범위 지정 필터로 프로비전할 사용자 또는 그룹 범위 지정
Microsoft Entra 프로비전 서비스에서 범위 지정 필터를 사용하여 속성 기반 규칙을 정의하는 방법을 알아보세요. 규칙은 프로비전되는 사용자 또는 그룹을 결정하는 데 사용됩니다.
범위 지정 필터 사용 사례
개체가 비즈니스 요구 사항을 충족하지 못하는 경우 프로비전하는 자동화된 사용자를 지원하는 애플리케이션의 개체가 실제로 프로비전되지 않도록 하기 위한 지정 범위 필터를 사용합니다. 범위 지정 필터를 사용하면 특정 값과 일치하는 특성을 가진 사용자를 포함하거나 제외할 수 있습니다. 예를 들어 영업 팀에서 사용하는 SaaS 애플리케이션에 Microsoft Entra ID의 사용자를 프로비전할 때, "부서" 속성이 "영업"인 사용자만 프로비전 범위에 포함되도록 지정할 수 있습니다.
프로비전 커넥터 유형에 따라 범위 지정 필터를 다르게 사용할 수 있습니다.
Microsoft Entra ID에서 SaaS 애플리케이션으로 아웃바운드 프로비전. Microsoft Entra ID가 원본 시스템일 때 사용자 및 그룹 할당이 프로비전 범위에 포함될 사용자를 결정하는 가장 일반적인 방법입니다. 이러한 할당은 Single Sign-On 활성화에도 사용되며 액세스 및 프로비전을 관리하는 단일 방법을 제공합니다. 범위 지정 필터는 할당과 함께 또는 할당을 대체하여 선택적으로 사용하여 특성 값에 따라 사용자를 필터링할 수 있습니다.
팁
프로비저닝 범위의 사용자 및 그룹이 많을수록 동기화 프로세스가 더 오래 걸릴 수 있습니다. 할당된 사용자 및 그룹을 동기화하도록 범위를 설정하고, 앱에 할당된 그룹 수를 제한하고, 그룹 크기를 제한하면 범위에 있는 모든 사용자를 동기화하는 데 걸리는 시간이 줄어듭니다.
HCM 애플리케이션에서 Microsoft Entra ID 및 Active Directory로의 인바운드 프로비전. Workday 같은 HCM 애플리케이션이 원본 시스템일 경우, 범위 지정 필터가 HCM 애플리케이션이 Active Directory 또는 Microsoft Entra ID에 프로비전할 사용자를 판단하는 기본 방법이 됩니다.
기본적으로 Microsoft Entra 프로비전 커넥터에는 특성 기반 범위 지정 필터가 구성되어 있지 않습니다.
Microsoft Entra ID가 원본 시스템일 때 사용자 및 그룹 할당이 프로비전 범위에 포함될 사용자를 결정하는 가장 일반적인 방법입니다. 범위 내 사용자 수를 줄이면 성능이 개선되며, 모든 사용자 및 그룹을 동기화하는 대신 할당된 사용자 및 그룹을 동기화하는 것이 좋습니다.
할당에 의한 범위 할당 외에도 범위 할당 필터를 선택적으로 사용할 수 있습니다. 범위 지정 필터를 사용하면 Microsoft Entra가 특정 값에 부합하는 특성을 갖는 사용자를 포함하거나 제외하여 서비스를 프로비전할 수 있습니다. 예를 들어, 영업팀에서 사용자를 프로비전할 때 "부서" 특성이 "영업"인 사용자만 프로비전 범위에 포함되도록 지정할 수 있습니다.
범위 지정 필터 구축
범위 지정 필터는 하나 이상의 절로 구성됩니다. 절은 각 사용자의 특성을 평가하여 어떤 사용자가 범위 지정 필터를 통과할 수 있는지를 파악합니다. 예를 들어, 사용자의 "상태" 특성이 뉴욕이어야 하는 절을 가졌기 때문에 "뉴욕"의 사용자만 애플리케이션에 프로비전됩니다.
단일 절은 단일 특성 값에 대한 단일 조건을 정의합니다. 단일 범위 지정 필터에서 여러 절이 생성될 경우 "AND" 논리를 사용하여 함께 평가됩니다. "AND" 논리는 사용자가 프로비저닝되기 위해 모든 절이 "true"로 평가되어야 함을 의미합니다.
마지막으로 단일 애플리케이션에 대해 여러 범위 지정 필터를 만들 수 있습니다. 범위 지정 필터가 여러 개 있으면 "OR" 논리를 사용하여 함께 평가됩니다. "OR" 논리는 구성된 범위 지정 필터의 모든 절이 "true"로 평가되면 사용자가 프로비저닝된다는 의미입니다.
Microsoft Entra 프로비전 서비스에서 처리한 각 사용자 또는 그룹은 항상 각 범위 지정 필터에 대해 개별적으로 평가됩니다.
예를 들어, 다음과 같은 범위 지정 필터를 고려해봅니다.
프로비전되는 범위 지정 필터에 따라 사용자는 다음 조건을 충족해야 합니다.
- 뉴욕에 있어야 합니다.
- 엔지니어링 부서에서 근무해야 합니다.
- 회사 직원 ID가 1,000,000에서 2,000,000개 사이여야 합니다.
- 직위가 null이나 공백이 아니어야 합니다.
범위 지정 필터 만들기
범위 지정 필터는 각 Microsoft Entra 사용자 프로비저닝 커넥터에 대해 특성 매핑의 일부로 구성됩니다. 다음 프로시저에서는 이미 지원되는 애플리케이션 중 하나에 대해 자동 프로비전을 설정했고 거기에 범위 지정 필터를 추가한다고 가정합니다.
범위 지정 필터 만들기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
자동 프로비전을 구성한 애플리케이션을 선택합니다(예: "ServiceNow").
원본 테넌트에서 ID>External Identities>테넌트 간 동기화>구성으로 이동합니다.
구성을 선택합니다.
- 프로비전 탭을 선택합니다.
- 매핑 섹션에서 범위 지정 필터를 구성하려는 매핑을 선택합니다.(예: "Microsoft Entra 사용자를 ServiceNow에 동기화합니다.")
- 매핑 섹션에서 범위 지정 필터를 구성하려는 매핑을 선택합니다(예: "Microsoft Entra 사용자 프로비전").
원본 개체 범위 메뉴를 선택합니다.
범위 지정 필터 추가를 선택합니다.
비교 대상이 될 특성 이름, 연산자, 특성 값을 선택하여 절을 정의합니다. 다음과 같은 연산자가 지원됩니다.
a. () 평가된 특성이 입력 문자열 값에 있는 경우 절은 “true”를 반환합니다.
b. , , 평가된 특성이 입력 문자열 값에 없는 경우 절은 “true”를 반환합니다.
c. ENDS_WITH. 평가된 특성이 입력 문자열 값으로 끝나는 경우 절은 “true”를 반환합니다.
d. EQUALS 평가된 특성이 입력 문자열 값과 정확히 일치하면(대소문자 구분) "true"를 반환합니다.
e. Greater_Than. 평가된 특성이 값보다 크면 절은 "true"를 반환합니다. 범위 지정 필터에 지정된 값은 정수여야 하며 사용자의 특성은 [0, 1, 2,...]의 정수여야 합니다.
f. Greater_Than_OR_EQUALS. 평가된 특성이 값보다 크거나 같으면 "true"를 반환합니다. 범위 지정 필터에 지정된 값은 정수여야 하며 사용자의 특성은 [0, 1, 2,...]의 정수여야 합니다.
g. Includes. 여기에 설명된 대로 평가된 특성이 문자열 값(대소문자 구분)을 포함하면 "true"를 반환합니다.
h. IS FALSE 평가된 특성이 부울 값 false를 포함하면 "true"를 반환합니다.
i. IS NOT NULL 평가된 특성이 비어 있지 않으면 "true"를 반환합니다.
j. IS NULL 평가된 특성이 비어 있으면 "true"를 반환합니다.
k. IS TRUE 평가된 특성이 부울 값 true를 포함하면 "true"를 반환합니다.
l. NOT EQUALS 평가된 특성이 입력 문자열 값과 정확히 일치하면(대소문자 구분) "true"를 반환합니다.
m. NOT REGEX MATCH 평가된 특성이 정규식 패턴과 일치하지 않으면 "true"를 반환합니다. 특성이 null이거나 비어 있으면 “false”를 반환합니다.
n. REGEX MATCH 평가된 특성이 정규식 패턴과 일치하면 "true"를 반환합니다. 예:
([1-9][0-9])
은(는) 10에서 99 사이의 숫자와 일치합니다(대/소문자 구분).
Important
- IsMemberOf 필터는 현재 지원되지 않습니다.
- 그룹의 members 특성은 현재 지원되지 않습니다.
- 다중 값 특성에는 필터링이 지원되지 않습니다.
- 범위 지정 필터는 값이 null이거나 비어 있으면 “false”를 반환합니다.
필요에 따라 7~8단계를 반복하여 다른 범위 지정 절을 추가합니다.
범위 지정 필터 제목에서 범위 지정 필터의 이름을 추가합니다.
확인을 선택합니다.
범위 지정 필터 화면에서 확인을 다시 선택합니다. 필요에 따라 6~11단계를 반복하여 다른 범위 지정 필터를 추가합니다.
특성 매핑 화면에서 저장을 선택합니다.
Important
새 범위 지정 필터를 저장하면 애플리케이션의 새로운 전체 동기화가 트리거되며 여기서 원본 시스템의 모든 사용자를 새 범위 지정 필터에 대해 다시 평가합니다. 애플리케이션의 사용자가 프로비전 범위에서 이전에 평가되었으나 범위를 벗어난 경우 해당 계정은 사용되지 않거나 애플리케이션에서 프로비전 해제됩니다. 이 기본 동작을 재정의하려면 범위를 범위는 벗어나는 사용자 계정 삭제 건너뛰기를 참조하세요.
공통 범위 지정 필터
대상 특성 | 연산자 | 값 | 설명 |
---|---|---|---|
userPrincipalName | REGEX MATCH | .*\@domain.com |
도메인이 @domain.com 인 userPrincipal 을(를) 갖고 있는 모든 사용자는 프로비저닝 범위 내에 있습니다. |
userPrincipalName | NOT REGEX MATCH | .*\@domain.com |
도메인이 @domain.com 인 userPrincipal 을(를) 갖고 있는 모든 사용자는 프로비저닝 범위 밖에 있습니다. |
department | EQUALS | sales |
판매 부서의 모든 사용자가 프로비저닝 범위에 포함됩니다. |
workerID | REGEX MATCH | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
workerID 이(가) 1000000부터 2000000까지인 모든 직원이 프로비저닝 범위에 포함됩니다. |