프로비저닝이란?
프로비저닝 및 프로비저닝 해제 프로세스는 여러 시스템에서 디지털 ID의 일관성을 보장하는 프로세스입니다. 이러한 프로세스는 일반적으로 ID 수명 주기 관리의 일부로 사용됩니다.
프로비저닝은 특정 조건에 따라 대상 시스템에서 ID를 만드는 프로세스입니다. 프로비저닝 해제는 조건이 더 이상 충족되지 않을 때 대상 시스템에서 ID를 제거하는 프로세스입니다. 동기화는 원본 개체와 대상 개체가 비슷하도록 프로비저닝된 개체를 최신 상태로 유지하는 프로세스입니다.
예를 들어 새 직원이 조직에 참가하면 해당 직원이 HR 시스템에 입력됩니다. 이제 HR에서 Microsoft Entra ID로 프로비전하면 Microsoft Entra ID에 해당 사용자 계정을 만들 수 있습니다. Microsoft Entra ID를 쿼리하는 애플리케이션은 이 신규 직원의 계정을 볼 수 있습니다. Microsoft Entra ID를 사용하지 않는 애플리케이션이 있는 경우 Microsoft Entra ID에서 해당 애플리케이션의 데이터베이스로 프로비전하면 사용자가 액세스해야 하는 모든 애플리케이션에 액세스할 수 있습니다. 이 프로세스를 통해 사용자는 작업을 시작하고, 첫 번째 작업일에 필요한 애플리케이션과 시스템에 액세스할 수 있습니다. 마찬가지로 HR 시스템에서 직원의 부서 또는 고용 상태와 같은 속성이 변경되면 HR 시스템에서 Microsoft Entra ID로, 더 나아가 다른 애플리케이션 및 대상 데이터베이스로 업데이트가 동기화되어 일관성이 보장됩니다.
Microsoft Entra ID는 현재 세 가지 자동화된 프로비전 영역을 제공합니다. 화면은 다음과 같습니다.
- HR 기반 프로비전을 통해 신뢰할 수 있는 외부 비 디렉터리 레코드 시스템에서 Microsoft Entra ID로 프로비전
- 앱 프로비전을 통해 Microsoft Entra ID에서 애플리케이션으로 프로비전
- 디렉터리 간 프로비전을 통해 Microsoft Entra ID와 Active Directory Domain Services 간 프로비전
HR 기반 프로비저닝
HR에서 Microsoft Entra ID로 프로비전하려면 일반적으로 각 직원을 나타내는 사용자 ID 개체를 만들어야 하지만, 경우에 따라 HR 시스템에 있는 정보를 기반으로 부서 또는 기타 구조를 나타내는 다른 개체도 있습니다.
가장 일반적인 시나리오는 새 직원이 회사에 참여할 때 HR 시스템에 입력되는 것입니다. 이 경우 직원을 새로 고용할 때마다 관리자가 개입할 필요 없이 자동으로 Microsoft Entra ID에 새 사용자로 프로비전됩니다. 일반적으로 HR에서 프로비저닝하는 경우 처리할 수 있는 시나리오는 다음과 같습니다.
- 새 직원 고용 - 새 직원이 HR 시스템에 추가되면 Active Directory, Microsoft Entra ID 그리고 필요에 따라 Microsoft Entra ID에서 지원하는 다른 애플리케이션의 디렉터리에 사용자 계정이 자동으로 만들어지고, 이메일 주소가 HR 시스템에 쓰기 저장됩니다.
- 직원 특성 및 프로필 업데이트 - HR 시스템에서 직원 레코드(예: 이름, 직함 또는 관리자)가 업데이트되면 Active Directory, Microsoft Entra ID 그리고 필요에 따라 Microsoft Entra ID에서 지원하는 기타 애플리케이션에서 해당 사용자 계정이 자동으로 업데이트됩니다.
- 직원 퇴사 - HR에서 직원의 고용 계약이 종료되면 해당 사용자 계정이 Active Directory, Microsoft Entra ID 및 다른 애플리케이션에 로그인하지 못하도록 자동으로 차단되거나 제거됩니다.
- 직원 재고용 - 직원이 클라우드 HR에서 다시 고용되면 이전 계정이 자동으로 다시 활성화되거나 다시 프로비전될 수 있습니다(기본 설정에 따라).
Microsoft Entra ID를 사용하는 HR 기반 프로비전의 세 가지 배포 옵션은 다음과 같습니다.
- Workday 또는 SuccessFactors에 대한 단일 구독이 있고 Active Directory를 사용하지 않는 조직의 경우
- Workday 또는 SuccessFactors 구독을 하나 갖고 있으며, Active Directory와 Microsoft Entra ID를 모두 사용하는 조직
- 여러 HR 시스템 또는 온-프레미스 HR 시스템(예: SAP, Oracle eBusiness 또는 PeopleSoft)을 사용하는 조직의 경우
자세한 내용은 HR 기반 프로비저닝이란?을 참조하세요.
앱 프로비저닝
Microsoft Entra ID에서 앱 프로비전이라는 용어는 Microsoft Entra ID 또는 Active Directory와 다른 자체 데이터 저장소가 있는 애플리케이션의 경우 사용자가 액세스해야 하는 애플리케이션에서 사용자 ID의 복사본을 자동으로 만드는 것을 의미합니다. 앱 프로비저닝에는 사용자 ID를 만드는 것 외에도 사용자의 상태 또는 역할이 변경됨에 따라 해당 앱에서 사용자 ID를 유지 관리 및 제거하는 작업이 포함됩니다. 대표적인 시나리오에는 Microsoft Entra 사용자를 Dropbox, Salesforce, ServiceNow와 같은 애플리케이션에 프로비전하는 것입니다. 이러한 각 애플리케이션에는 Microsoft Entra ID와 다른 자체 사용자 리포지토리가 있기 때문입니다.
또한 Microsoft Entra ID는 방화벽을 열지 않고도 온-프레미스 또는 가상 머신에 호스트되는 애플리케이션에 사용자 프로비전할 수 있습니다. 애플리케이션이 SCIM을 지원하거나 레거시 애플리케이션에 연결하기 위해 SCIM 게이트웨이를 빌드한 경우 Microsoft Entra 프로비전 에이전트를 사용하여 애플리케이션에 직접 연결하고 프로비전 및 프로비전 해제를 자동화할 수 있습니다. SCIM을 지원하지 않고 LDAP 사용자 저장소 또는 SQL 데이터베이스를 사용하거나 SOAP 또는 REST API가 있는 레거시 애플리케이션이 있는 경우 Microsoft Entra ID도 이를 지원할 수 있습니다.
자세한 내용은 앱 프로비저닝이란?을 참조하세요.
디렉터리 간 프로비저닝
많은 조직에서 Active Directory와 Microsoft Entra ID를 모두 사용하며, 온-프레미스 파일 서버와 같은 애플리케이션이 Active Directory에 연결되어 있을 수 있습니다.
지금까지 많은 조직에서 HR 기반 프로비저닝을 온-프레미스에 배포했으므로 모든 직원에 대한 사용자 ID가 Active Directory에 이미 있을 수 있습니다. 디렉터리 간 프로비전의 가장 일반적인 시나리오는 이미 Active Directory에 있는 사용자가 Microsoft Entra ID로 프로비전되는 경우입니다. 이 프로비전은 일반적으로 Microsoft Entra Connect 동기화 또는 Microsoft Entra Connect 클라우드 프로비전을 수행됩니다.
Microsoft Entra ID에서 온-프레미스 시스템으로 프로비전하려는 조직도 있을 것입니다. 한 조직이 게스트를 Microsoft Entra 디렉터리로 가져왔는데, 해당 게스트가 앱 프록시를 통해 온-프레미스 WIA(Windows 통합 인증) 기반 웹 애플리케이션에 액세스해야 하는 경우를 예로 들 수 있습니다. 이와 같은 경우 Microsoft Entra ID에서 사용자의 온-프레미스 AD 계정을 프로비전해야 합니다.
자세한 내용은 디렉터리 간 프로비저닝이란?을 참조하세요.