Share via

API 기반 인바운드 프로비전 개념

  • 아티클

이 문서에서는 Microsoft Entra API 기반 인바운드 사용자 프로비전에 대한 개념적 개요를 제공합니다.

소개

오늘날 기업은 다양한 신뢰할 수 있는 레코드 시스템을 갖추고 있습니다. 엔드투엔드 ID 수명 주기를 설정하고, 보안 태세를 강화하고, 규정을 준수하려면 Microsoft Entra ID의 ID 데이터가 이러한 기록 시스템에서 관리되는 인력 데이터와 동기화된 상태로 유지되어야 합니다. 레코드 시스템은 온-프레미스 또는 클라우드에서 호스트되는 데이터베이스의 HR 앱, 급여 앱, 스프레드시트 또는 SQL 테이블일 수 있습니다.

API 기반 인바운드 프로비전을 통해 Microsoft Entra 프로비전 서비스는 이제 모든 기록 시스템과의 통합을 지원합니다. 고객과 파트너는 원하는 모든 자동화 도구를 사용하여 기록 시스템에서 인력 데이터를 검색하고 이를 Microsoft Entra ID로 수집할 수 있습니다. IT 관리자는 특성 매핑을 통해 데이터가 처리되고 변환되는 방식을 완전히 제어할 수 있습니다. Microsoft Entra ID에서 직원 데이터를 사용할 수 있게 되면 IT 관리자는 수명 주기 워크플로를 사용하여 적절한 joiner-mover-leaver 비즈니스 프로세스를 구성할 수 있습니다.

지원되는 시나리오

API 기반 인바운드 프로비전을 사용하여 여러 인바운드 사용자 프로비전 시나리오를 사용하도록 설정합니다. 이 다이어그램은 가장 일반적인 시나리오를 보여 줍니다.

API 워크플로 시나리오를 보여 주는 다이어그램

시나리오 1: IT 팀이 자동화 도구를 사용하여 HR 데이터 추출을 가져올 수 있도록 지원

플랫 파일, CSV 파일, SQL 스테이징 테이블은 일반적으로 엔터프라이즈 통합 시나리오에서 사용됩니다. 직원, 계약자 및 공급업체 정보는 정기적으로 이러한 형식 중 하나로 내보내지고 자동화 도구를 사용하여 이 데이터를 엔터프라이즈 ID 디렉터리와 동기화합니다. API 기반 인바운드 프로비전을 통해 IT 팀은 원하는 자동화 도구(예: PowerShell 스크립트 또는 Azure Logic Apps)를 사용하여 이러한 통합을 현대화하고 단순화할 수 있습니다.

시나리오 2: ISV가 Microsoft Entra ID와 직접 통합을 빌드할 수 있도록 지원

API 기반 인바운드 프로비전을 통해 HR ISV는 HR 시스템의 변경 내용이 자동으로 Microsoft Entra ID 및 연결된 온-프레미스 Active Directory 도메인으로 전달되도록 네이티브 동기화 환경을 제공할 수 있습니다. 예를 들어, HR 앱 또는 학생 정보 시스템 앱은 트랜잭션이 완료되거나 일과 종료 시 대량 업데이트되는 즉시 Microsoft Entra ID로 데이터를 보낼 수 있습니다.

시나리오 3: 시스템 통합자가 레코드 시스템에 더 많은 커넥터를 빌드할 수 있도록 지원

파트너는 사용자 지정 HR 커넥터를 빌드하여 기록 시스템에서 Microsoft Entra ID까지의 데이터 흐름과 관련된 다양한 통합 요구 사항을 충족할 수 있습니다.

위의 모든 시나리오에서는 Microsoft Entra 프로비저닝 서비스가 ID 프로필 비교를 수행하고, 데이터 동기화를 IT 관리자가 구성한 범위 지정 논리로 제한하고, Microsoft Entra 관리 센터에서 관리되는 규칙 기반 특성 흐름 및 변환을 실행하는 책임을 맡기 때문에 통합이 간소화됩니다.

엔드투엔드 흐름

인바운드 프로비저닝의 엔드 투 엔드 워크플로 다이어그램.

워크플로의 단계

  1. IT 관리자는 Microsoft Entra Enterprise 앱 갤러리에서 API 기반 인바운드 사용자 프로비전 앱을 구성합니다.
  2. IT 관리자는 액세스 권한을 부여하고 API 개발자/파트너/시스템 통합자에게 엔드포인트 액세스 세부 정보를 제공합니다.
  3. API 개발자/파트너/시스템 통합자는 신뢰할 수 있는 ID 데이터를 Microsoft Entra ID로 보내는 API 클라이언트를 빌드합니다.
  4. API 클라이언트는 신뢰할 수 있는 원본에서 ID 데이터를 읽습니다.
  5. API 클라이언트는 프로비전 앱과 연결된 프로비전 /bulkUpload API 엔드포인트에 POST 요청을 보냅니다.

    참고 항목

    API 클라이언트는 호출할 작업(만들기/업데이트/사용/사용하지 않음)을 결정하기 위해 원본 특성과 대상 특성 값을 비교할 필요가 없습니다. 이는 프로비전 서비스에 의해 자동으로 처리됩니다. API 클라이언트는 SCIM 스키마 구성을 사용하여 대량 요청으로 패키징하여 원본 시스템에서 읽은 ID 데이터를 업로드합니다.

  6. 성공하면 Accepted 202 Status가 반환됩니다.
  7. Microsoft Entra 프로비저닝 서비스는 받은 데이터를 처리하고, 특성 매핑 규칙을 적용하고, 사용자 프로비저닝을 완료합니다.
  8. 구성된 프로비저닝 앱에 따라 사용자는 온-프레미스 Active Directory(하이브리드 사용자용) 또는 Microsoft Entra ID(클라우드 전용 사용자용)로 프로비전됩니다.
  9. 그런 다음 API 클라이언트는 전송된 각 레코드의 상태에 대해 프로비전 로그 API 엔드포인트를 쿼리합니다.
  10. 레코드 처리가 실패하면 API 클라이언트는 오류 세부 정보를 확인하고 다음 대량 요청(5단계)에 실패한 작업에 해당하는 레코드를 포함할 수 있습니다.
  11. 언제든지 IT 관리자는 프로비전 작업 상태를 확인하고 프로비전 로그에서 이벤트를 볼 수 있습니다.

API 기반 인바운드 사용자 프로비전의 주요 기능

  • 유효한 OAuth 토큰을 사용하여 액세스되는 비동기 Microsoft Graph 프로비전 /bulkUpload API 엔드포인트를 노출하는 프로비전 앱으로 사용할 수 있습니다.
  • 테넌트 관리자는 해당 프로비전 앱과 상호 작용하는 API 클라이언트에 SynchronizationData-User.Upload Graph 권한을 부여해야 합니다.
  • Graph API 엔드포인트는 SCIM 스키마 구성을 사용하여 유효한 대량 요청 페이로드를 허용합니다.
  • SCIM 스키마 확장을 사용하면 대량 요청 페이로드의 모든 특성을 보낼 수 있습니다.
  • 인바운드 프로비전 API의 속도 제한은 초당 40개의 대량 업로드 요청입니다. 각 대량 요청에는 최대 50개의 사용자 레코드가 포함될 수 있으므로 초당 2,000개의 레코드 업로드 속도를 지원합니다.
  • 각 API 엔드포인트는 Microsoft Entra ID의 특정 프로비전 앱과 연결됩니다. 각 데이터 소스에 대한 프로비전 앱을 만들어 여러 데이터 원본을 통합할 수 있습니다.
  • 들어오는 대량 요청 페이로드는 거의 실시간으로 처리됩니다.
  • 관리자는 프로비전 로그를 확인하여 프로비전 진행 상황을 확인할 수 있습니다.
  • API 클라이언트는 프로비전 로그 API를 쿼리하여 진행 상황을 추적할 수 있습니다.

라이선스 요구 사항

이 기능은 Microsoft Entra ID P1, P2 및 Microsoft Entra ID 거버넌스 라이선스에서 사용할 수 있습니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.

API 사용 지침

API 엔드포인트는 /bulkUpload Entra ID에서 사용자를 관리할 수 있는 방법의 수를 확장합니다. API 엔드포인트가 통합 시나리오에 /bulkUpload 적합한지 확인하려면 다른 API 기반 통합 옵션과 비교하는 이 표를 참조하세요.

사용 사례 시나리오에서 API 매핑으로 사용자 만들기 API HR 인바운드 대량 API 사용자 초대 API 직접 할당 API
ID 만들기 시나리오는... HR 원본의 작업자와 연결되지 않은 사용자에 대한 Entra ID의 임시 사용자 만들기 신뢰할 수 있는 HR 원본에서 직원 레코드를 소싱하고 해당 직원에게 Entra ID 또는 온-프레미스 Active Directory "구성원" 계정을 포함하도록 합니다. 게스트에 고유한 액세스 권한이 있는 공유 목적으로 Entra ID에서 임시 게스트 사용자 만들기 기존 사용자에 대한 액세스 할당 및 Entra ID에서 게스트 만들기(미리 보기) - 새 게스트 표준화된 액세스 권한을 부여합니다.
... API 사용... 사용자 만들기 bulkUpload를 수행합니다. 초대 만들기 accessPackageAssignmentRequest 만들기
결과 사용자가 먼저 만들어집니다... Entra ID 온-프레미스 Active Directory 또는 Entra ID Entra ID Entra ID
결과 사용자가 다음을 인증합니다. 입력한 암호가 있는 엔트라 ID Entra 수명 주기 워크플로에서 제공하는 임시 액세스 패스가 있는 Entra ID의 온-프레미스 Active Directory 홈 테넌트 또는 기타 ID 공급자 홈 테넌트 또는 기타 ID 공급자
사용자에 대한 후속 업데이트는 다음을 통해 수행할 수 있습니다. Graph API 또는 Entra 포털 Graph API 또는 HR 인바운드 대량 API 또는 Entra 포털 Graph API 또는 Entra 포털 Graph API 또는 Entra 포털
고용이 시작될 때 사용자의 수명 주기는 다음을 통해 결정됩니다. 수동 프로세스 특성에 따라 employeeHireDate 트리거되는 Entra 온보딩 수명 주기 워크플로 자격 관리 권한 관리 액세스 패키지를 사용한 자동 할당
고용이 종료될 때 사용자의 수명 주기는 다음을 통해 결정됩니다. 수동 프로세스 특성에 employeeLeaveDateTime 따라 트리거되는 엔트라 오프보딩 수명 주기 워크플로 액세스 검토 사용자가 마지막 액세스 패키지 할당을 잃으면 권한 관리가 제거됩니다.
# 학습 목표 지침
1. 인바운드 프로비전 API 사양에 대해 자세히 알아보려고 합니다. /bulkUpload API 사양 문서를 참조하세요.
2. API 기반 프로비전 개념, 시나리오, 제한 사항에 대해 더 자세히 알아보고 싶습니다. API 기반 인바운드 프로비전에 대한 질문과 대답을 참조하세요.
3. 관리 사용자로서 인바운드 프로비전 API를 빠르게 테스트하고 싶습니다. * API 기반 인바운드 프로비전 앱 만들기
* Graph Explorer를 사용하여 API 테스트
4. 서비스 계정 또는 관리 ID를 사용하여 인바운드 프로비전 API를 빠르게 테스트하려고 합니다. * API 기반 인바운드 프로비전 앱 만들기
* API 권한 부여
* cURL 또는 Postman을 사용하여 API 테스트
5. 더 많은 사용자 지정 특성을 처리하기 위해 API 기반 프로비전 앱을 확장하려고 합니다. 사용자 지정 특성을 동기화하도록 API 기반 프로비전 확장 자습서를 참조하세요.
6. 레코드 시스템에서 인바운드 프로비전 API 엔드포인트로 데이터 업로드를 자동화하려고 합니다. 자습서 참조
* PowerShell로 빠른 시작
* Azure Logic Apps로 빠른 시작
7. 인바운드 프로비전 API 이슈를 해결하려고 합니다. 문제 해결 가이드참조하세요.

외부 학습 리소스

파트너와 Microsoft MVP가 만든 다음 콘텐츠는 다양한 통합 시나리오에 대한 API 기반 프로비저닝을 배포하고 구성하는 방법에 대한 추가 지침을 제공합니다.

다음 단계