Microsoft Entra ID의 주문형 프로비전
주문형 프로비전을 사용하여 사용자 또는 그룹을 몇 초 내에 프로비전합니다. 이 기능을 사용하는 주요 목적은 다음과 같습니다.
- 구성 문제를 신속하게 해결합니다.
- 정의한 식의 유효성을 검사합니다.
- 범위 지정 필터를 테스트합니다.
주문형 프로비저닝 사용 방법
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>애플리케이션>엔터프라이즈 애플리케이션>으로 이동하여 애플리케이션을 선택합니다.
- 프로비저닝을 선택합니다.
- 원본 테넌트에서 ID>External Identities>테넌트 간 동기화>구성으로 이동합니다.
- 애플리케이션을 선택한 후 프로비전 구성 페이지로 이동합니다.
관리 자격 증명을 제공하여 프로비저닝을 구성합니다.
주문형 프로비전을 선택합니다.
이름, 성, 표시 이름, 사용자 주체 이름 또는 이메일 주소로 사용자를 검색합니다. 또는 그룹을 검색하고 최대 5명의 사용자를 선택할 수 있습니다.
참고 항목
클라우드 HR 프로비저닝 앱(Workday/SuccessFactors에서 Active Directory/Microsoft Entra ID로)의 경우 입력 값이 다릅니다. Workday 시나리오의 경우 Workday에서 사용자의 "WorkerID" 또는 "WID"를 제공하세요. SuccessFactors 시나리오의 경우 SuccessFactors에 있는 사용자의 "personIdExternal"을 제공하세요.
페이지 아래쪽에서 프로비전을 선택합니다.
프로비저닝 단계 이해
주문형 프로비저닝 프로세스는 사용자를 프로비전할 때 프로비저닝 서비스에서 수행되는 단계를 보여주려고 시도합니다. 일반적으로 사용자 프로비전을 위해서는 5개 단계가 있습니다. 다음 섹션에서 설명하는 이러한 단계 중 일부는 주문형 프로비전 환경 중에 표시됩니다.
1단계: 연결 테스트
프로비전 서비스는 “테스트 사용자”에 대해 요청을 수행하여 대상 시스템에 대해 액세스 권한을 부여하려고 시도합니다. 프로비저닝 서비스는 해당 서비스에서 프로비전 단계를 계속하도록 권한이 부여되었음을 나타내는 응답이 필요합니다. 이 단계는 실패한 경우에만 표시됩니다. 이 단계가 성공하면 주문형 프로비저닝 경험 중에 표시되지 않습니다.
문제 해결 팁
- 비밀 토큰 및 테넌트 URL과 같은 유효한 자격 증명을 대상 시스템에 제공했는지 확인합니다. 필요한 자격 증명은 애플리케이션마다 다릅니다. 자세한 구성 자습서는 자습서 목록을 참조하세요.
- 대상 시스템에서 특성 매핑 창에 정의된 일치 특성에 따른 필터링이 지원되는지 확인합니다. 지원되는 필터를 확인하려면 애플리케이션 개발자가 제공한 API 설명서를 확인해야 할 수 있습니다.
- SCIM(도메인 간 ID 관리) 애플리케이션용 시스템의 경우 cURL과 같은 REST API 도구를 사용합니다. 이러한 도구는 Microsoft Entra 프로비전 서비스가 예상하는 방식으로 애플리케이션이 권한 부여 요청에 응답하는지 확인하는 데 도움이 됩니다. 예제 요청을 확인하세요.
2단계: 사용자 가져오기
그런 후 프로비저닝 서비스가 소스 시스템에서 사용자를 검색합니다. 서비스가 검색하는 사용자 특성은 나중에 다음 목적으로 사용됩니다.
- 사용자가 프로비저닝 범위에 있는지 평가합니다.
- 기존 사용자의 대상 시스템을 확인합니다.
- 대상 시스템으로 내보낼 사용자 특성을 결정합니다.
자세히 보기
세부 정보 보기 섹션에는 원본 시스템(예: Microsoft Entra ID)에서 가져온 사용자의 속성이 표시됩니다.
문제 해결 팁
소스 시스템의 사용자 객체에 일치하는 속성이 누락된 경우 사용자 가져오기가 실패할 수 있습니다. 이 오류를 해결하기 위해서는 다음 방법 중 하나를 시도하세요.
- 일치하는 특성의 값으로 사용자 개체를 업데이트합니다.
- 프로비저닝 구성에서 일치하는 특성을 변경합니다.
필요한 특성이 가져온 목록에서 누락된 경우 소스 시스템의 사용자 개체에 대한 값이 특성에 포함되었는지 확인합니다. 프로비저닝 서비스는 현재 null 특성의 프로비전을 지원하지 않습니다.
프로비저닝 구성의 특성 매핑 페이지에 필요한 특성이 포함되었는지 확인합니다.
3단계: 사용자가 범위 내에 있는지 확인
그런 후 프로비저닝 서비스는 사용자가 프로비저닝 범위 내에 있는지 확인합니다. 이 서비스는 다음과 같은 특성을 고려합니다.
- 사용자가 애플리케이션에 할당되었는지 여부.
- 범위가 할당된 항목 동기화 또는 모두 동기화로 설정되었는지 여부.
- 프로비저닝 구성에 정의된 범위 필터.
자세히 보기
세부 정보 보기 섹션에는 평가된 범위 조건이 표시됩니다. 다음 속성 중 하나 이상이 표시될 수 있습니다.
- 원본 시스템에서 활성은 사용자의 Microsoft Entra ID에서
IsActive
속성이 true로 설정되어 있음을 나타냅니다. - 애플리케이션에 할당됨은 사용자가 Microsoft Entra ID의 애플리케이션에 할당되었음을 나타냅니다.
- 모두 동기화 범위는 범위 설정에 따라 테넌트에 있는 모든 사용자 및 그룹이 허용됨을 나타냅니다.
- 사용자에게 필요한 역할 포함은 애플리케이션에 프로비전하는 데 필요한 역할이 사용자에게 있음을 나타냅니다.
- 범위 필터는 애플리케이션에 범위 필터를 정의한 경우에도 표시됩니다. 필터는 {scoping filter title} {scoping filter attribute} {scoping filter operator} {scoping filter value} 형식으로 표시됩니다.
문제 해결 팁
- 유효한 범위 역할을 정의했는지 확인합니다. 예를 들어 Greater_Than 연산자에 정수가 아닌 값을 사용하지 마세요.
- 사용자에게 필요한 역할이 없으면 기본 액세스 역할에 할당된 사용자 프로비전 팁을 검토하세요.
4단계: 원본 및 대상 간 사용자 일치
이 단계에서는 서비스가 가져오기 단계에서 검색된 사용자를 대상 시스템의 사용자와 일치시키려고 시도합니다.
자세히 보기
세부 정보 보기 페이지에는 대상 시스템에서 일치된 사용자의 속성이 표시됩니다. 컨텍스트 창은 다음과 같이 변경됩니다.
- 대상 시스템에서 일치하는 사용자가 없으면 속성이 표시되지 않습니다.
- 한 사용자가 대상 시스템에서 일치하는 경우 해당 사용자의 속성이 표시됩니다.
- 여러 사용자가 일치하는 경우 두 사용자의 속성이 표시됩니다.
- 여러 일치 특성이 특성 매핑에 포함된 경우 각 일치 특성을 순차적으로 평가하고, 해당 특성의 일치 사용자가 표시됩니다.
문제 해결 팁
- 프로비저닝 서비스가 대상 시스템의 사용자와 고유하게 일치하는 사용자를 원본 시스템에서 찾을 수 없습니다. 이 문제를 해결하려면 일치하는 특성이 고유한지 확인합니다.
- 대상 시스템에서 일치 특성으로 정의된 특성에 대한 필터가 지원되는지 확인합니다.
5단계: 작업 수행
마지막으로 프로비저닝 서비스는 사용자 만들기, 업데이트, 삭제 또는 건너뛰기와 같은 작업을 수행합니다.
다음은 사용자에 대한 주문형 프로비저닝이 성공한 후 표시될 수 있는 결과에 대한 예시입니다.
자세히 보기
세부 정보 보기 섹션에는 대상 시스템에서 수정된 특성이 표시됩니다. 이 표시는 프로비저닝 서비스 작업의 최종 결과와 내보낸 특성을 보여줍니다. 이 단계가 실패하면 표시된 특성에 프로비저닝 서비스가 수정하려고 시도한 특성이 나타납니다.
문제 해결 팁
- 변경 내용 내보내기 오류는 매우 다양할 수 있습니다. 일반적인 오류는 프로비저닝 로그 설명서를 참조하세요.
- 주문형 프로비전은 그룹 또는 사용자가 애플리케이션에 할당되지 않았기 때문에 프로비전할 수 없다고 말합니다. 개체가 애플리케이션에 할당되는 시점과 주문형 프로비전에서 해당 할당이 적용되는 시점 사이에는 최대 몇 분 정도의 복제 지연이 발생합니다. 몇 분 정도 기다렸다가 다시 시도해야 할 수 있습니다.
자주 묻는 질문
주문형 프로비전을 사용하려면 프로비전을 해제해야 하나요? 장기 실행 전달자 토큰 또는 권한 부여를 위해 사용자 이름과 암호를 사용하는 애플리케이션의 경우 추가 단계가 필요하지 않습니다. 현재까지 권한 부여를 위해 OAuth를 사용하는 애플리케이션의 경우 주문형 프로비저닝을 사용하기 전 프로비저닝 작업을 중지해야 합니다. G Suite, Box, Workplace by Facebook 및 Slack과 같은 애플리케이션이 이 범주에 포함됩니다. 프로비저닝 작업을 중지하지 않고도 모든 애플리케이션에 대해 주문형 프로비저닝을 지원하기 위한 작업이 진행되고 있습니다.
주문형 프로비전은 얼마나 오래 걸리나요? 주문형 프로비저닝은 일반적으로 30초 이내로 수행됩니다.
알려진 제한 사항
현재까지 주문형 프로비저닝에 대해 몇 가지 알려진 제한 사항이 있습니다. 다음에 수행할 기능 개선을 선택하는 데 도움이 될 수 있도록 귀하의 제안 및 피드백을 게시해주시기 바랍니다.
참고 항목
주문형 프로비저닝 기능과 관련된 제한 사항은 다음과 같습니다. 애플리케이션에서 프로비저닝 그룹, 삭제 또는 기타 기능이 지원되는지 여부를 알아보려면 해당 애플리케이션의 자습서를 확인하세요.
- 그룹의 주문형 프로비전은 한 번에 최대 5명의 멤버 업데이트를 지원합니다. 테넌트 간 동기화, Workday 등을 위한 커넥터입니다. 그룹 프로비전을 지원하지 않으므로 결과적으로 그룹의 주문형 프로비전을 지원하지 않습니다.
- 주문형 프로비전 요청 API는 한 번에 최대 5명의 멤버가 포함된 단일 그룹만 허용할 수 있습니다.
- 그룹의 주문형 프로비전은 테넌트 간 동기화에 지원되지 않습니다.
- 주문형 프로비전은 Microsoft Entra 관리 센터를 통해 한 번에 한 명의 사용자를 프로비전할 수 있습니다.
- 주문형 프로비전을 사용하여 대상 테넌트에서 이전에 일시 삭제된 사용자를 복원하는 것은 지원되지 않습니다. 주문형 프로비전을 사용하여 사용자를 일시 삭제한 다음, 사용자를 복원하려고 하면 사용자가 중복될 수 있습니다.
- 역할의 주문형 프로비전은 지원되지 않습니다.
- 주문형 프로비저닝은 애플리케이션에서 할당 해제된 사용자의 해제를 지원합니다. 단, Microsoft Entra ID에서 사용하지 않도록 설정되었거나 삭제된 사용자의 사용 안 함 또는 삭제는 지원하지 않습니다. 이러한 사용자는 사용자를 검색할 때 표시되지 않습니다.
- 주문형 프로비전은 애플리케이션에 직접 할당되지 않은 중첩된 그룹을 지원하지 않습니다.