Microsoft Entra Application Provisioning을 위한 확장 특성 동기화
Microsoft Entra ID에는 Microsoft Entra ID에서 SaaS 앱 또는 온-프레미스 애플리케이션으로 사용자 계정을 프로비전할 때 사용자 프로필을 만드는 데 필요한 모든 데이터(특성)가 포함되어야 합니다. 사용자 프로비저닝에 대한 특성 매핑을 사용자 지정할 때 매핑하려는 특성이 Microsoft Entra ID의 원본 특성 목록에 나타나지 않을 수 있습니다. 이 문서에서는 누락된 특성을 추가하는 방법을 보여 줍니다.
확장을 추가해야 하는 위치 결정
애플리케이션에 필요한 누락된 특성을 추가하는 작업은 사용자 계정이 있는 위치와 Microsoft Entra ID로 가져오는 방법에 따라 온-프레미스 Active Directory 또는 Microsoft Entra ID에서 시작됩니다.
먼저 애플리케이션에 액세스해야 하는 Microsoft Entra 테넌트에서 어떤 사용자가 애플리케이션에 프로비전되는 범위에 있는지 확인합니다.
다음으로, 해당 사용자를 Microsoft Entra ID로 가져오는 방법에 대한 특성의 원본 및 토폴로지를 확인합니다.
| 특성 원본 | 토폴로지 | 필요한 단계 |
|---|---|---|
| HR 시스템 | HR 시스템의 작업자는 Microsoft Entra ID에 사용자로 프로비전됩니다. | Microsoft Entra ID에서 확장 특성을 만듭니다. HR 시스템에서 Microsoft Entra ID 사용자의 확장 특성을 채우도록 HR 인바운드 매핑을 업데이트합니다. |
| HR 시스템 | HR 시스템의 작업자는 Windows Server AD에 사용자로 프로비전됩니다. Microsoft Entra 커넥트 클라우드 동기화는 이를 Microsoft Entra ID로 동기화합니다. |
필요한 경우 AD 스키마를 확장합니다. 클라우드 동기화를 사용하여 Microsoft Entra ID에서 확장 특성을 만듭니다. HR 시스템에서 AD 사용자의 확장 특성을 채우도록 HR 인바운드 매핑을 업데이트합니다. |
| HR 시스템 | HR 시스템의 작업자는 Windows Server AD에 사용자로 프로비전됩니다. Microsoft Entra 커넥트 Microsoft Entra ID로 동기화합니다. |
필요한 경우 AD 스키마를 확장합니다. Microsoft Entra 커넥트 사용하여 Microsoft Entra ID에서 확장 특성을 만듭니다. HR 시스템에서 AD 사용자의 확장 특성을 채우도록 HR 인바운드 매핑을 업데이트합니다. |
조직의 사용자가 이미 온-프레미스 Active Directory 있거나 Active Directory에서 만드는 경우 Active Directory에서 Microsoft Entra ID로 사용자를 동기화해야 합니다. Microsoft Entra 커넥트 또는 Microsoft Entra 커넥트 클라우드 동기화를 사용하여 사용자 및 특성을 동기화할 수 있습니다.
- 온-프레미스 Active Directory do기본 관리자에게 필요한 특성이 AD DS 스키마
User개체 클래스의 일부인지 확인하고, 그렇지 않은 경우 해당 사용자에게 계정이 있는 do기본에서 Active Directory 도메인 Services 스키마를 확장합니다. - Active Directory의 확장 특성을 사용하여 사용자를 Microsoft Entra ID로 동기화하도록 Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화를 구성합니다. 이러한 두 솔루션은 모두 특정 특성을 Microsoft Entra ID에 자동으로 동기화하지만 일부 특성은 동기화하지 않습니다. 또한 기본값으로 동기화되는 일부 특성(예:
sAMAccountName)은 Graph API를 사용하여 노출되지 않을 수 있습니다. 이러한 경우 Microsoft Entra 커넥트 디렉터리 확장 기능을 사용하여 특성을 Microsoft Entra ID에 동기화하거나 Microsoft Entra 커넥트 클라우드 동기화를 사용할 수 있습니다. 이렇게 하면 특성이 Graph API 및 Microsoft Entra 프로비저닝 서비스에 표시됩니다. - 온-프레미스 Active Directory 사용자에게 필요한 특성이 아직 없는 경우 Active Directory에서 사용자를 업데이트해야 합니다. 이 업데이트는 Workday, SAP SuccessFactors의 속성을 읽거나 인바운드 HR API를 사용하여 다른 HR 시스템을 사용하는 경우 수행할 수 있습니다.
- Microsoft Entra 커넥트 또는 Microsoft Entra 커넥트 클라우드 동기화가 Active Directory 스키마 및 Active Directory 사용자에서 수행한 업데이트를 Microsoft Entra ID로 동기화할 때까지 기다립니다.
또는 온-프레미스 Active Directory 애플리케이션에 액세스해야 하는 사용자가 없는 경우 애플리케이션에 대한 프로비저닝을 구성하기 전에 Microsoft Entra ID에서 PowerShell 또는 Microsoft Graph를 사용하여 스키마 확장을 만들어야 합니다.
다음 섹션에서는 클라우드 전용 사용자가 있는 테넌트와 Active Directory 사용자가 있는 테넌트에 대해 확장 특성을 만드는 방법을 간략하게 설명합니다.
클라우드 전용 사용자가 있는 테넌트에서 확장 특성 만들기
Microsoft Graph 및 PowerShell을 사용하여 Microsoft Entra ID의 사용자에 대한 사용자 스키마를 확장할 수 있습니다. 이 작업은 해당 특성이 필요한 사용자가 있고 해당 특성이 온-프레미스 Active Directory 시작되거나 동기화되지 않은 경우에 필요합니다. (Active Directory가 있는 경우 Microsoft Entra Connect 디렉터리 확장 기능을 사용하여 특성을 Microsoft Entra ID와 동기화하는 방법에 대한 아래 섹션을 계속 참조하세요.)
스키마 확장이 만들어지면 대부분의 경우 다음에 Microsoft Entra 관리 센터의 프로비전 페이지를 방문할 때 이러한 확장 특성이 자동으로 발견됩니다.
1,000개 이상의 서비스 주체가 있는 경우 원본 특성 목록에 확장이 누락된 것을 확인할 수 있습니다. 만들었던 특성이 자동으로 표시되지 않으면 해당 특성이 만들어졌는지 확인하고 스키마에 수동으로 추가합니다. Microsoft Graph 및 Graph 탐색기를 사용하여 만들어졌는지 확인합니다. 스키마에 수동으로 추가하려면 지원되는 특성 목록 편집을 참조하세요.
Microsoft Graph를 사용하여 클라우드 전용 사용자의 확장 특성 만들기
Microsoft Graph를 사용하여 Microsoft Entra 사용자의 스키마를 확장할 수 있습니다.
먼저, 작업 중인 앱의 ID를 가져올 수 있도록 테넌트의 앱을 나열합니다. 자세한 정보는 extensionProperties 나열을 참조하세요.
GET https://graph.microsoft.com/v1.0/applications
다음으로 확장 특성을 만듭니다. 아래 ID 속성을 이전 단계에서 검색된 ID로 바꿉니다. “appId”가 아닌 “ID” 특성을 사용해야 합니다. 자세한 내용은 [extensionProperty 만들기]/graph/api/application-post-extensionproperty)를 참조하세요.
POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json
{
"name": "extensionName",
"dataType": "string",
"targetObjects": [
"User"
]
}
이전 요청은 extension_appID_extensionName 형식으로 확장 특성을 만들었습니다. 이제 이 확장 특성으로 사용자를 업데이트할 수 있습니다. 자세한 내용은 사용자 업데이트를 참조하세요.
PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json
{
"extension_inputAppId_extensionName": "extensionValue"
}
마지막으로 사용자의 특성을 확인합니다. 자세한 내용은 사용자 가져오기를 참조하세요. Graph v1.0은 특성이 반환할 특성 중 하나로 요청에 지정되지 않는 한 기본적으로 사용자의 디렉터리 확장 속성을 반환하지 않습니다.
GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName
PowerShell을 사용하여 클라우드 전용 사용자에 대한 확장 특성 만들기
PowerShell을 사용하여 사용자 지정 확장을 만들 수 있습니다.
참고 항목
Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.
#Connect to your Azure AD tenant
Connect-AzureAD
#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp
#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId
#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”
필요에 따라 클라우드 전용 사용자에 확장 속성을 설정할 수 있는지 테스트할 수 있습니다.
#List users in your tenant to determine the objectid for your user
Get-AzureADUser
#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”
#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId bbbbbbbb-1111-2222-3333-cccccccccccc | Select -ExpandProperty ExtensionProperty
클라우드 동기화를 사용하여 확장 특성 만들기
Active Directory에 사용자가 있고 Microsoft Entra 커넥트 클라우드 동기화를 사용하는 경우 클라우드 동기화는 새 매핑을 추가하려고 할 때 온-프레미스 Active Directory 확장을 자동으로 검색합니다. Microsoft Entra 커넥트 동기화를 사용하는 경우 다음 섹션에서 Microsoft Entra 커넥트 사용하여 확장 특성을 만듭니다.
아래 단계에서 이러한 특성을 자동으로 검색하고 Microsoft Entra ID에 대한 해당 매핑을 설정합니다.
- 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.
- 확장 특성 및 매핑을 추가하려는 구성을 선택합니다.
- 특성 관리에서 매핑을 편집하려면 클릭을 선택합니다.
- 특성 매핑 추가를 선택합니다. 특성이 자동으로 검색됩니다.
- 새 특성은 원본 특성 아래의 드롭다운에서 사용할 수 있습니다.
- 원하는 매핑 유형을 입력하고 적용을 선택합니다.
자세한 내용은 Microsoft Entra 커넥트 클라우드 동기화의 사용자 지정 특성 매핑을 참조하세요.
Microsoft Entra Connect를 사용하여 확장 특성 만들기
애플리케이션에 액세스하는 사용자가 온-프레미스 Active Directory 시작하는 경우 Active Directory의 사용자와 Microsoft Entra ID를 동기화해야 합니다. Microsoft Entra 커넥트 사용하는 경우 애플리케이션에 프로비저닝을 구성하기 전에 다음 작업을 수행해야 합니다.
온-프레미스 Active Directory do기본 관리자에게 필요한 특성이 AD DS 스키마
User개체 클래스의 일부인지 확인하고, 그렇지 않은 경우 해당 사용자에게 계정이 있는 do기본에서 Active Directory 도메인 Services 스키마를 확장합니다.Microsoft Entra Connect 마법사를 열고 작업을 선택한 다음 동기화 옵션 사용자 지정를 선택합니다.
하이브리드 ID 관리istrator로 로그인합니다.
선택적 기능 페이지에서 디렉터리 확장 특성 동기화를 선택합니다.
Microsoft Entra ID로 확장하려는 특성을 선택합니다.
참고 항목
사용 가능한 특성에서 검색은 대/소문자를 구분합니다.
Microsoft Entra Connect 마법사를 완료하고 전체 동기화 주기를 실행하도록 허용합니다. 주기가 완료되면 스키마가 확장되고 온-프레미스 AD와 Microsoft Entra ID 간에 새 값이 동기화됩니다.
참고 항목
managedby 또는 DN/DistinguishedName과 같은 온-프레미스 AD에서 참조 특성을 프로비저닝하는 기능은 현재 지원되지 않습니다. 사용자 의견에서 이 기능을 요청할 수 있습니다.
새 특성 채우기 및 사용
Microsoft Entra 관리 센터에서 Single Sign-On에 대한 사용자 특성 매핑을 편집하거나 Microsoft Entra ID에서 애플리케이션으로 프로비저닝하는 동안 원본 특성 목록에 추가된 특성이 형식<attributename> (extension_<appID>_<attributename>)으로 포함됩니다. 여기서 appID는 테넌트에서 자리 표시자 애플리케이션의 식별자입니다. 특성을 선택하고 프로비저닝할 대상 애플리케이션에 매핑합니다.
그런 다음 애플리케이션에 프로비저닝을 사용하도록 설정하기 전에 애플리케이션에 할당된 사용자를 필수 특성으로 채워야 합니다. Active Directory에서 특성이 시작되지 않는 경우 사용자를 대량으로 채우는 다섯 가지 방법이 있습니다.
- 속성이 HR 시스템에서 시작되고 해당 HR 시스템의 작업자를 Active Directory의 사용자로 프로비전하는 경우 Workday, SAP SuccessFactors 또는 다른 HR 시스템을 사용하는 경우 인바운드 HR API를 사용하여 Active Directory 특성에 대한 매핑을 구성합니다. 그런 다음 Microsoft Entra 커넥트 또는 Microsoft Entra 커넥트 클라우드 동기화가 Active Directory 스키마 및 Active Directory 사용자에서 수행한 업데이트를 Microsoft Entra ID로 동기화할 때까지 기다립니다.
- 속성이 HR 시스템에서 시작되고 Active Directory를 사용하지 않는 경우 인바운드 API를 통해 Workday, SAP SuccessFactors 또는 다른 사람에서 Microsoft Entra 사용자 특성으로 매핑을 구성할 수 있습니다.
- 속성이 다른 온-프레미스 시스템에서 시작되는 경우 Microsoft Graph에 대한 MIM 커넥트or를 구성하여 Microsoft Entra 사용자를 만들거나 업데이트할 수 있습니다.
- 속성이 사용자 자체에서 시작된 경우 권한 관리 카탈로그에 특성 요구 사항을 포함하여 애플리케이션에 대한 액세스를 요청할 때 사용자에게 특성 값을 제공하도록 요청할 수 있습니다.
- 다른 모든 상황에서 사용자 지정 애플리케이션은 Microsoft Graph API를 통해 사용자를 업데이트할 수 있습니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기