제 요청이 전송됩니다.
- 사용자가 Microsoft Entra ID에서 영구적으로 삭제/휴지통에서 제거됩니다.
- 사용자가 앱에서 할당 취소됩니다.
- 사용자가 범위 내부에서 범위 외부로 이동합니다(범위 지정 필터를 더 이상 전달하지 않음).
기본적으로 Microsoft Entra 프로비저닝 서비스는 범위를 벗어나는 사용자를 일시 삭제하거나 비활성화합니다. 이 기본 동작을 재정의하려면 범위 외 삭제 건너뛰기 플래그를 설정할 수 있습니다.
4개 이벤트 중 하나가 발생하고 대상 애플리케이션에서 일시 삭제를 지원하지 않는 경우 프로비전 서비스는 DELETE 요청을 보내서 앱에서 사용자를 영구 삭제합니다.
특성 매핑에 IsSoftDeleted가 있는 경우, 이 특성은 사용자의 상태를 확인하고 active = false로 업데이트 요청을 보내서 사용자를 일시 삭제할지 여부를 결정하는 데 사용됩니다.
이벤트 프로비전 해제
이 표에서는 Microsoft Entra 프로비저닝 서비스를 사용하여 프로비전 해제 작업을 구성하는 방법을 설명합니다. 이러한 규칙은 비갤러리/사용자 지정 애플리케이션을 염두에 두고 작성되지만 일반적으로 갤러리의 애플리케이션에 적용됩니다. 그러나 갤러리 애플리케이션의 동작은 애플리케이션의 요구 사항을 충족하도록 최적화되었기 때문에 다를 수 있습니다. 예를 들어 대상 애플리케이션이 일시 삭제를 지원하지 않는 경우 Microsoft Entra 프로비저닝 서비스는 일시 삭제를 보내는 대신 사용자를 삭제하기 위한 하드 삭제 요청을 보낼 수 있습니다.
| 시나리오 | Microsoft Entra ID에서 구성하는 방법 |
|---|---|
| 사용자가 앱에서 할당되지 않거나, Microsoft Entra ID에서 일시 삭제되거나, 로그인이 차단되었습니다. 아무 작업도 원하지 않을 수 있습니다. | 특성 매핑에서 isSoftDeleted를 제거하고/또는 범위를 벗어난 건너뛰기 삭제 속성을 true로 설정합니다. |
사용자가 앱에서 할당되지 않거나, Microsoft Entra ID에서 일시 삭제되거나, 로그인이 차단되었습니다. 특정 특성을 true 또는 false로 설정하려고 합니다. |
isSoftDeleted를 false로 설정하려는 특성에 매핑합니다. |
| 사용자가 Microsoft Entra ID에서 비활성되거나, 앱에서 할당되지 않거나, Microsoft Entra ID에서 일시 삭제되거나, 로그인이 차단되었습니다. 대상 애플리케이션에 DELETE 요청을 보내려고 합니다. | 이 기능은 현재 기능이 필요한 제한된 갤러리 애플리케이션 집합에 대해 지원됩니다. 고객이 구성할 수는 없습니다. |
| Microsoft Entra ID에서 사용자가 삭제됩니다. 대상 애플리케이션에서는 아무 작업도 수행하지 않으려고 합니다. | 특성 구성 환경에서 대상 개체 작업 중 하나로 "삭제"가 선택되었는지 확인합니다. |
| Microsoft Entra ID에서 사용자가 삭제됩니다. 대상 애플리케이션에서 특성 값을 설정하려고 합니다. | 지원되지 않습니다. |
| Microsoft Entra ID에서 사용자가 삭제됩니다. 대상 애플리케이션에서 사용자를 삭제하려고 합니다. | 특성 구성 환경에서 대상 개체 작업 중 하나로 삭제가 선택되었는지 확인합니다. |
알려진 제한 사항
- 사용자 또는 그룹이 앱에서 할당 취소되고 프로비전 서비스를 사용하여 더 이상 관리되지 않는 경우 사용 안 함 요청이 전송됩니다. 이 시점에서 서비스는 사용자를 관리하지 않으며 사용자가 디렉터리에서 삭제되면 삭제 요청이 전송되지 않습니다.
- Microsoft Entra ID에서 비활성화된 사용자를 프로비전하는 것은 지원되지 않습니다. 사용자를 프로비전하려면 사용자가 Microsoft Entra ID에서 활성 상태여야 합니다.
- 사용자가 일시 삭제 상태에서 활성 상태로 전환되면 Microsoft Entra 프로비저닝 서비스는 대상 앱에서 사용자를 활성화하지만 그룹 멤버 자격을 자동으로 복원하지 않습니다. 대상 애플리케이션은 비활성 상태의 사용자에 대한 그룹 멤버 자격을 유지해야 합니다. 대상 애플리케이션이 비활성 상태를 유지하도록 지원하지 않는 경우 프로비전을 다시 시작하여 그룹 멤버 자격을 업데이트할 수 있습니다.
권장
애플리케이션을 개발할 때는 항상 일시 삭제와 영구 삭제를 모두 지원하세요. 그러면 사용자가 실수로 비활성화된 경우 고객이 복구할 수 있습니다.