Microsoft Identity Manager에서 Microsoft Entra로 ID 및 액세스 관리 시나리오 마이그레이션
Microsoft Identity Manager는 Microsoft의 온-프레미스 호스팅 ID 및 액세스 관리 제품입니다. 2003년에 도입된 기술을 기반으로 하며, 오늘날까지 지속적으로 개선되었으며 Microsoft Entra 클라우드 서비스와 함께 지원됩니다. MIM은 Microsoft Entra ID의 클라우드 호스팅 서비스 및 기타 온-프레미스 에이전트를 보강하는 많은 ID 및 액세스 관리 전략의 핵심 부분입니다.
많은 고객이 ID 및 액세스 관리 시나리오의 중심을 완전히 클라우드로 이동하는 데 관심을 표명했습니다. 일부 고객은 더 이상 온-프레미스 환경을 갖지 않으며, 다른 고객은 클라우드 호스팅 ID 및 액세스 관리를 나머지 온-프레미스 애플리케이션, 디렉터리 및 데이터베이스와 통합합니다. 이 문서에서는 Microsoft Identity Manager에서 Microsoft Entra 클라우드 호스팅 서비스로 IAM(ID 및 액세스 관리) 시나리오를 이동하기 위한 마이그레이션 옵션 및 접근 방식에 대한 지침을 제공하며, 마이그레이션할 수 있는 새로운 시나리오가 제공되면 업데이트될 예정입니다. ADFS에서 마이그레이션을 포함하여 다른 온-프레미스 ID 관리 기술을 마이그레이션하는 데도 비슷한 지침이 제공됩니다.
마이그레이션 개요
MIM은 설계 당시 ID 및 액세스 관리 모범 사례를 구현했습니다. 그 이후로 ID 및 액세스 관리 환경은 새로운 애플리케이션과 새로운 비즈니스 우선 순위로 발전하여 IAM 사용 사례를 해결하는 데 권장되는 접근 방식이 MIM에서 이전에 권장했던 방식과 다른 경우가 많습니다.
또한 조직은 시나리오 마이그레이션을 위한 단계적 접근 방식을 계획해야 합니다. 예를 들어 조직은 최종 사용자 셀프 서비스 암호 재설정 시나리오를 한 단계로 마이그레이션하는 우선 순위를 지정한 다음, 완료되면 프로비전 시나리오를 이동할 수 있습니다. 조직에서 시나리오를 이동하기로 선택하는 순서는 전반적인 IT 우선 순위 및 교육 업데이트가 필요한 최종 사용자 또는 애플리케이션 소유자와 같은 다른 이해 관계자에 미치는 영향에 따라 달라집니다.
사용자 프로비전
사용자 프로비저닝은 MIM이 수행하는 작업의 핵심입니다. AD 또는 다른 HR 원본이든, 사용자를 가져오고, 메타버스에서 집계한 다음, 다른 리포지토리에 프로비전하는 것이 핵심 기능 중 하나입니다. 아래 다이어그램은 클래식 프로비전/동기화 시나리오를 보여 줍니다.
이제 이러한 많은 사용자 프로비저닝 시나리오는 Microsoft Entra ID 및 관련 제품을 사용하여 사용할 수 있으며, 이를 통해 MIM에서 해당 시나리오를 마이그레이션하여 클라우드에서 해당 애플리케이션의 계정을 관리할 수 있습니다.
다음 섹션에서는 다양한 프로비저닝 시나리오에 대해 설명합니다.
조인/탈퇴 워크플로를 사용하여 클라우드 HR 시스템에서 Active Directory 또는 Microsoft Entra ID로 프로비전
클라우드에서 Active Directory 또는 Microsoft Entra ID로 직접 프로비전하려는 경우 Microsoft Entra ID에 기본 제공 통합을 사용하여 이 작업을 수행할 수 있습니다. 다음 자습서에서는 HR 원본에서 AD 또는 Microsoft Entra ID로 직접 프로비전하는 방법에 대한 지침을 제공합니다.
대부분의 클라우드 HR 시나리오에는 자동화된 워크플로 사용도 포함됩니다. MIM용 워크플로 활동 라이브러리를 사용하여 개발된 이러한 워크플로 활동 중 일부는 Microsoft ID 거버넌스 수명 주기 워크플로로 마이그레이션할 수 있습니다. 이러한 실제 시나리오의 대부분은 이제 클라우드에서 직접 만들고 관리할 수 있습니다. 자세한 정보는 다음 설명서를 참조하세요.
가입/휴가 워크플로를 사용하여 온-프레미스 HR 시스템에서 Microsoft Entra ID로 사용자 프로비전
SAP HCM(Human Capital Management)을 사용하고 SAP SuccessFactors가 있는 고객은 SAP Integration Suite를 사용하여 SAP HCM과 SAP SuccessFactors 간의 작업자 목록을 동기화함으로써 ID를 Microsoft Entra ID로 가져올 수 있습니다. 여기에서 ID를 Microsoft Entra ID로 직접 가져오거나 Active Directory Domain Services에 프로비전할 수 있습니다.
이제 API 기반 인바운드 프로비저닝을 사용하여 온-프레미스 HR 시스템에서 Microsoft Entra ID로 직접 사용자를 프로비전할 수 있습니다. 현재 MIM을 사용하여 HR 시스템에서 사용자를 가져온 다음 Microsoft Entra ID로 프로비전하는 경우 이제 사용자 지정 API 기반 인바운드 프로비저닝 커넥터 빌드를 사용하여 이 작업을 수행할 수 있습니다. MIM을 통해 이를 달성하기 위해 API 기반 프로비저닝 커넥터를 사용하는 장점은 MIM과 비교할 때 API 기반 프로비저닝 커넥터의 오버헤드가 훨씬 적고 온-프레미스 공간이 훨씬 작다는 것입니다. 또한 API 기반 프로비저닝 커넥터를 사용하여 클라우드에서 관리할 수 있습니다. API 기반 프로비저닝에 대한 자세한 내용은 다음을 참조하세요.
수명 주기 워크플로도 활용할 수 있습니다.
Microsoft Entra ID에서 온-프레미스 앱으로 사용자 프로비전
MIM을 사용하여 SAP ECC와 같은 애플리케이션, SOAP 또는 REST API가 있는 애플리케이션 또는 기본 SQL 데이터베이스 또는 비 AD LDAP 디렉터리가 있는 애플리케이션에 사용자를 프로비전하는 경우 이제 ECMA 커넥터 호스트를 통해 온-프레미스 애플리케이션 프로비저닝을 사용하여 동일한 작업을 수행할 수 있습니다. ECMA 커넥터 호스트는 경량 에이전트의 일부이며 MIM 공간을 줄일 수 있습니다. MIM 환경에 사용자 지정 커넥터가 있는 경우 해당 구성을 에이전트로 마이그레이션할 수 있습니다. 자세한 내용은 아래 설명서를 참조하세요.
- 온-프레미스 프로비저닝 애플리케이션 아키텍처
- SCIM 사용 앱에 사용자 프로비전
- SQL 기반 애플리케이션에 사용자 프로비전
- LDAP 디렉터리에 사용자 프로비전
- Linux 인증을 위한 LDAP 디렉터리에 사용자 프로비전
- PowerShell을 사용하여 애플리케이션에 사용자 프로비전
- 웹 서비스 커넥터를 사용하여 프로비전
- 사용자 지정 커넥터를 사용하여 프로비전
클라우드 SaaS 앱에 사용자 프로비전
클라우드 컴퓨팅 환경에서는 SaaS 애플리케이션과 통합해야 합니다. MIM이 SaaS 앱에 수행한 많은 프로비저닝 시나리오는 이제 Microsoft Entra ID에서 직접 수행할 수 있습니다. 구성된 경우 Microsoft Entra ID는 Microsoft Entra 프로비저닝 서비스를 사용하여 사용자를 SaaS 애플리케이션으로 자동으로 프로비전 및 프로비저닝 해제합니다. SaaS 앱 자습서의 전체 목록은 아래 링크를 참조하세요.
새 사용자 지정 앱에 사용자 및 그룹 프로비전
조직에서 새 애플리케이션을 빌드하고 사용자가 업데이트 또는 삭제될 때 사용자 또는 그룹 정보 또는 신호를 수신해야 하는 경우 Microsoft Graph를 사용하여 Microsoft Entra ID를 쿼리하거나 SCIM을 사용하여 자동으로 프로비전하는 것이 좋습니다.
- Microsoft Graph API 사용
- Microsoft Entra ID에서 SCIM 엔드포인트에 대한 프로비저닝 개발 및 계획
- 온-프레미스인 SCIM 지원 애플리케이션에 사용자 프로비전
그룹 관리 시나리오
지금까지 조직에서는 AD 보안 그룹 및 Exchange DL을 포함하여 AD에서 그룹을 관리하는 데 MIM을 사용했으며, 이 그룹은 Microsoft Entra Connect를 통해 Microsoft Entra ID 및 Exchange Online에 동기화되었습니다. 이제 조직은 온-프레미스 Active Directory 그룹을 만들지 않고도 Microsoft Entra ID 및 Exchange Online에서 보안 그룹을 관리할 수 있습니다.
동적 그룹
동적 그룹 멤버 자격에 MIM을 사용하는 경우 이러한 그룹을 Microsoft Entra ID 동적 그룹으로 마이그레이션할 수 있습니다. 특성 기반 규칙을 사용하면 이 기준에 따라 사용자가 자동으로 추가되거나 제거됩니다. 자세한 정보는 다음 설명서를 참조하세요.
AD 기반 애플리케이션에서 그룹을 사용할 수 있도록 만들기
이제 Microsoft Entra 클라우드 동기화를 사용하여 사용되는 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리할 수 있습니다. 이제 Microsoft Entra 클라우드 동기화를 사용하면 Microsoft Entra ID 거버넌스 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.
자세한 내용은 Microsoft Entra ID 거버넌스를 사용하여 Kerberos(온-프레미스 Active Directory 기반 앱)를 참조하세요.
셀프 서비스 시나리오
MIM은 Exchange 및 AD 통합 앱에서 사용하기 위해 Active Directory의 데이터를 관리하는 셀프 서비스 시나리오에서도 사용되었습니다. 이제 이러한 많은 동일한 시나리오를 클라우드에서 수행할 수 있습니다.
셀프 서비스 그룹 관리
사용자가 보안 그룹 또는 Microsoft 365 그룹/Teams를 만든 다음 그룹의 멤버 자격을 관리하도록 허용할 수 있습니다.
다단계 승인을 사용하여 요청 액세스
권한 관리는 액세스 패키지 개념을 도입합니다. 액세스 패키지는 그룹 구성원 자격, SharePoint Online 사이트 또는 애플리케이션 역할에 대한 할당을 포함하여 사용자가 프로젝트에서 작업하거나 작업을 수행하는 데 필요한 액세스 권한이 있는 모든 리소스의 번들입니다. 각 액세스 패키지에는 자동으로 액세스를 받는 사람과 액세스를 요청할 수 있는 사용자를 지정하는 정책이 포함됩니다.
셀프 서비스 암호 재설정
Microsoft Entra SSPR(셀프 서비스 암호 재설정)은 사용자에게 암호를 변경하거나 재설정할 수 있는 기능을 제공합니다. 하이브리드 환경이 있는 경우 Microsoft Entra Connect를 구성하여 암호 변경 이벤트를 Microsoft Entra ID에서 온-프레미스 Active Directory 다시 작성할 수 있습니다.