SAP IDM에서 Microsoft Entra로 ID 관리 시나리오 마이그레이션
SAP는 비즈니스 애플리케이션 외에도 SAP Cloud ID 서비스, SAP ID 관리(SAP IDM)를 비롯한 다양한 ID 및 액세스 관리 기술을 제공하여 고객이 SAP 애플리케이션에서 ID를 유지할 수 있도록 지원합니다. 조직에서 온-프레미스를 배포하는 SAP IDM은 SAP R/3 배포를 위해 지금까지 ID 및 액세스 관리를 제공했습니다. SAP는 SAP ID 관리에 대한 최종 유지 관리를 합니다. SAP Identity Management를 사용하던 조직의 경우 Microsoft 및 SAP는 협업하여 해당 조직에서 해당 ID 관리 시나리오를 SAP ID 관리에서 Microsoft Entra로 마이그레이션하기 위한 지침을 개발하고 있습니다.
ID 현대화는 조직의’보안 상태를 개선하고 ID 위협으로부터 사용자와 리소스를 보호하기 위한 중요하고 필수적인 단계입니다. 사용자 환경 개선 및 운영 효율성 최적화와 같은 강력한 보안 태세를 넘어 상당한 이점을 제공할 수 있는 전략적 투자입니다. 많은 조직의 관리자는 ID 및 액세스 관리 시나리오의 중심을 완전히 클라우드로 이동하는 데 관심을 표명했습니다. 일부 조직에는 더 이상 온-프레미스 환경이 없는 반면, 다른 조직은 클라우드 호스팅 ID 및 액세스 관리를 나머지 온-프레미스 애플리케이션, 디렉터리 및 데이터베이스와 통합합니다. ID 서비스에 대한 클라우드 변환에 대한 자세한 내용은 클라우드 변환 태세 및 클라우드로 전환을 참조하세요.
Microsoft Entra는 클라우드 및 온-프레미스 애플리케이션에 액세스하고 모든 플랫폼 및 디바이스에서 공동 작업할 수 있는 단일 ID를 사용자, 파트너 및 고객에게 제공하는 유니버설 클라우드 호스팅 ID 플랫폼을 제공합니다. 이 문서에서는 SAP Identity Management에서 Microsoft Entra 클라우드 호스팅 서비스로 IAM(ID 및 액세스 관리) 시나리오를 이동하기 위한 마이그레이션 옵션 및 접근 방식에 대한 지침을 제공하며, 마이그레이션할 수 있는 새로운 시나리오가 제공되면 업데이트될 예정입니다.
Microsoft Entra 및 SAP 제품 통합 개요
Microsoft Entra는 Microsoft Entra ID(이전의 Azure Active Directory) 및 Microsoft Entra ID 거버넌스를 포함한 제품군입니다. Microsoft Entra ID 직원과 게스트가 리소스에 액세스하는 데 사용할 수 있는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 강력한 인증 및 안전한 적응형 액세스를 제공하고 온-프레미스 레거시 앱 및 수천 개의 SaaS(Software-as-a-Service) 애플리케이션과 통합되어 원활한 최종 사용자 환경을 제공합니다. Microsoft Entra ID 거버넌스 사용자가 액세스해야 하는 앱에서 사용자 ID를 자동으로 설정하고 작업 상태 또는 역할이 변경되면 사용자 ID를 업데이트하고 제거하는 추가 기능을 제공합니다.
Microsoft Entra는 Microsoft Entra 관리 센터, myapps 및 myaccess 포털을 비롯한 사용자 인터페이스를 제공하며, ID 관리 작업 및 위임된 최종 사용자 셀프 서비스를 위한 REST API를 제공합니다. Microsoft Entra ID에는 SuccessFactors, SAP ECC(SAP ERP Central Component) 및 SAP Cloud Identity Services를 통해 S/4HANA 및 기타 여러 SAP 애플리케이션에 대한 프로비저닝 및 Single Sign-On을 제공할 수 있습니다. 이러한 통합에 대한 자세한 내용은 SAP 애플리케이션에 대한 액세스 관리를 참조하세요. 또한 Microsoft Entra는 SAML, SCIM, SOAP 및 OpenID Connect와 같은 표준 프로토콜을 구현하여 Single Sign-On 및 프로비저닝을 위해 더 많은 애플리케이션과 직접 통합합니다. Microsoft Entra에는 Microsoft Entra Connect 클라우드 동기화, Microsoft Entra 클라우드 서비스를 조직의 온-프레미스 애플리케이션, 디렉터리 및 데이터베이스와 연결하는 프로비저닝 에이전트를 포함한 에이전트도 있습니다.
다음 다이어그램에서는 사용자 프로비저닝 및 Single Sign-On에 대한 예제 토폴로지를 보여 줍니다. 이 토폴로지에서 작업자는 SuccessFactors로 표시되며 Windows Server Active Directory 도메인, Microsoft Entra, SAP ECC 및 SAP 클라우드 애플리케이션에 계정이 있어야 합니다. 이 예제에서는 Windows Server AD 도메인이 있는 조직을 보여 줍니다. 그러나 Windows Server AD는 필요하지 않습니다.
Microsoft Entra로 ID 관리 시나리오 마이그레이션 계획
SAP IDM이 도입된 이후 ID 및 액세스 관리 환경은 새로운 애플리케이션 및 새로운 비즈니스 우선 순위로 발전하여 IAM 사용 사례를 해결하는 데 권장되는 접근 방식이 SAP IDM에 대해 이전에 구현된 조직과 다른 경우가 많습니다. 따라서 조직은 시나리오 마이그레이션을 위한 단계적 접근 방식을 계획해야 합니다. 예를 들어 한 조직에서는 최종 사용자 셀프 서비스 암호 재설정 시나리오를 한 단계로 마이그레이션하는 우선 순위를 지정한 다음, 완료되면 프로비전 시나리오를 이동할 수 있습니다. 또 다른 예로, 조직은 먼저 기존 ID 관리 시스템 및 프로덕션 테넌트와 병렬로 작동하는 별도의 스테이징 테넌트에 Microsoft Entra 기능을 배포한 다음, 스테이징 테넌트에서 프로덕션 테넌트로 시나리오에 대한 구성을 하나씩 가져오고 기존 ID 관리 시스템에서 해당 시나리오를 해제하도록 선택할 수 있습니다. 조직에서 시나리오를 이동하기로 선택하는 순서는 전반적인 IT 우선 순위 및 교육 업데이트가 필요한 최종 사용자 또는 애플리케이션 소유자와 같은 다른 이해 관계자에 미치는 영향에 따라 달라집니다. 조직에서는 ID 관리 외부의 다른 시나리오를 온-프레미스 SAP 기술에서 SuccessFactors, S/4HANA 또는 기타 클라우드 서비스로 이동하는 등 다른 IT 현대화와 함께 IAM 시나리오 마이그레이션을 구성할 수도 있습니다. 이 기회를 사용하여 오래된 통합을 정리 및 제거하고, 권한 또는 역할에 액세스하고, 필요한 경우 통합할 수도 있습니다.
마이그레이션 계획을 시작하려면
- IAM 현대화 전략에서 현재 및 계획된 IAM 사용 사례를 식별합니다.
- 이러한 사용 사례의 요구 사항을 분석하고 이러한 요구 사항을 Microsoft Entra 서비스의 기능과 일치합니다.
- 마이그레이션을 지원하기 위한 새로운 Microsoft Entra 기능 구현을 위한 기간 및 관련자를 결정합니다.
- 애플리케이션이 Single Sign-On, ID 수명 주기 및 액세스 수명 주기 컨트롤을 Microsoft Entra로 이동하는 단독형 프로세스를 결정합니다.
SAP IDM 마이그레이션에는 기존 SAP 애플리케이션과의 통합이 포함될 가능성이 높으므로 SAP 원본 및 대상과의 통합 애플리케이션 온보딩 시퀀스를 확인하는 방법 및 애플리케이션이 Microsoft Entra와 통합되는 방법에 대한 지침을 검토합니다.
SAP 애플리케이션과 함께 Microsoft Entra를 배포하기 위한 서비스 및 통합 파트너
파트너는 또한 SAP S/4HANA와 같은 SAP 애플리케이션을 사용하여 Microsoft Entra를 계획하고 배포하는 데 도움을 줄 수 있습니다. 고객은 Microsoft 솔루션 파트너 찾기에 나열된 파트너에 참여하거나 다음 표에 나열된 이러한 서비스 및 통합 파트너 중에서 선택할 수 있습니다. 설명과 링크된 페이지는 파트너가 직접 제공합니다. 설명을 사용하여 문의하고 자세히 알아볼 수 있는 SAP 애플리케이션을 사용하여 Microsoft Entra를 배포하기 위한 파트너를 식별할 수 있습니다.
속성 | 설명 |
---|---|
액센투어와 아바네이드 | "Accenture와 Avanade는 Microsoft Security 및 SAP Services의 글로벌 리더입니다. Microsoft와 SAP 기술의 고유한 조합을 통해 SAP IdM에서 Microsoft Entra ID로의 마이그레이션을 이해하고 성공적으로 계획할 수 있습니다. Avanade 및 Accenture는 배달 자산과 전문 지식을 통해 마이그레이션 프로젝트를 가속화하여 위험을 줄여 목표를 달성하는 데 도움이 될 수 있습니다. Accenture는 대규모 글로벌 기업을 지원하기 위해 고유하게 자리 잡고 있으며, 마이그레이션 과정에서 중견 기업 모두를 지원하는 Avanade’의 깊은 경험을 보완합니다. Microsoft의 광범위한 지식과 경험을 통해 MICROSOFT Entra ID에 대한 투자를 극대화하면서 SAP IdM을 대체하기 위한 여정을 가속화할 수 있습니다." |
Campana & Schott | "Campana & Schott는 유럽과 미국에서 600명 이상의 직원이 근무하는 국제 관리 및 기술 컨설팅 회사입니다. Microsoft는 30년 이상의 프로젝트 관리 및 변환 경험을 Microsoft 기술, IT 전략 및 IT 조직에 대한 심층적인 전문 지식과 결합합니다. Microsoft 클라우드용 Microsoft 솔루션 파트너로서 Microsoft 365, SaaS 애플리케이션 및 레거시 온-프레미스 애플리케이션에 대한 최신 보안을 제공합니다." |
DXC Technology | "DXC 기술은 글로벌 기업이 중요 업무용 시스템과 운영을 실행하는 동시에 IT를 현대화하고, 데이터 아키텍처를 최적화하며, 퍼블릭, 프라이빗 및 하이브리드 클라우드에서 보안 및 확장성을 보장하는 데 도움이 됩니다. Microsoft 및 SAP와의 30년 이상의 글로벌 전략적 파트너십을 통해 DXC는 산업 전반에서 SAP IDM 구현에 풍부한 경험을 보유하고 있습니다." |
Edgile, a Wipro Company | "Wipro Company인 Edgile은 SAP 및 Microsoft 365와 함께 25년간의 전문 지식을 활용하여 소중한 고객을 위한 IDM(ID 및 액세스 관리)을 원활하게 마이그레이션합니다. Microsoft Entra Launch Partner 및 SAP GSSP(Global Strategic Services Partner)는 IAM 현대화 및 변경 관리 분야에서 두각을 나타냅니다. Edgile 및 Wipro 전문가 팀은 고유한 접근 방식을 사용하여 클라이언트에 대한 성공적인 클라우드 ID 및 보안 변환을 보장합니다.” |
IB 솔루션 | "IBsolution은 20년 이상의 실적을 기록한 전 세계에서 가장 경험이 풍부한 SAP ID 관리 컨설팅 중 하나입니다. 전략적 접근 방식과 미리 패키지된 솔루션을 통해 회사는 SAP IdM에서 SAP’의 가장 권장되는 IdM 후속 Microsoft Entra ID 거버넌스로 전환하는 데 고객과 함께 합니다." |
IBM 컨설팅 | "IBM 컨설팅은 Microsoft Security 및 SAP 변환 서비스의 글로벌 리더입니다. Microsoft Entra ID로 클라이언트의 SAP IdM 마이그레이션을 지원할 수 있는 좋은 위치에 있습니다. 사이버 보안, AI 및 SAP 서비스에 대한 심층적인 전문 지식과 함께 대규모 글로벌 엔터프라이즈 클라이언트를 지원하는 데 대한 지식과 경험은 중요한 비즈니스 서비스 및 기능에 대한 중단을 최소화하면서 원활한 전환 여정을 제공하는 데 도움이 됩니다." |
KPMG | "KPMG와 Microsoft는 포괄적인 ID 거버넌스 제안을 제공함으로써 동맹을 더욱 강화합니다. Microsoft Entra 고급 도구와 KPMG Powered Enterprise를 결합하면 ID 거버넌스의 복잡성을 적절하게 탐색함으로써 기능적 변환을 촉진하는 데 도움이 됩니다. 이러한 시너지 효과는 가속화된 디지털 기능을 추진하고, 운영 효율성을 향상시키며, 보안을 강화하고 규정 준수를 보장할 수 있습니다." |
ObjektKultur | "Objektkultur는 오랜 Microsoft 파트너로서 혁신적인 IT 솔루션의 컨설팅, 개발 및 운영을 통해 비즈니스 프로세스를 디지털화합니다. Microsoft Technologies 내에서 ID 및 액세스 관리 솔루션을 구현하고 애플리케이션을 통합한 경험이 풍부한 Microsoft는 고객을 단계별 SAP IDM에서 강력한 Microsoft Entra로 원활하게 안내하여 클라우드에서 안전하고 관리되고 간소화된 ID 및 액세스 관리를 보장합니다." |
Patecco | "PATECCO는 최신 기술을 기반으로 하는 ID 및 액세스 관리 솔루션의 개발, 지원 및 구현을 전문으로 하는 독일 IT 컨설팅 회사입니다. IAM에 대한 높은 전문 지식과 업계 리더와의 파트너십을 통해 은행, 보험, 제약, 에너지, 화학 및 유틸리티를 포함한 다양한 분야의 고객에게 맞춤형 서비스를 제공합니다." |
Protiviti | "Microsoft AI Cloud Solutions 파트너이자 SAP 골드 파트너로서 Microsoft 및 SAP 솔루션에 대한 Protiviti’의 전문 지식은 업계에서 타의 추종을 불허합니다. 강력한 파트너십을 통해 고객은 중앙 집중식 ID 관리 및 역할 거버넌스를 위한 포괄적인 솔루션을 제공할 수 있습니다." |
PwC | "PwC의 ID 및 액세스 관리 서비스는 SAP IDM에 배포된 기존 기능을 평가하고 Microsoft Entra ID 거버넌스를 사용하여 대상 미래 상태 및 비전을 전략화하고 계획하는 데 도움을 주는 등 모든 기능 단계에서 도움이 될 수 있습니다. PwC는 라이브 전환 후 관리 서비스로 환경을 지원하고 운영할 수도 있습니다." |
SAP | SAP 컨설팅 팀은 SAP IDM의 설계 및 구현에 대한 광범위한 경험을 통해 SAP IDM에서 Microsoft Entra로 마이그레이션하는 데 포괄적인 전문 지식을 제공합니다. SAP 개발에 대한 강력하고 직접적인 연결을 통해 고객 요구 사항을 주도하고 혁신적인 아이디어를 구현할 수 있습니다. Microsoft Entra와 통합한 경험을 통해 사용자 지정된 솔루션을 제공할 수 있습니다. 또한 SAP Cloud Identity Services를 처리하고 SAP를 비 SAP 클라우드 제품과 통합하는 모범 사례가 있습니다. Microsoft의 전문 지식을 신뢰하고 SAP 컨설팅 팀이 Microsoft Entra ID로 마이그레이션할 수 있도록 지원해 주세요." |
SITS | "DACH 지역의 선도적인 사이버 보안 공급자인 SITS는 최상위 계층 컨설팅, 엔지니어링, 클라우드 기술 및 관리되는 서비스를 사용하는 고객을 지원합니다. 보안, 최신 작업 및 Azure 인프라를 위한 Microsoft 솔루션 파트너로서 보안, 규정 준수, ID 및 개인 정보 보호와 관련된 컨설팅, 구현, 지원 및 관리되는 서비스를 고객에게 제공합니다." |
Traxion | "SITS 그룹의 일부인 Traxion은 BeNeLux 지역에서 작동합니다. Traxion은 160명의 직원과 24년 이상의 전문 지식을 갖춘 IT 보안 회사로 ID 관리 솔루션을 전문으로 합니다. Microsoft 파트너는 최고 계층 IAM 권고, 구현 및 지원 서비스를 제공하여 강력하고 오래 지속되는 클라이언트 관계를 보장합니다." |
각 SAP IDM 시나리오에 대한 마이그레이션 지침
다음 섹션에서는 각 SAP IDM 시나리오를 Microsoft Entra로 마이그레이션하는 방법에 대한 지침에 대한 링크를 제공합니다. 조직에서 배포한 SAP IDM 시나리오에 따라 모든 섹션이 각 조직과 관련이 있는 것은 아닙니다.
SAP AC(Sap Access Control) 및 SAP IAG(Cloud Identity Access Governance)와의 Microsoft Entra 통합을 포함하여 더 많은 마이그레이션 및 순 새로운 시나리오를 차단 해제하기 위해 두 제품의 기능이 계속 진화함에 따라 이 문서, Microsoft Entra 제품 설명서 및 해당 SAP 제품 설명서를 모니터링해야 합니다.
SAP IDM 시나리오 | Microsoft Entra에 대한 지침 |
---|---|
SAP IDM ID 저장소 | Id 저장소를 Microsoft Entra ID 테넌트를 마이그레이션하고 기존 IAM 데이터를 Microsoft Entra ID 테넌트를 마이그레이션할 수 있습니다. |
SAP IDM의 사용자 관리 | 사용자 관리 시나리오 마이그레이션 |
SAP SuccessFactors 및 기타 HR 원본 | SAP HR 원본 통합 |
애플리케이션에서 Single Sign-On에 대한 ID 프로비전 | SAP 시스템으로 프로비전, 비 SAP 시스템 프로비전 및 마이그레이션 인증 및 Single Sign-On |
최종 사용자 셀프 서비스 | 최종 사용자 셀프 서비스 마이그레이션 |
역할 할당 및 액세스 할당 | 액세스 수명 주기 관리 시나리오 마이그레이션 |
보고 | 보고 Microsoft Entra 사용 |
ID 페더레이션 | 조직 경계를 넘어 ID 정보를 교환하는 마이그레이션 |
디렉터리 서버 | 디렉터리 서비스가 필요한 애플리케이션 마이그레이션 |
확장 | 통합 인터페이스를 통해 Microsoft Entra 확장 |
Id 저장소를 Microsoft Entra ID 테넌트로 마이그레이션
SAP IDM에서 ID 저장소는 사용자, 그룹 및 감사 내역을 포함한 ID 정보의 리포지토리입니다. Microsoft Entra에서 테넌트 사용자, 그룹 및 디바이스와 같은 조직 개체를 포함하여 단일 조직에 대한 정보가 상주하는 Microsoft Entra ID의 인스턴스입니다. 테넌트는 디렉터리에 등록된 애플리케이션과 같은 리소스에 대한 액세스 및 규정 준수 정책도 포함합니다. 테넌트에서 제공하는 기본 기능에는 ID 인증과 리소스 액세스 관리가 포함됩니다. 테넌트는 권한 있는 조직 데이터를 포함하며 다른 테넌트와 안전하게 격리됩니다. 또한 특정 지역 또는 클라우드에서 조직의 데이터를 유지 및 처리하도록 테넌트를 구성할 수 있으므로 조직에서 테넌트를 데이터 상주 및 규정 준수 요구 사항을 처리하는 메커니즘으로 사용할 수 있습니다.
Microsoft 365, Microsoft Azure 또는 기타 Microsoft Online Services가 있는 조직에는 해당 서비스의 근간이 되는 Microsoft Entra ID 테넌트가 이미 있습니다. 또한 조직에는 특정 애플리케이션이 있고 해당 애플리케이션에 적용되는 PCI-DSS와 같은 표준을 충족하도록 구성된 테넌트와 같은 추가 테넌트가 있을 수 있습니다. 기존 테넌트가 적합한지 여부를 확인하는 방법에 대한 자세한 내용은 여러 테넌트가 있는 리소스 격리를 참조하세요. 조직에 아직 테넌트가 없는 경우 Microsoft Entra 배포 계획을 검토합니다.
시나리오를 Microsoft Entra 테넌트로 마이그레이션하기 전에 단계별 지침을 검토하여 다음을 수행해야 합니다.
- 애플리케이션에 액세스하기 위한 사용자 필수 구성 요소 및 기타 제약 조건으로 조직의 정책을 정의합니다
- 프로비전 및 인증 토폴로지를 결정합니다. SAP IDM ID 수명 주기 관리, 단일 Microsoft Entra ID 테넌트는 프로비전 및 Single Sign-On을 위해 여러 클라우드 및 온-프레미스 애플리케이션에 연결할 수 있습니다.
- 사용하려는 기능에 대해 해당 테넌트에 적절한 Microsoft Entra 라이선스를 포함하여 해당 테넌트에서 조직의 필수 구성 요소가 충족되는지 확인합니다.
기존 IAM 데이터를 Microsoft Entra ID 테넌트로 마이그레이션
SAP IDM에서 ID 저장소는 MX_PERSON
, MX_ROLE
또는 MX_PRIVILEGE
같은 항목 형식을 통해 ID 데이터를 나타냅니다.
사용자는 Microsoft Entra ID 테넌트에 사용자로 표시됩니다. 아직 Microsoft Entra ID에 가입되어 있지 않은 기존 사용자가 있는 경우 Microsoft Entra ID로 가져올 수 있습니다. 먼저, Microsoft Entra ID 스키마의 일부가 아닌 기존 사용자에 대한 특성이 있는 경우 추가 특성에 대한 확장 특성을 사용하여 Microsoft Entra 사용자 스키마를 확장합니다. 그런 다음 CSV 파일과 같은 원본에서 Microsoft Entra ID에 사용자를 대량으로 만들기 위한 업로드를 수행합니다. 그런 다음 Microsoft Entra ID에 인증할 수 있도록 새 사용자에게 자격 증명을 발급합니다.
비즈니스 역할은 Microsoft Entra ID 거버넌스에서 권한 관리 액세스 패키지로 나타낼 수 있습니다. 조직 역할 모델을 Microsoft Entra ID 거버넌스 마이그레이션하여 애플리케이션에 대한 액세스를 제어할 수 있습니다. 그러면 각 비즈니스 역할에 대한 액세스 패키지가 생성됩니다. 마이그레이션 프로세스를 자동화하려면 PowerShell을 사용하여 액세스 패키지를 만들 수 있습니다.
대상 시스템의 권한 또는 기술 역할은 Microsoft Entra ID 데이터를 권한 부여에 사용하는 방법에 대한 대상 시스템의 요구 사항에 따라 Microsoft Entra에서 앱 역할 또는 보안 그룹으로 나타낼 수 있습니다. 자세한 내용은 애플리케이션을 Microsoft Entra ID와 통합하고 검토된 액세스 기준을 설정하는 기준선을 참조하세요.
동적 그룹에는 Microsoft Entra에서 별도의 가능한 표현이 있습니다. Microsoft Entra에서는 Microsoft Entra ID 동적 멤버 자격 그룹 또는 액세스 패키지 자동 할당 정책으로 Microsoft Entra ID Governance 권한 관리를 사용하여 특정 값의 비용 센터 특성을 가진 모든 사용자 등의 사용자 컬렉션을 자동으로 유지 관리할 수 있습니다. PowerShell cmdlet을 사용하여 동적 멤버 자격 그룹을 만들거나 자동 할당 정책을 일괄적으로 만들 수 있습니다.
사용자 관리 시나리오 마이그레이션
관리자는 Microsoft Entra 관리 센터, Microsoft Graph API 및 PowerShell을 통해 사용자 만들기, 사용자 로그인 차단, 그룹에 사용자 추가 또는 사용자 삭제 등 일상적인 ID 관리 활동을 쉽게 수행할 수 있습니다.
대규모 작업을 사용하도록 설정하기 위해 Microsoft Entra를 사용하면 조직에서 ID 수명 주기 프로세스를 자동화할 수 있습니다.
Microsoft Entra ID 및 Microsoft Entra ID 거버넌스에서 다음을 사용하여 ID 수명 주기 프로세스를 자동화할 수 있습니다.
- 조직의 HR 원본에서 인바운드 프로비전은 Workday 및 SuccessFactors에서 작업자 정보를 검색하여 Active Directory와 Microsoft Entra ID 모두에서 사용자 ID를 자동으로 유지 관리합니다.
- Active Directory에 이미 있는 사용자는 디렉터리 간 프로비전을 사용하여 Microsoft Entra ID에서 자동으로 만들고 유지 관리할 수 있습니다.
- Microsoft Entra ID 거버넌스 수명 주기 워크플로는 새 직원이 조직에서 작업을 시작하도록 예약되기 전, 조직에서 근무하는 동안 상태를 변경하고 조직을 떠날 때와 같이 특정 주요 이벤트에서 실행되는 워크플로 작업을 자동화할 수 있습니다. 예를 들어 새 사용자의 관리자에게 임시 액세스 패스가 포함된 이메일을 보내거나 첫 날 사용자에게 환영 이메일을 보내도록 워크플로를 구성할 수 있습니다.
- 권한 관리의 자동 할당 정책을 사용하여 사용자의 특성 변경에 따라 사용자의 동적 멤버 자격 그룹, 애플리케이션 역할 및 SharePoint 사이트 역할을 추가 및 제거합니다. 사용자는 요청에 따라 그룹, Teams, Microsoft Entra 역할, Azure 리소스 역할 및 SharePoint Online 사이트에 할당할 수 있으며, 액세스 수명 주기 관리 섹션에 표시된 것처럼 권한 관리 및 Privileged Identity Management를 사용할 수 있습니다.
- 사용자가 올바른 동적 멤버 자격 그룹 및 앱 역할 할당을 통해 Microsoft Entra ID에 있으면 사용자 프로비저닝을 통해 SCIM, LDAP 및 SQL을 통해 수백 개의 클라우드 및 온-프레미스 애플리케이션에 대한 커넥터를 사용하여 다른 애플리케이션에서 사용자 계정을 만들고, 업데이트하고, 제거할 수 있습니다.
- 게스트 수명 주기의 경우 권한 관리에서 사용자가 조직의 리소스에 대한 액세스를 요청할 수 있는 다른 조직을 지정할 수 있습니다. 해당 사용자의 요청 중 하나가 승인되면 권한 관리에서 자동으로 해당 사용자를 B2B 게스트로 조직의 디렉터리에 추가하고 적절한 액세스를 할당합니다. 또한 권한 관리는 액세스 권한이 만료되거나 해지될 때 조직의 디렉터리에서 B2B 게스트 사용자를 자동으로 제거합니다.
- 액세스 검토는 조직의 디렉터리에 이미 있는 기존 게스트에 대한 되풀이 검토를 자동화하고 더 이상 액세스가 필요하지 않은 사용자를 조직의 디렉터리에서 제거합니다.
다른 IAM 제품에서 마이그레이션할 때 Microsoft Entra의 IAM 개념 구현은 다른 IAM 제품의 이러한 개념 구현과 다를 수 있습니다. 예를 들어 조직에서는 신입 직원 온보딩과 같은 수명 주기 이벤트에 대한 비즈니스 프로세스를 표현할 수 있으며, 일부 IAM 제품은 워크플로 기반의 워크플로를 통해 이를 구현했습니다. 반면 Microsoft Entra에는 많은 자동화 프로시저가 기본 제공되어 있으며 대부분의 ID 관리 자동화 작업에 대해 워크플로를 정의할 필요가 없습니다. 예를 들어 SuccessFactors와 같은 HR 레코드 시스템에서 새 작업자가 검색되면 Microsoft Entra는 Windows Server AD, Microsoft Entra ID에서 해당 새 작업자에 대한 사용자 계정을 자동으로 만들고, 애플리케이션에 프로비전하고, 그룹에 추가하고, 적절한 라이선스를 할당하도록 Microsoft Entra를 구성할 수 있습니다. 마찬가지로 액세스 요청 승인 처리에는 워크플로를 정의할 필요가 없습니다. Microsoft Entra에서 워크플로는 다음과 같은 경우에만 필요합니다.
- 워크플로는 작업자의 조인/이동/나가기 프로세스에서 사용할 수 있으며, Microsoft Entra 수명 주기 워크플로 기본 제공 작업을 사용할 수 있습니다. 예를 들어 관리자는 새 작업자에 대한 임시 액세스 패스가 있는 전자 메일을 보내는 작업을 사용하여 워크플로를 정의할 수 있습니다. 관리자는 조인, 이동 및 나가기 워크플로 중에 Azure Logic Apps에 수명 주기 워크플로의 설명선도 추가할 수 있습니다.
- 워크플로는 액세스 요청 및 액세스 할당 프로세스의 단계를 추가하는 데 사용할 수 있습니다. 다단계 승인, 의무 분리 검사 및 만료 단계는 Microsoft Entra 권한 관리에서 이미 구현되어 있습니다. 관리자는 Azure Logic Apps 워크플로에 대한 액세스 패키지 할당 요청 처리, 할당 부여 및 할당 제거 중에 권한 관리 설명서를 정의할 수 있습니다.
SAP HR 원본과 통합
SAP SuccessFactors가 있는 조직은 SAP IDM을 사용하여 SAP SUccessFactors에서 직원 데이터를 가져올 수 있습니다. SAP SuccessFactors를 사용하는 조직은 Microsoft Entra ID 커넥터를 사용하여 SuccessFactors에서 Microsoft Entra ID로 또는 SuccessFactors에서 온-프레미스 Active Directory로 직원의 ID를 쉽게 마이그레이션할 수 있습니다. 커넥터는 다음 시나리오를 지원합니다.
- 신규 직원 채용: SuccessFactors에 신규 직원이 추가되면 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS(서비스 제공 소프트웨어) 애플리케이션에서 자동으로 만들어집니다.
- 직원 특성 및 프로필 업데이트: SuccessFactors(예: 이름, 직위 또는 관리자)에서 직원 기록이 업데이트되면 직원의 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션에서 자동으로 업데이트됩니다.
- 직원 해고: 직원이 SuccessFactors에서 퇴사하면 직원의 사용자 계정은 Microsoft Entra ID에서 자동으로 사용하지 않도록 설정되며 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션도 사용하지 않도록 설정됩니다.
- 직원 재고용: 직원이 SuccessFactors에서 재고용되면 직원의 이전 계정은 Microsoft Entra ID 및 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션에 자동으로 다시 활성화되거나 다시 프로비전될 수 있습니다(기본 설정에 따라).
이메일 주소와 같은 Microsoft Entra ID에서 SAP SuccessFactors 속성으로 쓰기 저장할 수도 있습니다.
Windows Server AD 또는 Microsoft Entra ID에서 적절한 자격 증명으로 새 사용자를 설정하는 등 SAP SuccessFactors를 원본으로 사용하는 ID 수명 주기에 대한 단계별 지침은 SAP 원본 및 대상 애플리케이션을 사용하여 사용자 프로비저닝을 위해 Microsoft Entra를 배포하는 계획을 참조하세요.
일부 조직에서는 SAP IDM을 사용하여 SAP HCM(Human Capital Management)을 읽어 들이기도 했습니다. SAP SuccessFactors와 SAP HCM(Human Capital Management)을 모두 사용하는 조직은 ID를 Microsoft Entra ID로 가져올 수도 있습니다. SAP Integration Suite를 사용하면 SAP HCM과 SAP SuccessFactors 간에 작업자 목록을 동기화할 수 있습니다. 여기에서 ID를 Microsoft Entra ID로 직접 가져오거나 앞서 언급한 네이티브 프로비전 통합을 사용하여 Active Directory Domain Services에 프로비전할 수 있습니다.
SuccessFactors 또는 SAP HCM 외에 다른 레코드 원본 시스템이 있는 경우 Microsoft Entra 인바운드 프로비저닝 API를 사용하여 해당 레코드 시스템의 작업자를 Windows Server 또는 Microsoft Entra ID의 사용자로 가져올 수 있습니다.
SAP 시스템에 프로비전
SAP IDM을 사용하는 대부분의 조직은 SAP ECC, SAP IAS, SAP S/4HANA 또는 기타 SAP 애플리케이션에 사용자를 프로비전하는 데 사용합니다. Microsoft Entra에는 SAP ECC, SAP Cloud Identity Services 및 SAP SuccessFactors에 대한 커넥터가 있습니다. SAP S/4HANA 또는 다른 애플리케이션으로 프로비전하려면 사용자가 먼저 Microsoft Entra ID에 있어야 합니다. Microsoft Entra ID에 사용자가 있으면 해당 사용자를 Microsoft Entra ID에서 SAP Cloud Identity Services 또는 SAP ECC로 프로비전하여 SAP 애플리케이션에 로그인할 수 있도록 할 수 있습니다. SAP Cloud Identity Services는 SAP Cloud Identity Directory에 있는 Microsoft Entra ID에서 시작된 사용자를 SAP 클라우드 커넥터, AS ABAP 등을 통한 SAP S/4HANA Cloud
및 SAP S/4HANA On-premise
를 포함하여 다운스트림 SAP 애플리케이션에 프로비전합니다.
SAP 애플리케이션을 대상으로 하는 ID 수명 주기에 대한 단계별 지침은 SAP 원본 및 대상 애플리케이션을 사용하여 사용자 프로비저닝을 위해 Microsoft Entra를 배포하는 계획을 참조하세요.
SAP Cloud Identity Services와 통합된 SAP 애플리케이션에 사용자를 프로비저닝할 준비를 하려면 SAP Cloud Identity Services에 해당 애플리케이션에 필요한 스키마 매핑 및 Microsoft Entra ID에서 SAP Cloud Identity Services 사용자를 프로비전이 있는지 확인합니다. SAP Cloud Identity Services는 필요에 따라 사용자를 다운스트림 SAP 애플리케이션에 프로비전합니다. 그런 다음 SuccessFactors의 HR 인바운드를 사용하여 직원이 가입, 이동 및 퇴사할 때 Microsoft Entra ID의 사용자 목록을 최신 상태로 유지할 수 있습니다. 테넌트에 Microsoft Entra ID 거버넌스에 대한 라이선스가 있는 경우 SAP Cloud Identity Services용 Microsoft Entra ID에서 애플리케이션 역할 할당에 대한 변경 내용을 자동화 할 수 있습니다. 프로비전하기 전에 업무 분리 및 기타 규정 준수 검사를 수행하는 방법에 대한 자세한 내용은 액세스 수명 주기 관리 시나리오 마이그레이션을 참조하세요.
SAP ECC에 사용자를 프로비전하는 방법에 대한 지침은 MICROSOFT Entra가 ID 관리에 사용할 수 있도록 SAP ECC에 필요한 BAPI(비즈니스 API) 준비가 되었는지 확인한 다음, Microsoft Entra ID에서 SAP ECC 사용자를 프로비전할 준비가 되었는지 확인합니다.
SAP SuccessFactor 작업자 레코드를 업데이트하는 방법에 대한 지침은 Microsoft Entra ID에서 SAP SuccessFactors 쓰기를 참조하세요.
Windows Server Active Directory와 함께 Java용 SAP NetWeaver AS를 데이터 원본으로 사용하는 경우 Microsoft Entra SuccessFactors 인바운드를 사용하여 Windows Server AD 사용자를 자동으로 만들고 업데이트하는 데이용될 수 있습니다.
Java용 SAP NetWeaver AS를 다른 LDAP 디렉터리를 데이터 원본으로 사용하는 경우 Microsoft Entra ID를 구성하여 사용자를 LDAP 디렉터리로 프로비전할 수 있습니다.
SAP 애플리케이션에 대한 사용자 프로비저닝을 구성한 후에는 해당 애플리케이션에 대해 Single Sign-On을 사용하도록 설정해야 합니다. Microsoft Entra ID는 SAP 애플리케이션의 ID 공급자 및 인증 기관 역할을 할 수 있습니다. Microsoft Entra ID는 SAML 또는 OAuth를 사용하여 SAP NetWeaver와 통합할 수 있습니다. SAP SaaS 및 최신 앱에 대한 Single Sign-On을 구성하는 방법에 대한 자세한 내용은 SSO를 사용하도록 설정을 참조하세요.
비 SAP 시스템에 프로비전
조직에서는 SAP IDM을 사용하여 Windows Server AD 및 기타 데이터베이스, 디렉터리 및 애플리케이션을 포함하여 비 SAP 시스템 사용자를 프로비전할 수도 있습니다. 이러한 시나리오를 Microsoft Entra ID로 마이그레이션하여 Microsoft Entra ID가 해당 사용자의 복사본을 해당 리포지토리에 프로비전하도록 할 수 있습니다.
Windows Server AD를 사용하는 조직의 경우 조직에서 SAP IDM이 SAP R/3으로 가져올 사용자 및 그룹의 원본으로 Windows Server AD를 사용했을 수 있습니다. Microsoft Entra Connect 동기화 또는 Microsoft Entra Cloud Sync를 사용하여 Windows Server AD의 사용자 및 그룹을 Microsoft Entra ID로 가져올 수 있습니다. 또한 Microsoft Entra SuccessFactors 인바운드를 사용하여 Windows Server AD 사용자를 자동으로 만들고 업데이트할 수 있으며, AD 기반 애플리케이션에서 사용하는 AD 그룹의 멤버 자격을 관리할 수 있습니다. Exchange Online 사서함은 그룹 기반 라이선스를 사용하여 라이선스 할당을 통해 사용자를 위해 자동으로 만들 수 있습니다.
애플리케이션이 다른 디렉터리에 의존하는 조직의 경우 Microsoft Entra ID를 구성하여 OpenLDAP, Microsoft Active Directory Lightweight Directory Services, 389 디렉터리 서버, Apache Directory Server, IBM Tivoli DS, Isode Directory, NetIQ eDirectory, Novell eDirectory, Open DJ, Open DS, Oracle(이전의 Sun ONE) 디렉터리 서버 Enterprise Edition 및 및 RadiantOne VDS(가상 디렉터리 서버)를 포함하여 LDAP 디렉터리로 사용자를 프로비전할 수 있습니다. Microsoft Entra ID의 사용자 특성을 해당 디렉터리의 사용자 특성에 매핑하고 필요한 경우 초기 암호를 설정할 수 있습니다.
SQL 데이터베이스를 사용하는 애플리케이션이 있는 조직의 경우 Microsoft Entra ID를 구성하여 데이터베이스의 ODBC 드라이버를 통해 SQL 데이터베이스 사용자를 프로비전할 수 있습니다. 지원되는 데이터베이스에는 Microsoft SQL Server, Azure SQL, IBM DB2 9.x, IBM DB2 10.x, IBM DB2 11.5, Oracle 10g 및 11g, Oracle 12c 및 18c, MySQL 5.x, MySQL 8.x 및 Postgres가 포함됩니다. Microsoft Entra ID의 사용자 특성을 해당 데이터베이스의 테이블 열 또는 저장 프로시저 매개 변수에 매핑할 수 있습니다. SAP HANA의 경우 SAP Cloud Identity Services SAP HANA Database Connector(베타)를 참조하세요.
SAP IDM에서 프로비저닝된 비 AD 디렉터리 또는 데이터베이스에 기존 사용자가 있고 Microsoft Entra ID에 아직 없고 SAP SuccessFactors 또는 기타 HR 원본의 작업자와 상관 관계를 지정할 수 없는 경우 해당 사용자를 Microsoft Entra ID로 가져오는 방법에 대한 지침은 애플리케이션의 기존 사용자를 제어하는 방법을 참조하세요.
Microsoft Entra에는 수백 개의 SaaS 애플리케이션과 기본 제공 프로비전 통합이 있습니다. 프로비저닝을 지원하는 애플리케이션의 전체 목록은 Microsoft Entra ID 거버넌스 통합을 참조하세요. 또한 Microsoft 파트너는 추가 특수 애플리케이션과 파트너 기반 통합을 제공합니다.
다른 사내 개발 애플리케이션의 경우 Microsoft Entra는 SCIM을 통해 클라우드 애플리케이션 및 SCIM, SOAP 또는 REST, PowerShell 또는 ECMA API구현하는 파트너가 제공하는 커넥터를 통해 온-프레미스 애플리케이션에 프로비전할 수 있습니다. 이전에 SAP IDM에서 프로비저닝에 SPML을 사용한 경우 최신 SCIM 프로토콜을 지원하도록 애플리케이션을 업데이트하는 것이 좋습니다.
프로비저닝 인터페이스가 없는 애플리케이션의 경우 Microsoft Entra ID 거버넌스 기능을 사용하여 ServiceNow 티켓 만들기를 자동화하여 사용자가 액세스 패키지에 할당되거나 액세스 패키지에 대한 액세스 권한을 상실할 때 애플리케이션 소유자에게 티켓을 할당하는 것이 좋습니다.
인증 및 Single Sign-On 마이그레이션
Microsoft Entra ID는 사용자가 다단계 및 암호 없는 인증을 사용하여 Microsoft Entra ID를 인증한 다음 모든 애플리케이션에 Single Sign-On을 할 수 있도록 하는 보안 토큰 서비스 역할을 합니다. Microsoft Entra ID Single Sign-On은 SAML, OpenID Connect 및 Kerberos를 포함한 표준 프로토콜을 사용합니다. SAP 클라우드 애플리케이션에 대한 Single Sign-On에 대한 자세한 내용은 SAP Cloud Identity Services Microsoft Entra Single Sign-On 통합을 참조하세요.
사용자에 대한 Windows Server AD와 같은 기존 ID 공급자가 있는 조직은 하이브리드 ID 인증을 구성하여 Microsoft Entra ID가 기존 ID 공급자를 사용할 수 있도록 할 수 있습니다. 통합 패턴에 대한 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션 적합한 인증 방법 선택을 참조하세요.
온-프레미스 SAP 시스템이 있는 경우 Microsoft Entra Private Access의 글로벌 보안 액세스 클라이언트를 사용하여 조직의 사용자가 해당 시스템에 연결하는 방법을 현대화할 수 있습니다. 원격 작업자는 글로벌 보안 액세스 클라이언트가 설치된 경우 VPN을 사용하여 해당 리소스에 액세스할 필요가 없습니다. 클라이언트가 필요한 리소스에 조용하고 원활하게 연결합니다. 자세한 내용은 Microsoft Entra Private Access를 참조하세요.
최종 사용자 셀프 서비스 마이그레이션
조직에서는 SAP IDM 로그온 도움말을 사용하여 최종 사용자가 Windows Server AD 암호를 재설정할 수 있도록 했을 수 있습니다.
Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하면 관리자 또는 지원 센터 개입 없이도 암호를 변경하거나 재설정할 수 있습니다. Microsoft Entra SSPR이 구성되면 사용자가 로그인할 때 등록하도록 할 수 있습니다. 그런 다음 사용자의 계정이 잠겨 있거나 암호를 잊어버린 경우 프롬프트에 따라 스스로 차단을 해제하고 다시 작업할 수 있습니다. 사용자가 클라우드에서 SSPR을 사용하여 암호를 변경하거나 재설정하는 경우 업데이트된 암호를 온-프레미스 AD DS 환경에 다시 쓸 수도 있습니다. SSPR 작동 방식에 대한 자세한 내용은 Microsoft Entra 셀프 서비스 암호 재설정을 참조하세요. Microsoft Entra ID 및 Windows Server AD 외에도 다른 온-프레미스 시스템에 암호 변경 내용을 보내야 하는 경우 MIM(Microsoft Identity Manager)과 함께 PCNS(암호 변경 알림 서비스)와 같은 도구를 사용하여 이 작업을 수행할 수 있습니다. 이 시나리오에 대한 정보를 찾으려면 MIM 암호 변경 알림 서비스 배포 문서를 참조하세요.
Microsoft Entra는 그룹 관리 및 셀프 서비스 액세스 요청, 승인 및 검토를 위한 최종 사용자 셀프 서비스도 지원합니다. Microsoft Entra ID 거버넌스를 통한 셀프 서비스 액세스 관리에 대한 자세한 내용은 액세스 수명 주기 관리 다음 섹션을 참조하세요.
액세스 수명 주기 관리 시나리오 마이그레이션
조직은 액세스 승인, 위험 평가, 업무 검사 분리 및 기타 작업을 위해 SAP IDM을 SAP AC, 이전의 SAP GRC 또는 SAP IAG와 통합했을 수 있습니다.
Microsoft Entra에는 조직에서 ID 및 액세스 관리 시나리오를 클라우드로 가져올 수 있도록 하는 여러 액세스 수명 주기 관리 기술이 포함되어 있습니다. 기술 선택은 조직의 애플리케이션 요구 사항 및 Microsoft Entra 라이선스에 따라 달라집니다.
Microsoft Entra ID 보안 그룹 관리를 통한 액세스 관리. 기존의 Windows Server AD 기반 애플리케이션은 권한 부여를 위해 보안 그룹의 멤버 자격을 확인하는 데 의존했습니다. Microsoft Entra는 SAML 클레임, 프로비전 또는 Windows Server AD에 그룹 쓰기를 통해 애플리케이션에 동적 멤버 자격 그룹을 사용할 수 있도록 합니다. SAP Cloud Identity Services는 Graph를 통해 Microsoft Entra ID에서 그룹을 읽고 해당 그룹을 다른 SAP 애플리케이션에 프로비전할 수 있습니다.
Microsoft Entra에서 관리자는 동적 멤버 자격 그룹을 관리하고, 동적 멤버 자격 그룹에 대한 액세스 검토를 만들고, 셀프 서비스 그룹 관리를 활성화할 수 있습니다. 셀프 서비스를 통해 그룹 소유자는 멤버 자격 요청을 승인하거나 거부하고 동적 멤버 자격 그룹에 대한 제어 권한을 위임할 수 있습니다. 그룹 PIM(Privileged Identity Management)을 사용하여 그룹의 Just-In-Time 멤버 자격 또는 그룹의 Just-In-Time 소유권을 관리할 수도 있습니다.
권한 관리 액세스 패키지를 통한 액세스 관리.. 권한 관리는 조직이 액세스 요청 및 승인 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있도록 하는 ID 거버넌스 기능입니다. 권한 관리는 그룹, 애플리케이션 역할 할당을 사용하거나 Azure Logic Apps용 커넥터가 있는 애플리케이션에 대한 세분화된 액세스 할당에 사용할 수 있습니다.
권한 관리를 통해 조직은 액세스 패키지라는 표준화된 액세스 권한 컬렉션을 사용하여 사용자가 여러 리소스에 액세스 권한을 할당하는 방법에 대한 사례를 구현할 수 있습니다. 각 액세스 패키지는 그룹에 대한 멤버 자격, 애플리케이션 역할에 할당 또는 SharePoint Online 사이트의 멤버 자격을 부여합니다. 액세스 패키지는 하나 이상의 애플리케이션 전반에 걸쳐 기술적 역할이나 권한을 통합하는 비즈니스 역할을 나타내는 데 사용할 수 있습니다. 사용자가 부서 또는 비용 센터와 같은 사용자 속성을 기반으로 액세스 패키지 할당을 자동으로 받도록 권한 관리를 구성할 수 있습니다. 사용자가 참가하고 나갈 때 할당을 추가하거나 제거하도록 수명 주기 워크플로를 구성할 수도 있습니다. 또한 관리자는 사용자에게 액세스 패키지에 대한 할당을 요청할 수 있으며, 사용자는 액세스 패키지 자체를 요청하도록 요청할 수도 있습니다. 사용자가 요청할 수 있는 액세스 패키지는 사용자의 보안 동적 멤버 자격 그룹에 따라 결정됩니다. 사용자는 즉시 필요한 액세스를 요청하거나 나중에 액세스를 요청할 수 있으며 시간 또는 일의 시간 제한을 지정할 수 있으며 질문에 대한 답변을 포함하거나 추가 특성에 대한 값을 제공할 수 있습니다. 자동 승인을 위해 요청을 구성하거나 승인자가 사용할 수 없거나 응답하지 않는 경우 에스컬레이션 승인자와 함께 관리자, 역할 소유자 또는 기타 승인자의 여러 승인 단계를 진행할 수 있습니다. 승인되면 요청자에게 액세스 권한이 할당되었다는 알림이 표시됩니다. 액세스 패키지에 대한 할당은 시간 제한이 있을 수 있으며 관리자, 리소스 소유자 또는 기타 승인자가 지속적인 액세스에 대한 사용자의 요구 사항을 정기적으로 재인증하거나 다시 테스트하도록 되풀이 액세스 검토를 구성할 수 있습니다. 역할 모델에 표시되는 권한 부여 정책을 권한 부여 관리로 마이그레이션하는 방법에 대한 자세한 내용은 조직 역할 모델 마이그레이션을 참조하세요. 마이그레이션 프로세스를 자동화하려면 PowerShell을 사용하여 액세스 패키지를 만들 수 있습니다.
권한 관리 및 외부 GRC 제품을 통한 액세스 관리. SAP 액세스 거버넌스, Pathlock 및 기타 파트너 제품에 대한 Microsoft Entra 통합을 통해 고객은 Microsoft Entra ID 거버넌스의 액세스 패키지와 함께 해당 제품에 적용되는 추가 위험 및 세분화된 업무 분리 검사를 활용할 수 있습니다.
보고에 Microsoft Entra 사용
Microsoft Entra에는 감사, 로그인 및 프로비저닝 로그 데이터를 기반으로 Azure Monitor에 표시되는 통합 문서뿐만 아니라 기본 제공 보고서가 포함되어 있습니다. Microsoft Entra에서 사용할 수 있는 보고 옵션은 다음과 같습니다.
- 로그인 데이터에 대한 애플리케이션 중심 보기의 사용량 및 인사이트 보고서를 포함하여 관리 센터의 Microsoft Entra 기본 제공 보고서입니다. 이러한 보고서를 사용하여 비정상적인 계정 생성 및 삭제 및 비정상적인 계정 사용을 모니터링할 수 있습니다.
- Microsoft Entra 관리 센터에서 사용자 고유의 보고서를 생성하는 데 사용할 데이터를 내보낼 수 있습니다. 예를 들어 Microsoft Entra 관리 센터에서 사용자 및 해당 특성 목록 다운로드 또는 로그 다운로드(프로비저닝 로그 포함)를 할 수 있습니다.
- Microsoft Graph를 쿼리하여 보고서에서 사용할 데이터를 가져올 수 있습니다. 예를 들어 Microsoft Entra ID 비활성 사용자 계정 목록을 검색할 수 있습니다.
- Microsoft Graph API 위에 있는 PowerShell cmdlet을 사용하여 보고에 적합한 콘텐츠를 내보내고 재구성할 수 있습니다. 예를 들어 Microsoft Entra 권한 관리 액세스 패키지를 사용하는 경우 PowerShell 액세스 패키지에 대한 할당 목록을 검색할 수 있습니다.
- 사용자 또는 그룹과 같은 개체 컬렉션을 Microsoft Entra에서 Azure Data Explorer로 내보낼 수 있습니다. 자세한 내용은 Microsoft Entra ID의 데이터를 사용하는 ADX(Azure Data Explorer)의 사용자 지정 보고서를 참조하세요.
- 경고를 받고 Azure Monitor로 전송된 감사, 로그인 및 프로비저닝 로그에 대한 통합 문서, 사용자 지정 쿼리 및 보고서를 사용할 수 있습니다. 예를 들어, Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 Azure Monitor의 권한 관리에 대한 로그 보관 및 보고를 수행할 수 있습니다. 감사 로그에는 Microsoft Entra에서 개체를 만들고 변경한 사용자에 대한 세부 정보가 포함됩니다. Azure Monitor는 장기 데이터 보존 옵션도 제공합니다.
조직 경계를 넘어 ID 정보 교환 마이그레이션
일부 조직에서는 SAP IDM ID 페더레이션을 사용하여 회사 경계를 넘어 사용자에 대한 ID 정보를 교환할 수 있습니다.
Microsoft Entra에는 둘 이상의 Microsoft Entra ID 테넌트인 다중 테넌트 조직 즉, 다른 테넌트의 애플리케이션 액세스 또는 공동 작업을 위해 한 테넌트의 사용자를 한데 모으는 기능이 포함되어 있습니다. 다음 다이어그램에서는 다중 테넌트 조직 테넌트 간 동기화 기능을 사용하여 한 테넌트의 사용자가 조직의 다른 테넌트에 있는 애플리케이션에 액세스할 수 있도록 자동으로 설정하는 방법을 보여 줍니다.
Microsoft Entra 외부 ID에는 B2B 협업 기능이 포함되어 있어 직원들이 비즈니스 파트너 조직 및 게스트와 안전하게 작업하고 회사의 애플리케이션을 공유할 수 있습니다. 게스트 사용자는 자신의 회사, 학교 또는 소셜 ID로 앱 및 서비스에 로그인합니다. 사용자가 인증하는 자체 Microsoft Entra ID 테넌트가 있는 비즈니스 파트너 조직의 경우 테넌트 간 액세스 설정을 구성할 수 있습니다. 또한 Microsoft Entra 테넌트가 없지만 자체 ID 공급자가 있는 비즈니스 파트너 조직의 경우 게스트 사용자 SAML/WS-Fed ID 공급자와의 페더레이션을 구성할 수 있습니다. Microsoft Entra 권한 관리를 사용하면 게스트를 테넌트로 가져오기 전에 승인된 액세스 패키지를 구성하고 액세스 검토 중에 지속적인 액세스가 거부될 때 게스트를 자동으로 제거하여 외부 사용자의 ID 및 액세스 수명 주기를 제어할 수 있습니다.
디렉터리 서비스가 필요한 애플리케이션 마이그레이션
일부 조직에서는 애플리케이션이 ID를 읽고 쓰기 위해 호출하기 위해 SAP IDM을 디렉터리 서비스로 사용할 수 있습니다. Microsoft Entra ID는 최신 애플리케이션을 위한 디렉터리 서비스를 제공하므로 애플리케이션이 Microsoft Graph API를 통해 호출하여 사용자, 그룹 및 기타 ID 정보를 쿼리하고 업데이트할 수 있습니다.
사용자 또는 그룹을 읽기 위해 여전히 LDAP 인터페이스가 필요한 애플리케이션의 경우 Microsoft Entra는 다음과 같은 몇 가지 옵션을 제공합니다.
Domain Services는 Microsoft Entra ID에서 ID 정보를 복제하므로 클라우드 전용인 Microsoft Entra 테넌트 또는 온-프레미스 AD DS 환경과 동기화된 테넌트에서 작동합니다. Domain Services는 Microsoft Entra ID에서 ID 정보를 복제하므로 클라우드 전용인 Microsoft Entra 테넌트 또는 온-프레미스 AD DS 환경과 동기화된 테넌트에서 작동합니다.
Microsoft Entra를 사용하여 SuccessFactors에서 온-프레미스 Active Directory 작업자를 채우는 경우 애플리케이션은 해당 Windows Server Active Directory에서 사용자를 읽을 수 있습니다. 애플리케이션에 동적 멤버 자격 그룹도 필요한 경우 Microsoft Entra의 해당 그룹에서 Windows Server AD 그룹을 채울 수 있습니다. 자세한 내용은 Microsoft Entra Cloud Sync를 사용하여 그룹 쓰기 저장을 참조하세요.
조직에서 다른 LDAP 디렉터리를 사용하고 있는 경우 사용자를 해당 LDAP 디렉터리를 프로비전하도록 Microsoft Entra ID를 구성할 수 있습니다.
통합 인터페이스를 통해 Microsoft Entra 확장
Microsoft Entra에는 다음을 포함하여 서비스 전반의 통합 및 확장을 위한 여러 인터페이스가 포함되어 있습니다.
- 애플리케이션은 Microsoft Graph API를 통해 Microsoft Entra를 호출하여 ID 정보, 구성 및 정책을 쿼리 및 업데이트하고 로그, 상태 및 보고서를 검색할 수 있습니다.
- 관리자는 SCIM, SOAP 또는 REST 및 ECMA API를 통해 애플리케이션에 대한 프로비저닝을 구성할 수 있습니다.
- 관리자는 인바운드 프로비저닝 API를 사용하여 다른 레코드 원본 시스템의 작업자 레코드를 가져와 Windows Server AD 및 Microsoft Entra ID에 사용자 업데이트를 제공할 수 있습니다.
- Microsoft Entra ID 거버넌스를 사용하는 테넌트 관리자는 권한 관리 및 수명 주기 워크플로 사용자 지정 Azure Logic Apps에 대한 호출을 구성할 수도 있습니다. 이를 통해 사용자 온보딩, 오프보딩 및 액세스 요청 및 할당 프로세스를 사용자 지정할 수 있습니다.