HR 기반 프로비저닝이란?
HR 기반 프로비전은 인적 자원 시스템을 기반으로 디지털 ID를 만드는 프로세스입니다. HR 시스템은 새로 만들어진 디지털 ID에 대한 인증 원본이 되며 종종 수많은 프로비전 프로세스의 시작점이 됩니다. 예를 들어 신입 직원이 회사에 입사하면 인적 자원 시스템에 생성됩니다. 생성은 Active Directory에 사용자 계정 프로비전을 트리거한 다음, Microsoft Entra Connect가 이 계정을 Microsoft Entra ID에 프로비전합니다.
조직에는 SAP HCM과 같은 온-프레미스 HR 시스템, SAP SuccessFactors 또는 Workday와 같은 클라우드 기반 HR 시스템, 또는 두 가지가 혼합되어 있을 수 있습니다. 지금까지는 HR 기반 프로비전을 위한 온-프레미스 HR 시스템과의 통합에서는 SAP IDM(SAP ID 관리) 또는 MIM(Microsoft Identity Manager)과 같은 온-프레미스 HR 도구를 활용하여 Active Directory에 사용자를 만들었습니다. Microsoft Entra는 온-프레미스 HR 시스템과 함께 사용하여 Active Directory에서 사용자를 만들기 및 업데이트하거나 Active Directory가 없는 환경의 경우 Microsoft Entra ID에서 사용자를 만들기 및 업데이트할 수도 있습니다.
온-프레미스 기반 HR 프로비전
온-프레미스 기반 HR 프로비전은 로컬 HR 시스템과 새 디지털 ID를 프로비전하는 수단을 사용하여 수행됩니다.
HR 시스템은 다양한 패키지, 소프트웨어 번들로 제공되며 SQL 서버 또는 파일을 사용하여 다른 시스템과 데이터를 교환할 수 있습니다.
SAP HCM(Human Capital Management)을 사용하고 SAP SuccessFactors가 있는 고객은 SAP Integration Suite를 사용하여 SAP HCM과 SAP SuccessFactors 간의 작업자 목록을 동기화함으로써 ID를 Microsoft Entra ID로 가져올 수 있습니다. 여기에서 ID를 Microsoft Entra ID로 직접 가져오거나 Active Directory Domain Services에 프로비전할 수 있습니다.
Microsoft Entra API 기반 인바운드 프로비전을 사용하면 온-프레미스 HR 시스템과 통합할 수도 있습니다. 플랫 파일, CSV 파일, SQL 준비 테이블은 일반적으로 엔터프라이즈 통합 시나리오에서 사용됩니다. 직원, 계약자, 공급업체 정보는 정기적으로 해당 형식 중 하나로 내보내지며 자동화 도구를 사용하여 이 데이터를 엔터프라이즈 ID 디렉터리와 동기화합니다. 파트너는 사용자 지정 HR 커넥터를 빌드하여 기록 시스템에서 Microsoft Entra ID까지의 데이터 흐름과 관련된 다양한 통합 요구 사항을 충족할 수 있습니다. API 기반 인바운드 프로비전을 사용하면 Microsoft Entra 프로비전 서비스가 ID 프로필을 비교하고, 데이터 동기화를 IT 관리자가 구성한 범위 지정 논리로 제한하고, Microsoft Entra 관리 센터에서 관리되는 규칙 기반 특성 흐름 및 변환을 실행하는 책임을 대신 수행하므로 통합이 간소화됩니다.
또한 온-프레미스 HR 시스템에서 새 ID가 만들어질 때 Microsoft Identity Manager를 사용하여 프로비전을 트리거할 수도 있습니다. MIM을 사용하여 온-프레미스 HR 시스템에서 Active Directory 또는 Microsoft Entra ID로 사용자를 프로비전할 수 있습니다. Microsoft Identity Manager 및 지원되는 시스템에 대한 자세한 내용은 Microsoft Identity Manager 설명서를 참조하세요.
Microsoft Entra 사용자 프로비전에 대한 클라우드 HR 애플리케이션
지금까지 IT 직원은 직원을 수동으로 만들고 업데이트하고 삭제하는 방법을 사용해 왔습니다. CSV 파일 업로드 또는 사용자 지정 스크립트와 같은 방법을 사용하여 직원 데이터를 동기화했습니다. 이러한 프로비저닝 프로세스는 오류가 발생하기 쉽고, 안전하지 않으며, 관리하기가 어렵습니다.
직원, 공급업체 또는 불확정 작업자의 ID 수명 주기를 관리하기 위해 Microsoft Entra 사용자 프로비저닝 서비스는 클라우드 기반 HR(인적 자원) 애플리케이션과의 통합을 제공합니다. 애플리케이션의 예로 Workday 또는 SuccessFactors가 있습니다.
Microsoft Entra ID는 이 통합을 사용하여 다음과 같은 클라우드 HR 애플리케이션(앱) 워크플로를 사용하도록 설정합니다.
- 사용자를 Active Directory에 프로비전: 클라우드 HR 앱에서 선택한 사용자 집합을 하나 이상의 Active Directory 도메인에 프로비전합니다.
- Microsoft Entra ID에 클라우드 전용 사용자 프로비전: Active Directory가 사용되지 않는 시나리오에서는 사용자를 클라우드 HR 앱에서 Microsoft Entra ID로 직접 프로비전합니다.
- 클라우드 HR 앱에 쓰기 저장: Microsoft Entra의 이메일 주소와 사용자 이름 특성을 클라우드 HR 앱에 다시 씁니다.
사용되는 HR 시나리오
Microsoft Entra 사용자 프로비저닝 서비스를 사용하면 다음과 같은 HR 기반 ID 수명 주기 관리 시나리오를 자동화할 수 있습니다.
- 새 직원 고용: 클라우드 HR 앱에 새 직원이 추가되면 이메일 주소 및 사용자 이름 특성을 클라우드 HR 앱에 다시 쓸 수 있는 옵션과 함께 Active Directory 및 Microsoft Entra ID에 사용자 계정이 자동으로 만들어집니다.
- 직원 특성 및 프로필 업데이트: 이름, 직위 또는 관리자와 같은 직원 레코드가 클라우드 HR 앱에서 업데이트되면 사용자 계정이 Active Directory 및 Microsoft Entra ID에서 자동으로 업데이트됩니다.
- 직원 해고: 직원이 클라우드 HR 앱에서 해고되면 해당 사용자 계정이 Active Directory 및 Microsoft Entra ID에서 자동으로 사용하지 않도록 설정됩니다.
- 직원 재고용: 직원이 클라우드 HR 앱에서 다시 고용되면 이전 계정이 자동으로 다시 활성화되거나 Active Directory 및 Microsoft Entra ID로 다시 프로비전될 수 있습니다.
이 통합에 가장 적합한 사용자
Microsoft Entra 사용자 프로비저닝과 클라우드 HR 앱의 통합은 다음과 같은 조직에 가장 적합합니다.
- 클라우드 HR 사용자 프로비저닝에 맞게 미리 빌드된 클라우드 기반 솔루션이 필요합니다.
- 사용자를 클라우드 HR 앱에서 Active Directory 또는 Microsoft Entra ID로 직접 프로비전해야 합니다.
- 클라우드 HR 앱에서 얻은 데이터를 사용하여 사용자를 프로비저닝해야 합니다.
- 클라우드 HR 앱에서 감지된 변경 정보만을 기반으로 하여 참가, 이동 및 탈퇴하는 사용자를 하나 이상의 Active Directory 포리스트, 도메인 및 OU에 동기화해야 합니다.
- Office 365를 이메일에 사용합니다.
주요 이점
HR 기반 IT 프로비저닝의 이 기능은 다음과 같은 중요한 비즈니스 이점을 제공합니다.
- 생산성 향상: 이제 사용자 계정 및 Office 365 라이선스의 할당을 자동화하고 키 그룹에 대한 액세스를 제공할 수 있습니다. 할당을 자동화하면 새로 고용된 직원이 작업 도구에 즉시 액세스할 수 있고 생산성이 향상됩니다.
- 위험 관리: 클라우드 HR 앱에서 들어오는 데이터를 사용하여 직원 상태 또는 그룹 멤버 자격에 따라 변경을 자동화하여 보안을 강화할 수 있습니다. 변경을 자동화하면 사용자가 조직에서 이동하거나 탈퇴할 때 사용자 ID와 주요 앱에 대한 액세스가 자동으로 업데이트됩니다.
- 주소 규정 준수 및 거버넌스: Microsoft Entra ID는 원본 및 대상 시스템 모두의 앱에서 수행하는 사용자 프로비저닝 요청에 대한 기본 감사 로그를 지원합니다. 감사를 사용하면 단일 화면에서 앱에 액세스할 수 있는 사용자를 추적할 수 있습니다.
- 비용 관리: 자동 프로비전은 수동 프로비전과 관련된 비효율성 및 인간 오류를 방지하여 비용을 절감합니다. 레거시 플랫폼 및 오래된 플랫폼을 사용하여 시간이 지남에 따라 빌드되는 사용자 지정 개발 사용자 프로비저닝 솔루션에 대한 필요성을 줄입니다.
Joiner-Mover-Leaver 수명 주기 워크플로 관리
HR 중심 프로비전 프로세스를 확장하여 신규 채용, 고용 변경 및 해고와 관련된 비즈니스 프로세스 및 보안 제어를 더욱 자동화할 수 있습니다. Microsoft Entra ID Governance 수명 주기 워크플로를 사용하면 다음과 같은 Joiner-Mover-Leaver 워크플로를 구성할 수 있습니다.
- 신입 사원이 입사하기 "X"일 전에 관리자에게 이메일을 보내고, 사용자를 그룹에 추가하고, 최초 로그인을 위한 임시 액세스 패스를 생성합니다.
- 사용자의 부서, 직함, 그룹 멤버 자격이 변경되면 사용자 지정 작업을 시작합니다.
- 근무 마지막 날 관리자에게 이메일을 보내고 그룹 및 라이선스 할당에서 사용자를 제거합니다.
- 퇴사 후 "X"일이 지나면 Microsoft Entra ID에서 사용자를 삭제합니다.