ID 수명 주기 관리란?

  • 아티클

조직에서는 ID 거버넌스를 통해 생산성(사용자가 조직에 가입할 때처럼 필요한 리소스에 액세스하는 속도)과 보안 - 해당하는 사람의 고용 상태의 변경 내용과 같이 시간이 지남에 따라 해당하는 액세스를 어떻게 변경해야 하나요?

ID 수명 주기 관리는 ID 거버넌스의 기반이며, 규모에 맞는 효과적인 거버넌스를 위해 애플리케이션에 대한 ID 수명 주기 관리 인프라를 현대화해야 합니다. ID 수명 주기 관리는 조직과 연결된 개인에 대한 전체 디지털 ID 수명 주기 프로세스를 자동화하고 관리하는 것을 목표로 합니다.

Diagram of the Microsoft Entra relationship in provisioning with other sources and targets.

디지털 ID란?

디지털 ID는 하나 이상의 컴퓨팅 리소스(예: 운영 체제 또는 애플리케이션)에서 사용하는 엔터티에 대한 정보입니다. 이러한 엔터티는 사람, 조직, 애플리케이션 또는 디바이스를 나타낼 수 있습니다. ID는 일반적으로 관련된 특성(예: 이름, 식별자 및 액세스 관리에 사용되는 역할)으로 설명됩니다. 이러한 특성은 시스템에서 시스템이 누가 무엇에 액세스할 수 있고 누가 해당 리소스를 사용할 수 있는지 등을 결정하는 데 도움이 됩니다.

디지털 ID의 수명 주기 관리

디지털 ID 관리는 특히 사람과 같은 실제 개체 및 조직의 직원으로서 해당 조직과의 관계를 디지털 표현과 상호 관련시키는 복잡한 작업입니다. 소규모 조직에서는 ID가 필요한 개인의 디지털 표현을 유지하는 것이 수동 프로세스일 수 있습니다. 예를 들어 누군가를 고용하거나 계약자가 도착하면 IT 전문가가 해당 계정을 디렉터리에 만들고 필요한 액세스 권한을 할당할 수 있습니다. 그러나 중간 규모 및 대규모 조직에서는 자동화를 통해 조직에서 더 효과적으로 크기를 조정하고 ID를 정확하게 유지할 수 있습니다.

조직에서 ID 수명 주기 관리를 설정하는 일반적인 프로세스는 다음 단계를 따릅니다.

  1. 조직에서 신뢰할 수 있는 것으로 처리하는 데이터 원본과 같은 레코드의 시스템이 이미 있는지 확인합니다. 예를 들어 조직에 Workday 또는 SuccessFactors와 같은 HR 시스템이 있을 수 있으며 해당 시스템은 현재 직원 목록 및 직원 이름 또는 부서와 같은 일부 속성을 제공할 권한이 있습니다. 또한 Exchange Online과 같은 전자 메일 시스템은 직원의 이메일 주소인 추가 특성에 대해 신뢰할 수 있습니다.

  2. 이러한 레코드 시스템을 Microsoft Entra ID로 커넥트 Microsoft Entra ID의 기존 사용자와 레코드 시스템 간의 불일치를 해결합니다. 예를 들어 Microsoft Entra ID는 더 이상 조직과 관련이 없는 이전 직원의 사용자 계정과 같이 이제 사용되지 않는 데이터로 채워졌을 수 있습니다.

  3. Microsoft Entra ID에 올바른 사용자가 있으면 애플리케이션에서 사용하는 하나 이상의 디렉터리 및 데이터베이스에 Microsoft Entra ID를 연결하고 해당 디렉터리와 Microsoft Entra ID의 레코드 데이터 시스템 복사본 간의 불일치를 해결합니다. 예를 들어 이전에 연결이 끊어진 애플리케이션의 디렉터리에는 이전 직원의 계정과 같은 사용되지 않는 데이터가 있을 수 있습니다.

  4. 레코드 시스템이 없는 경우 신뢰할 수 있는 정보를 제공하는 데 사용할 수 있는 프로세스를 결정합니다. 예를 들어 방문자를 제외하고는 디지털 ID가 있지만 방문자에 대한 데이터베이스가 조직에 없는 경우 방문자의 디지털 ID가 더 이상 필요하지 않은 시기를 결정하는 다른 방법을 찾아야 할 수도 있습니다.

  5. Microsoft Entra ID를 통해 레코드 시스템 또는 다른 프로세스의 변경 내용이 업데이트가 필요한 각 디렉터리 또는 데이터베이스로 복제본(replica).

조직 관계가 있는 직원 및 기타 개인을 나타내는 ID 수명 주기 관리

직원 또는 조직 관계가 있는 다른 개인(예: 계약자 또는 학생)에 대한 ID 수명 주기 관리를 계획하는 경우 많은 조직에서 다음 프로세스에 따라 "참가, 이동 및 탈퇴"를 모델링합니다.

  • 참가 - 개인이 액세스해야 하는 범위에 있는 경우 해당 애플리케이션에 대한 ID가 필요하므로 아직 사용할 수 없는 경우 새 디지털 ID를 만들어야 할 수 있습니다.
  • 이동 - 개인이 경계 사이를 이동하는 경우 디지털 ID에서 추가 액세스 권한 부여를 추가하거나 제거해야 합니다.
  • 탈퇴 - 개인이 액세스해야 하는 범위를 벗어나면 액세스를 제거해야 할 수 있으며, 이후에 감사 또는 법정 분석 목적 이외의 애플리케이션에서 ID를 더 이상 요구하지 않을 수 있습니다.

예를 들어 이전에 조직에 소속된 적이 없는 새 직원이 조직에 참가하는 경우 해당 직원에게 Microsoft Entra ID에서 사용자 계정으로 표시되는 새 디지털 ID가 필요합니다. 이 계정을 만드는 작업은 "참가자" 프로세스에 속하게 되며, 새 직원이 업무를 시작하는 시기를 나타낼 수 있는 Workday와 같은 레코드 시스템이 있으면 자동화할 수 있습니다. 나중에 조직에서 직원이 영업에서 마케팅으로 이동하는 경우 "이동자" 프로세스에 속하게 됩니다. 이 이동을 위해 영업 조직에 있는 더 이상 필요하지 않은 액세스 권한을 제거하고 마케팅 조직에서 새 요구 사항에 필요한 권한을 부여해야 합니다.

게스트에 대한 ID 수명 주기 관리

파트너, 공급업체 및 기타 게스트가 공동 작업하거나 리소스에 액세스할 수 있도록 추가 ID에 대해서도 유사한 프로세스가 필요합니다. Microsoft Entra 권한 관리는 Microsoft Entra 외부 ID B2B(Business-to-Business)를 활용하여 조직의 리소스에 액세스해야 하는 조직 외부 사용자와 공동 작업하는 데 필요한 수명 주기 제어를 제공합니다. Microsoft Entra B2B를 사용하면 외부 사용자가 홈 디렉터리 또는 ID 공급자에 인증되지만 조직의 디렉터리에 표현이 있습니다. 조직의 디렉터리에서 표현을 사용하면 사용자가 리소스에 대한 액세스 권한을 할당할 수 있습니다. 권한 관리를 통해 조직 외부의 개인이 액세스를 요청할 수 있고 필요에 따라 디지털 ID를 만들 수 있습니다. 이러한 디지털 ID는 사용자가 액세스 권한을 잃으면 자동으로 제거됩니다.

Microsoft Entra ID는 ID 수명 주기 관리를 어떻게 자동화하나요?

Microsoft Entra ID 거버넌스에서 다음을 사용하여 ID 수명 주기 프로세스를 자동화할 수 있습니다.

  • 조직의 HR 원본에서 인바운드 프로비저닝은 Workday 및 SuccessFactors에서 작업자 정보를 검색하여 Active Directory 및 Microsoft Entra ID 모두에서 사용자 ID를 자동으로 기본.
  • Active Directory에 이미 있는 사용자는 디렉터리 간 프로비저닝을 사용하여 Microsoft Entra ID에 자동으로 생성 및 기본 얻을 수 있습니다.
  • 수명 주기 워크플로는 새 직원이 조직에서 작업을 시작하도록 예약되기 전, 조직에서 근무하는 동안 상태 변경하고 조직을 떠날 때와 같은 특정 주요 이벤트에서 실행되는 워크플로 작업을 자동화합니다. 예를 들어 워크플로는 새 사용자의 관리자에게 임시 액세스 권한이 있는 전자 메일을 보내거나 첫 날에 사용자에게 환영 전자 메일을 보내도록 구성할 수 있습니다.
  • 권한 관리 의 자동 할당 정책은 사용자의 특성 변경 내용에 따라 사용자의 그룹 멤버 자격, 애플리케이션 역할 및 SharePoint 사이트 역할을 추가하고 제거합니다. 사용자는 요청 시 권한 관리 및 Privileged Identity Management를 사용하여 그룹, Teams, Microsoft Entra 역할, Azure 리소스 역할 및 SharePoint Online 사이트에 할당할 수도 있습니다.
  • 사용자가 올바른 그룹 멤버 자격 및 앱 역할 할당 을 사용하여 Microsoft Entra ID에 있으면 사용자 프로비저닝 은 SCIM, LDAP 및 SQL을 통해 수백 개의 클라우드 및 온-프레미스 애플리케이션에 대한 커넥터를 사용하여 다른 애플리케이션에서 사용자 계정을 만들고 업데이트하고 제거할 수 있습니다.
  • 게스트 수명 주기의 경우 사용자가 조직의 리소스에 대한 액세스를 요청할 수 있는 다른 조직을 권한 관리 에서 지정할 수 있습니다. 해당 사용자의 요청 중 하나가 승인되면 자격 관리에 의해 자동으로 조직의 디렉터리에 B2B 게스트로 추가되고 적절한 액세스 권한이 할당됩니다. 또한 권한 관리는 액세스 권한이 만료되거나 해지될 때 조직의 디렉터리에서 B2B 게스트 사용자를 자동으로 제거합니다.
  • 액세스 검토 는 조직의 디렉터리에 이미 있는 기존 게스트에 대한 반복 검토를 자동화하고 더 이상 액세스가 필요하지 않은 경우 해당 사용자를 조직의 디렉터리에서 제거합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.

다음 단계