SCIM과 Microsoft Graph를 함께 사용하여 사용자를 프로비전하고 필요한 데이터를 사용하여 애플리케이션을 보강합니다.
대상 그룹: 이 문서는 Microsoft Entra ID와 통합할 애플리케이션을 빌드하는 개발자를 대상으로 합니다. Zoom, ServiceNow 및 DropBox와 같은 Microsoft Entra ID와 이미 통합된 애플리케이션을 사용하려는 경우 이 문서를 건너뛰고 애플리케이션별 자습서를 검토하거나 프로비저닝 서비스의 작동 방식을 검토할 수 있습니다.
일반적인 시나리오
Microsoft Entra ID는 프로비전을 위한 기본 제공 가능한 서비스와 애플리케이션 빌드를 위한 확장 가능한 플랫폼을 제공합니다. 의사 결정 트리는 개발자가 SCIM 및 Microsoft Graph를 사용하여 프로비저닝을 자동화하는 방법을 간략하게 설명합니다.
- 내 애플리케이션에서 자동으로 사용자 만들기
- 더 이상 액세스할 수 없을 때 애플리케이션에서 사용자를 자동으로 제거
- 프로비저닝을 위해 여러 ID 공급자와 애플리케이션 통합
- Teams, Outlook 및 Office와 같은 Microsoft 서비스의 데이터를 사용하여 애플리케이션을 보강합니다.
- Microsoft Entra ID 및 Active Directory에서 사용자 및 그룹을 자동으로 만들기, 업데이트 및 삭제합니다.
시나리오 1: 내 앱에서 자동으로 사용자 만들기
현재 IT 관리자는 수동으로 사용자 계정을 만들거나 CSV 파일을 내 애플리케이션에 주기적으로 업로드하여 사용자를 프로비전합니다. 이 프로세스는 고객에게 시간이 많이 소요되고 내 애플리케이션 채택 속도가 느려집니다. 사용자를 만들기 위한 이름, 이메일, userPrincipalName 등의 기본 사용자 정보만 있으면 됩니다.
권장 사항:
- 고객이 다양한 IdP를 사용하고 서로 통합될 동기화 엔진을 유지 관리하지 않으려는 경우 SCIM 준수 /사용자 엔드포인트를 지원합니다. 고객은 이 엔드포인트를 쉽게 사용하여 Microsoft Entra 프로비전 서비스와 통합하고 액세스가 필요할 때 자동으로 사용자 계정을 만들 수 있습니다. 엔드포인트를 한 번에 빌드할 수 있으며 모든 IdP와 호환됩니다. SCIM을 사용하여 사용자를 만드는 방법에 대한 아래의 예제 요청을 확인하세요.
- Microsoft Entra ID의 사용자 개체에서 찾은 사용자 데이터와 Microsoft에서 다른 데이터가 필요한 경우 사용자 프로비저닝을 위한 SCIM 엔드포인트를 빌드하고 Microsoft Graph로 호출하여 나머지 데이터를 가져오는 것이 좋습니다.
POST /Users
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
"userName": "BillG",
"active": true,
"meta": {
"resourceType": "User"
},
"name": {
"formatted": "Bill Gates",
"familyName": "Gates",
"givenName": "Bill"
},
"roles": []
}
시나리오 2: 내 앱에서 자동으로 사용자 제거
내 애플리케이션을 사용하는 고객은 보안에 중점을 두며 직원들이 더 이상 필요하지 않은 경우 계정을 제거하기 위한 거버넌스 요구 사항이 있습니다. 내 애플리케이션에서 프로비저닝 해제를 자동화하려면 어떻게 해야 하나요?
권장 사항: SCIM 준수/사용자 엔드포인트를 지원합니다. Microsoft Entra 프로비전 서비스는 사용자가 더 이상 액세스할 수 없을 때 사용하지 않도록 설정하고 삭제하라는 요청을 보냅니다. 사용자 비활성화 및 삭제를 모두 지원하는 것이 좋습니다. 비활성화 및 삭제 요청은 다음 예제와 같이 표시됩니다.
사용자 사용 안 함
PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
"Operations": [
{
"op": "Replace",
"path": "active",
"value": false
}
],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
]
}
사용자 삭제
DELETE /Users/5171a35d82074e068ce2 HTTP/1.1
시나리오 3: 내 앱에서 그룹 멤버 자격 관리 자동화
내 애플리케이션은 다양한 리소스에 액세스하기 위해 그룹을 사용하며 고객은 Microsoft Entra ID에 있는 그룹을 재사용하기를 원합니다. Microsoft Entra ID에서 그룹을 가져오고 멤버 자격이 변경될 때 그룹을 업데이트하려면 어떻게 해야 하나요?
권장 사항: SCIM 준수/그룹 엔드포인트를 지원합니다. Microsoft Entra 프로비전 서비스는 애플리케이션에서 그룹 만들기 및 멤버 자격 업데이트 관리를 담당합니다.
시나리오 4: Teams, Outlook 및 OneDrive와 같은 Microsoft 서비스의 데이터를 사용하여 내 앱을 보강합니다.
내 애플리케이션은 Microsoft Teams에 기본 제공되며 메시지 데이터에 의존합니다. 또한 OneDrive의 사용자에 대한 파일을 저장합니다. 이러한 서비스 및 Microsoft의 데이터를 사용하여 내 애플리케이션을 보강하려면 어떻게 해야 하나요?
권장 사항: Microsoft 데이터에 액세스할 수 있는 진입점은 Microsoft Graph입니다. 각 워크로드는 필요한 데이터를 사용하여 API를 노출합니다. 위의 시나리오에 대해 SCIM 프로비저닝과 함께 Microsoft Graph를 사용할 수 있습니다. SCIM을 사용하여 그래프를 호출하는 동안 기본 사용자 특성을 애플리케이션에 프로비전하여 필요한 다른 데이터를 가져올 수 있습니다.
시나리오 5: Teams, Outlook, Microsoft Entra ID 등 Microsoft 서비스의 변경 내용 추적
Teams와 Outlook 메시지에 대한 변경 내용을 추적하고 실시간으로 응답할 수 있어야 합니다. 이러한 변경 내용을 내 애플리케이션에 푸시하려면 어떻게 해야 하나요?
권장 사항: Microsoft Graph는 다양한 리소스에 대한 변경 알림 및 변경 내용 추적 기능을 제공합니다. 변경 알림에 대한 다음 제한 사항에 유의하세요.
- 이벤트 수신기가 이벤트를 승인하지만 어떤 이유로든 동작하지 않으면 이벤트가 손실될 수 있습니다.
- 변경 내용이 수신되는 순서는 시간순이 아닐 수도 있습니다.
- 변경 알림은 항상 리소스 데이터를 포함하지 않습니다. 위의 이유로 개발자는 동기화 시나리오에 대한 변경 내용 추적과 함께 변경 알림을 사용하는 경우가 많습니다.
시나리오 6: Microsoft Entra ID에서 사용자 및 그룹 프로비전
내 애플리케이션은 Microsoft Entra ID에서 고객이 필요로 하는 사용자에 대한 정보를 만듭니다. 직원 고용, 사용자를 위한 전화 번호를 만드는 커뮤니케이션 앱 또는 Microsoft Entra ID에서 중요한 데이터를 생성하는 다른 앱을 관리하는 HR 애플리케이션일 수 있습니다. Microsoft Entra ID의 사용자 레코드를 해당 데이터로 어떻게 채우나요?
권장 사항 Microsoft 그래프는 사용자를 Microsoft Entra ID에 프로비전하기 위해 현재 통합할 수 있는 /Users 및 /Groups 엔드포인트를 노출합니다. Microsoft Entra ID는 해당 사용자를 Active Directory에 다시 쓰는 것을 지원하지 않습니다.
참고 항목
Microsoft에는 Workday 및 SuccessFactors와 같은 HR 애플리케이션에서 데이터를 가져오는 프로비저닝 서비스가 있습니다. 이러한 통합은 Microsoft에서 빌드하고 관리합니다. 새 HR 애플리케이션을 서비스에 온보딩하기 위해 UserVoice에서 요청할 수 있습니다.
관련 문서
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기