Microsoft Entra ID의 앱 프로비전이란?

  • 아티클

Microsoft Entra ID에서 앱 프로비전이라는 용어는 애플리케이션에 대한 사용자 ID와 역할을 자동으로 만드는 것을 의미합니다.

프로비저닝 시나리오를 보여 주는 다이어그램

Microsoft Entra 애플리케이션 프로비전은 사용자가 액세스해야 하는 애플리케이션에서 사용자 ID와 역할을 자동으로 만드는 것을 의미합니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함됩니다. 일반적인 시나리오에는 Microsoft Entra 사용자를 Dropbox, Salesforce, ServiceNow 등과 같은 SaaS 애플리케이션에 프로비전하는 것이 포함됩니다.

또한 Microsoft Entra ID는 방화벽을 열지 않고도 온-프레미스 또는 가상 머신에 호스트되는 애플리케이션에 사용자 프로비전할 수 있습니다. 아래 표에서는 지원되는 커넥터에 대한 프로토콜 매핑을 제공합니다.

프로토콜 커넥터
SCIM SCIM - SaaS
SCIM - 온-프레미스/프라이빗 네트워크
LDAP LDAP
SQL SQL
REST 웹 서비스
SOAP 웹 서비스
플랫 파일 PowerShell
사용자 지정 사용자 지정 ECMA 커넥터
파트너가 빌드한 커넥터 및 게이트웨이
  • 프로비저닝 자동화: 새로운 사람이 팀 또는 조직에 가입할 때 적절한 시스템에서 새 계정을 자동으로 만듭니다.
  • 프로비저닝 해제 자동화: 사용자가 팀 또는 조직을 떠날 때 적절한 시스템에서 계정을 자동으로 비활성화합니다.
  • 시스템 간 데이터 동기화: 디렉터리 또는 인적 리소스 시스템의 변경 내용에 따라 앱과 시스템의 ID를 최신 상태로 유지합니다.
  • 그룹 프로비저닝: 그룹을 지원하는 애플리케이션에 그룹을 프로비저닝합니다.
  • 액세스 관리: 애플리케이션에 프로비전된 사용자를 모니터링하고 감사를 수행합니다.
  • 브라운 필드 시나리오에서 원활하게 배포: 이미 사용자가 대상 시스템에 있는 경우에도 시스템 간에 기존 ID를 매칭하고 쉽게 통합할 수 있습니다.
  • 다양한 사용자 지정 사용: 원본 시스템에서 대상 시스템으로 흐르는 사용자 데이터를 정의하는 사용자 지정 가능한 특성 매핑을 활용합니다.
  • 위험 이벤트에 대한 경고 받기: 프로비저닝 서비스는 위험 이벤트를 경고하며 Log Analytics 통합을 하여 비즈니스 요구 사항에 맞게 사용자 지정 경고를 정의할 수 있습니다.

SCIM이란?

프로비저닝 및 프로비저닝 해제를 자동화하기 위해, 앱에서는 독점적인 사용자 및 그룹 API를 노출합니다. 모든 앱이 동일한 작업을 수행하려고 하기 때문에 둘 이상의 앱에서 사용자를 관리하는 것은 어려운 일입니다. 예를 들어, 사용자 만들기 또는 업데이트, 그룹에 사용자 추가 또는 사용자 프로비전 해제가 있습니다. 종종 개발자는 이러한 작업을 약간 다르게 구현합니다. 예를 들어, 서로 다른 엔드포인트 경로, 사용자 정보를 지정하는 서로 다른 방법 및 정보의 각 요소를 나타내는 서로 다른 스키마를 사용합니다.

이 문제를 해결하기 위해 SCIM(도메인 간 ID 관리를 위한 시스템) 사양은 사용자가 앱 내부, 외부, 주변으로 이동할 수 있도록 지원하는 공통 사용자 스키마를 제공합니다. 사실상 프로비저닝의 표준으로 자리를 잡아 가고 있는 SCIM은 SAML(Security Assertions Markup Language) 또는 OIDC(OpenID Connect) 같은 페더레이션 표준과 함께 사용하면 액세스 관리를 위한 엔드투엔드 표준 기반 솔루션을 관리자에게 제공합니다.

사용자 및 그룹을 애플리케이션에 프로비저닝하고 프로비저닝 해제하는 작업을 자동화하는 방법에 대한 자세한 지침은 SCIM 엔드포인트를 빌드하고 사용자 프로비저닝 구성을 참조하세요. 많은 애플리케이션이 Microsoft Entra ID와 직접 통합됩니다. Slack, Azure Databricks 및 Snowflake를 예로 들 수 있습니다. 이러한 앱의 경우 개발자 설명서를 건너뛰고 SaaS 애플리케이션을 Microsoft Entra ID와 통합하기 위한 자습서를 사용합니다.

수동 및 자동 프로비저닝

Microsoft Entra 갤러리의 애플리케이션은 다음 두 가지 프로비전 모드 중 하나를 지원합니다.

  • 수동 프로비전은 앱에 대한 자동 Microsoft Entra 프로비전 커넥터가 아직 없음을 의미합니다. 수동으로 만들어야 합니다. 예를 들어 사용자를 앱의 관리 포털에 직접 추가하거나 사용자 계정 세부 정보가 포함된 스프레드시트를 업로드해야 합니다. 앱에서 제공하는 설명서를 참조하거나 앱 개발자에게 문의하여 사용할 수 있는 메커니즘을 확인하세요.
  • 자동은 Microsoft Entra 프로비전 커넥터를 이 애플리케이션에서 사용할 수 있음을 의미합니다. 애플리케이션의 프로비저닝 설정에 대한 설정 자습서를 따릅니다. SaaS 애플리케이션을 Microsoft Entra ID와 통합하기 위한 자습서에서 앱 자습서를 찾습니다.

엔터프라이즈 앱에 애플리케이션을 추가한 후에는 애플리케이션에서 지원하는 프로비저닝 모드가 프로비저닝 탭에도 표시됩니다.

자동 프로비저닝의 이점

최신 조직에서 사용되는 애플리케이션의 수는 계속해서 증가하고 있습니다. IT 관리자는 대규모 액세스 관리를 관리해야 합니다. SSO(Single Sign-On)에 SAML 또는 OIDC와 같은 표준을 사용하지만 액세스하려면 사용자를 앱에 프로비전해야 합니다. 프로비전이 모든 사용자 계정을 수동으로 만들거나 매주 CSV 파일을 업로드하는 것을 의미한다고 생각할 수 있습니다. 그러나 이러한 프로세스는 시간과 비용이 많이 들고 오류가 발생하기 쉽습니다. 프로세스를 간소화하려면 SAML JIT(Just-In-Time)를 사용하여 프로비전을 자동화합니다. 사용자가 조직을 떠나거나 더 이상 역할 변경에 따라 특정 앱에 액세스할 필요가 없을 때 동일한 프로세스를 사용하여 사용자의 프로비전을 해제합니다.

자동 프로비저닝을 사용해야 하는 일반적인 동기는 다음과 같습니다.

  • 프로비저닝 프로세스의 효율성 및 정확도를 최대화합니다.
  • 맞춤형으로 개발된 프로비저닝 솔루션과 스크립트를 호스트하고 유지하는 데 관련된 비용을 절감합니다.
  • 사용자가 퇴사하는 즉시 주요 SaaS 앱에서 사용자 ID를 제거하여 조직의 보안을 유지합니다.
  • 특정 SaaS 애플리케이션 또는 시스템에 다수의 사용자를 손쉽게 가져옵니다.
  • 앱에 로그인할 수 있는 프로비전된 사용자를 결정하는 단일 정책 집합입니다.

Microsoft Entra 사용자 프로비전은 이러한 문제를 해결하는 데 도움이 될 수 있습니다. 고객이 Microsoft Entra 사용자 프로비전을 어떻게 사용해 왔는지 자세히 알아보려면 ASOS 사례 연구를 참조하세요. 다음 동영상은 Microsoft Entra ID의 사용자 프로비전을 간략하게 설명합니다.

Microsoft Entra 자동 사용자 프로비전과 함께 사용할 수 있는 애플리케이션 및 시스템은 무엇인가요?

Microsoft Entra는 SCIM 2.0 표준의 특정 부분을 구현하는 앱에 대한 일반적 지원뿐 아니라 여러 인기 있는 SaaS 앱 및 인사 관리 시스템에 대한 사전 통합된 지원도 제공합니다.

애플리케이션에 자동 프로비전을 설정하려면 어떻게 합니까?

갤러리에 나열된 사전 통합된 애플리케이션의 경우 기존 단계별 지침을 사용하여 자동 프로비전을 설정합니다. SaaS 애플리케이션을 Microsoft Entra ID와 통합하기 위한 자습서를 참조하세요. 다음 동영상은 SalesForce에 대한 자동 사용자 프로비전을 설정하는 방법을 보여 줍니다.

SCIM 2.0을 지원하는 다른 애플리케이션은 SCIM 엔드포인트를 빌드하고 사용자 프로비저닝 구성의 단계를 따르세요.

다음 단계