PowerShell을 사용하여 애플리케이션에 사용자 프로비전
다음 설명서에서는 구성 및 자습서 정보를 제공합니다. 제네릭 PowerShell 커넥터와 ECMA(Extensible Connectivity) 커넥터 호스트를 사용하여 Microsoft Entra ID를 Windows PowerShell 기반 API를 제공하는 외부 시스템과 통합하는 방법을 보여 줍니다.
자세한 내용은 Windows PowerShell 커넥터 기술 참조 를 참조하세요.
PowerShell을 통한 프로비전을 위한 필수 조건
다음 섹션에서는 이 자습서의 필수 조건을 자세히 설명합니다.
PowerShell 설정 파일 다운로드
GitHub 리포지토리에서 PowerShell 설치 파일을 다운로드합니다. 설정 파일은 구성 파일, 입력 파일, 스키마 파일 및 사용된 스크립트로 구성됩니다.
온-프레미스 필수 조건
커넥터는 ECMA 커넥터 호스트와 Windows PowerShell 기능 간의 브리지를 제공합니다. 커넥터를 사용하기 전에 커넥터를 호스팅하는 서버에 다음이 있는지 확인합니다.
- Windows Server 2016 이상 버전.
- 프로비저닝 에이전트를 호스트하기 위한 3GB 이상의 RAM.
- .NET Framework 4.7.2
- Windows PowerShell 2.0, 3.0 또는 4.0
- 호스팅 서버, 커넥터 및 PowerShell 스크립트가 상호 작용하는 대상 시스템 간의 연결입니다.
- 커넥터가 Windows PowerShell 스크립트를 실행할 수 있도록 서버의 실행 정책을 구성해야 합니다. 커넥터가 실행될 스크립트가 디지털로 서명되지 않으면 이 명령을 실행하여 실행 정책을 구성합니다.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- 이 커넥터를 배포하려면 하나 이상의 PowerShell 스크립트가 필요합니다. 일부 Microsoft 제품은 이 커넥터와 함께 사용할 스크립트를 제공할 수 있으며 해당 스크립트에 대한 지원 설명은 해당 제품에서 제공됩니다. 이 커넥터에서 사용할 고유한 스크립트를 개발하는 경우 해당 스크립트를 개발하고 유지 관리하려면 확장성 연결 관리 에이전트 API 잘 알고 있어야 합니다. 프로덕션 환경에서 사용자 고유의 스크립트를 사용하여 타사 시스템과 통합하는 경우 타사 공급업체 또는 배포 파트너와 협력하여 이 통합에 대한 도움말, 지침 및 지원을 수행하는 것이 좋습니다.
클라우드 요구 사항
- Microsoft Entra ID P1 또는 Premium P2(또는 EMS E3 또는 E5)를 사용하는 Microsoft Entra 테넌트입니다. 이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.
- Azure Portal에서 프로비저닝을 구성하기 위한 프로비전 에이전트와 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 역할을 구성하기 위한 하이브리드 ID 관리자 역할입니다.
- 프로비전할 Microsoft Entra 사용자는 스키마에 필요한 특성으로 이미 채워져 있어야 합니다.
Microsoft Entra Connect 프로비전 에이전트 패키지 다운로드, 설치 및 구성
프로비전 에이전트를 다운로드하여 다른 온-프레미스 애플리케이션에 대해 구성한 경우 다음 섹션에서 계속 읽어 보세요.
- 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화>에이전트로 이동합니다.
온-프레미스 에이전트 다운로드를 선택하고, 서비스 약관을 검토한 다음, 약관 동의 및 다운로드를 선택합니다.
참고 항목
온-프레미스 애플리케이션 프로비전 및 Microsoft Entra Connect 클라우드 동기화/HR 기반 프로비전에는 다른 프로비전 에이전트를 사용하세요. 세 가지 시나리오를 모두 같은 에이전트에서 관리하면 안 됩니다.
프로비저닝 에이전트 설치 관리자를 열고 서비스 약관에 동의하고, 설치를 선택합니다.
Microsoft Entra 프로비전 에이전트 구성 마법사가 열리면 계속해서 확장 선택 탭으로 이동하고 사용하려는 확장을 묻는 메시지가 표시되면 온-프레미스 애플리케이션 프로비전을 선택합니다.
프로비전 에이전트는 운영 체제의 웹 브라우저를 사용하여 Microsoft Entra ID 및 잠재적으로 조직의 ID 공급자를 인증할 수 있는 팝업 창을 표시합니다. Windows Server에서 Internet Explorer를 브라우저로 사용하는 경우 JavaScript가 올바르게 실행되도록 브라우저의 신뢰할 수 있는 사이트 목록에 Microsoft 웹 사이트를 추가해야 할 수 있습니다.
권한 부여하라는 메시지가 표시되면 Microsoft Entra 관리자의 자격 증명을 제공합니다. 사용자에게는 최소한 하이브리드 ID 관리자 역할이 있어야 합니다.
확인을 선택하여 설정을 확인합니다. 설치가 완료되면 종료를 선택하고 프로비전 에이전트 패키지 설치 프로그램을 닫을 수도 있습니다.
온-프레미스 ECMA 앱 구성
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
- 새 애플리케이션을 선택합니다.
- 온-프레미스 ECMA 앱 애플리케이션을 검색하고, 앱 이름을 지정하고, 만들기를 선택하여 테넌트에 추가합니다.
- 애플리케이션의 프로비전 페이지로 이동합니다.
- 시작하기를 선택합니다.
- 프로비전 페이지에서 모드를 자동으로 변경합니다.
- 온-프레미스 연결 섹션에서 방금 배포한 에이전트를 선택하고, 에이전트 할당을 선택합니다.
- 구성 마법사를 사용하여 구성의 다음 단계를 수행하는 경우 이 브라우저 창을 열어 둡니다.
InputFile.txt 및 Schema.xml 파일을 다음 위치에 배치합니다.
이 자습서에 대한 PowerShell 커넥터를 만들려면 먼저 InputFile.txt 및 Schema.xml 파일을 올바른 위치에 복사해야 합니다. 이러한 파일은 PowerShell 설정 파일 다운로드 섹션에서 다운로드하는 데 필요한 파일입니다.
파일 | location |
---|---|
InputFile.txt | C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData |
Schema.xml | C:\Program Files\Microsoft ECMA2Host\Service\ECMA |
Microsoft Entra ECMA 커넥터 호스트 인증서 구성
- 프로비저닝 에이전트가 설치된 Windows Server의 시작 메뉴에서 Microsoft ECMA2Host 구성 마법사를 오른쪽 클릭하고 관리자 권한으로 실행합니다. 마법사가 필요한 Windows 이벤트 로그를 만들려면 Windows 관리자로 실행해야 합니다.
- ECMA 커넥터 호스트 구성이 시작된 후 마법사를 처음 실행하는 경우 인증서를 만들라는 메시지가 표시됩니다. 기본 포트 8585를 그대로 두고 인증서 생성을 선택하여 인증서를 생성합니다. 자동 생성된 인증서는 신뢰할 수 있는 루트의 일부로 자체 서명됩니다. 인증서 SAN은 호스트 이름과 일치합니다.
- 저장을 선택합니다.
PowerShell 커넥터 만들기
일반 화면
시작 메뉴에서 Microsoft ECMA2Host 구성 마법사를 시작합니다.
상단에서 가져오기를 선택하고 1단계의 구성.xml 파일을 선택합니다.
새 커넥터가 만들어져 빨간색으로 표시되어야 합니다. 을 선택하고을 편집합니다.
Microsoft Entra ID를 커넥터에 인증하는 데 사용되는 비밀 토큰을 생성합니다. 최소 12자여야 하며 각 애플리케이션에 대해 고유해야 합니다. 비밀 생성기가 아직 없는 경우 다음과 같은 PowerShell 명령을 사용하여 예제 임의 문자열을 생성할 수 있습니다.
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
속성 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음선택합니다.
속성 값 속성 환경의 모든 커넥터에서 고유해야 하는 커넥터에 대해 선택한 이름입니다. 예: PowerShell
.자동 동기화 타이머(분) 120 비밀 토큰 여기에 비밀 토큰을 입력합니다. 12자 이상이어야 합니다. 확장 DLL PowerShell 커넥터의 경우 Microsoft.IAM.Connector.PowerShell.dll을 선택합니다.
연결
연결 탭을 사용하면 원격 시스템에 연결하기 위한 구성 매개 변수를 제공할 수 있습니다. 표에 제공된 정보를 사용하여 연결 탭을 구성합니다.
- 연결 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음선택합니다.
매개 변수 | 값 | 목적 |
---|---|---|
Server | <Blank> | 커넥터가 연결해야 하는 서버 이름입니다. |
도메인 | <Blank> | 커넥터를 실행할 때 사용하기 위해 저장하는 자격 증명의 도메인입니다. |
사용자 | <Blank> | 커넥터를 실행할 때 사용하기 위해 저장하는 자격 증명의 사용자 이름입니다. |
암호 | <Blank> | 커넥터를 실행할 때 사용하기 위해 저장하는 자격 증명의 암호입니다. |
커넥터 계정 가장 | 선택 취소 | true인 경우 동기화 서비스는 제공된 자격 증명의 컨텍스트에서 Windows PowerShell 스크립트를 실행합니다. 가능하면 $Credentials 매개 변수를 각 스크립트에 전달하여 사용하고, 대리 실행 대신 사용하는 것이 좋습니다. |
가장 시 사용자 프로필 로드 | 선택 취소 | 가장하는 동안 Windows가 커넥터의 자격 증명에서 사용자 프로필을 로드하도록 지시합니다. 가장된 사용자에게 로밍 프로필이 있는 경우 커넥터는 로밍 프로필을 로드하지 않습니다. |
가장 시 로그온 형식 | 없음 | 가장하는 동안 로그온 형식입니다. 자세한 내용은 dwLogonType 설명서를 참조하세요. |
서명된 스크립트만 해당 | 선택 취소 | true인 경우 Windows PowerShell 커넥터는 각 스크립트에 유효한 디지털 서명이 있는지 확인합니다. false인 경우 동기화 서비스 서버의 Windows PowerShell 실행 정책이 RemoteSigned 또는 무제한인지 확인합니다. |
공통 모듈 스크립트 이름(확장자 포함) | xADSyncPSConnectorModule.psm1 | 커넥터를 사용하면 구성에 공유 Windows PowerShell 모듈을 저장할 수 있습니다. 커넥터가 스크립트를 실행하면 각 스크립트에서 가져올 수 있도록 Windows PowerShell 모듈을 파일 시스템에 추출합니다. |
공통 모듈 스크립트 | AD Sync PowerShell 커넥터 모듈 코드를 값으로 사용합니다. 이 모듈은 커넥터가 실행 중일 때 ECMA2Host에 의해 자동으로 만들어집니다. | |
유효성 검사 스크립트 | <Blank> | 유효성 검사 스크립트는 관리자가 제공한 커넥터 구성 매개 변수가 유효한지 확인하는 데 사용될 수 있는 선택적 Windows PowerShell 스크립트입니다. |
스키마 스크립트 | GetSchema 코드를 값으로 사용합니다. | |
추가 구성 매개 변수 이름 | FileName,Delimiter,Encoding | 표준 구성 설정 외에도 커넥터의 인스턴스에 지정된 추가 사용자 지정 구성 설정을 정의할 수 있습니다. 이러한 매개 변수는 파티션, 커넥터에서 지정되거나 단계 수준을 실행하고 관련 Windows PowerShell 스크립트에서 액세스할 수 있습니다. |
추가 암호화된 구성 매개 변수 이름 | <Blank> |
기능
기능 탭은 커넥터의 동작과 기능을 정의합니다. 커넥터를 만들 때 이 탭에서 선택한 항목을 수정할 수 없습니다. 표에 제공된 정보를 사용하여 기능 탭을 구성합니다.
- 기능 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 을 선택한 다음을 선택합니다.
매개 변수 | 값 | 목적 |
---|---|---|
고유 이름 스타일 | 없음 | 커넥터가 고유 이름을 지원하는지, 그렇다면 어떤 스타일을 지원하는지를 나타냅니다. |
내보내기 형식 | ObjectReplace | 내보내기 스크립트에 표시되는 개체의 형식을 결정합니다. |
데이터 정규화 | 없음 | 스크립트에 제공되기 전에 앵커 특성을 정규화하도록 동기화 서비스에 지시합니다. |
개체 확인 | 일반 | 이는 무시됩니다. |
앵커로 DN 사용 | 선택 취소 | 또한 고유 이름 스타일이 LDAP로 설정되면 커넥터 공간에 대한 앵커 특성은 고유 이름입니다. |
여러 커넥터의 동시 작업 | 선택됨 | 옵션을 선택하면 여러 Windows PowerShell 커넥터는 동시에 실행할 수 있습니다. |
파티션 | 선택 취소 | 옵션을 선택하면 커넥터는 여러 파티션 및 파티션 검색을 지원합니다. |
계층 구조 | 선택 취소 | 옵션을 선택하면 커넥터는 LDAP 스타일 계층 구조를 지원합니다. |
가져오기 사용 | 선택됨 | 옵션을 선택하면 커넥터는 가져오기 스크립트를 통해 데이터를 가져옵니다. |
델타 가져오기 사용 | 선택 취소 | 옵션을 선택하면 커넥터는 가져오기 스크립트를 통해 델타를 요청할 수 있습니다. |
내보내기 사용 | 선택됨 | 옵션을 선택하면 커넥터는 내보내기 스크립트를 통해 데이터를 내보냅니다. |
전체 내보내기 사용 | 선택됨 | 지원되지 않습니다. 이는 무시됩니다. |
첫 번째 내보내기 단계에서 참조 값 없음 | 선택 취소 | 옵션을 선택하면 두 번째 내보내기 과정에서 참조 특성을 내보냅니다. |
개체 이름 바꾸기 사용 | 선택 취소 | 옵션을 선택하면 고유 이름을 수정할 수 있습니다. |
바꾸기로 삭제-추가 | 선택됨 | 지원되지 않습니다. 이는 무시됩니다. |
첫 번째 패스에서 암호 내보내기 사용 | 선택 취소 | 지원되지 않습니다. 이는 무시됩니다. |
전역 매개 변수
전역 매개 변수 탭을 사용하면 커넥터가 실행되는 Windows PowerShell 스크립트를 구성할 수 있습니다. 연결 탭에 정의된 사용자 지정 구성 설정에 대한 전역 값을 구성할 수도 있습니다. 표에 제공된 정보를 사용하여 전역 매개 변수 탭을 구성합니다.
- 전역 매개 변수 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음선택합니다.
매개 변수 | 값 |
---|---|
파티션 스크립트 | <Blank> |
계층 스크립트 | <Blank> |
가져오기 스크립트 시작 | <Blank> |
스크립트 가져오기 | 가져오기 스크립트를 값으로 붙여넣기 |
가져오기 스크립트 종료 | <Blank> |
스크립트 내보내기 시작 | <Blank> |
스크립트 내보내기 | 가져오기 스크립트를 값으로 붙여넣기 |
내보내기 스크립트 종료 | <Blank> |
암호 스크립트 시작 | <Blank> |
암호 확장 스크립트 | <Blank> |
암호 스크립트 종료 | <Blank> |
FileName_Global | InputFile.txt |
Delimiter_Global | ; |
Encoding_Global | <비어 있음>(기본값은 UTF8) |
파티션, 실행 프로필, 내보내기, FullImport
기본값을 유지하고 , 그다음을 선택합니다.
개체 유형
표에 제공된 정보를 사용하여 개체 형식 탭을 구성합니다.
- 개체 형식 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음을 선택합니다.
매개 변수 | 값 |
---|---|
대상 개체 | 사람 |
기준 위치 | AzureObjectID |
쿼리 특성 | AzureObjectID |
DN | AzureObjectID |
특성 선택
다음 특성이 선택되었는지 확인합니다.
특성 선택 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음선택합니다.
AzureObjectID
IsActive
DisplayName
EmployeeId
타이틀
UserName
전자 메일
프로비전 해제
프로비전 해제 페이지에서 사용자가 애플리케이션의 범위를 벗어난 경우 Microsoft Entra ID가 디렉터리에서 사용자를 제거하도록 할지 지정할 수 있습니다. 이 경우 흐름 사용 안 함에서 삭제를 선택하고 흐름 삭제에서 삭제를 선택합니다. 특성 값 설정을 선택한 경우 이전 페이지에서 선택한 특성을 프로비전 해제 페이지에서 선택할 수 없습니다.
- 프로비전 해제 페이지에 모든 정보가 입력되어 있어야 합니다. 표는 참고용으로 제공됩니다. 다음선택합니다.
ECMA2Host 서비스가 실행 중이고 PowerShell을 통해 파일에서 읽을 수 있는지 확인합니다.
다음 단계에 따라 커넥터 호스트가 시작되고 대상 시스템에서 기존 사용자를 식별했는지 확인합니다.
- Microsoft Entra ECMA 커넥터 호스트를 실행하는 서버에서 시작을 선택합니다.
- 필요한 경우 실행을 선택한 다음, 상자에 services.msc를 입력합니다.
- 서비스 목록에서 Microsoft ECMA2Host가 있고 실행 중인지 확인합니다. 실행되고 있지 않으면 시작을 선택하세요.
- Microsoft Entra ECMA 커넥터 호스트를 실행하는 서버에서 PowerShell을 시작합니다.
- ECMA 호스트가 설치된 폴더(예:
C:\Program Files\Microsoft ECMA2Host
)로 변경합니다. - 하위 디렉터리
Troubleshooting
으로 변경합니다. - 표시된 대로 디렉터리에서
TestECMA2HostConnection.ps1
스크립트를 실행하고 커넥터 이름과ObjectTypePath
값cache
를 인수로 제공합니다. 커넥터 호스트가 TCP 포트 8585에서 수신 대기하지 않는 경우-Port
인수도 제공해야 할 수 있습니다. 메시지가 표시되면 해당 커넥터에 대해 구성된 비밀 토큰을 입력합니다.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- 스크립트에 오류 또는 경고 메시지가 표시되면 서비스가 실행 중이고 커넥터 이름 및 비밀 토큰이 구성 마법사에서 구성한 값과 일치하는지 확인합니다.
- 스크립트에
False
이(가) 출력되는 경우, 커넥터는 기존 사용자의 원본 대상 시스템에서 항목 목록을 보지 못한 것입니다. 새 대상 시스템 설치인 경우 이 동작이 예상되며 다음 섹션에서 계속할 수 있습니다. - 그러나 대상 시스템에 이미 하나 이상의 사용자가 포함되어 있지만 스크립트가
False
표시되는 경우 이 상태는 커넥터가 대상 시스템에서 읽을 수 없다는 것을 나타냅니다. 프로비저닝을 시도하는 경우 Microsoft Entra ID는 해당 원본 디렉터리의 사용자와 Microsoft Entra ID의 사용자와 올바르게 일치하지 않을 수 있습니다. 커넥터 호스트가 기존 대상 시스템에서 개체 읽기를 완료할 때까지 몇 분 정도 기다린 후 스크립트를 다시 실행합니다. 출력이 계속False
이면 커넥터 구성과 대상 시스템의 권한이 커넥터가 기존 사용자를 읽을 수 있도록 허용하는지 확인합니다.
Microsoft Entra ID에서 커넥터 호스트로 연결 테스트
포털에서 애플리케이션 프로비전을 구성했던 웹 브라우저 창으로 돌아갑니다.
참고 항목
기간이 초과된 경우 에이전트를 다시 선택해야 합니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
- 온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
- 프로비저닝을 선택합니다.
- 시작이 나타나면 모드를 자동으로 변경하고 온-프레미스 연결 섹션에서 방금 배포한 에이전트를 선택하고 에이전트 할당을 선택하고 10분 동안 기다립니다. 그렇지 않으면 프로비전 편집으로 이동합니다.
관리자 자격 증명 섹션에서 다음 URL을 입력합니다.
connectorName
부분을PowerShell
와 같은 ECMA 호스트의 커넥터 이름으로 바꿉니다. ECMA 호스트에 대한 인증 기관의 인증서를 제공한 경우localhost
를 ECMA 호스트가 설치된 서버의 호스트 이름으로 바꿉니다.속성 값 테넌트 URL https://localhost:8585/ecma2host_connectorName/scim 커넥터를 만들 때 정의한 비밀 토큰 값을 입력합니다.
참고 항목
애플리케이션에 에이전트를 할당한 경우 등록이 완료될 때까지 10분 정도 기다려주세요. 연결 테스트는 등록이 완료될 때까지 작동하지 않습니다. 서버에서 프로비전 에이전트를 다시 시작하여 에이전트 등록을 강제로 완료하도록 하면 등록 프로세스의 속도가 빨라질 수 있습니다. 서버로 이동하여 Windows 검색 창에서
서비스를 검색하고, microsoft Entra Connect 프로비전 에이전트 서비스를 식별하고, 서비스를 마우스 오른쪽에 선택하고, 다시 시작합니다. 연결 테스트를 선택하고, 1분 동안 기다립니다.
연결 테스트가 성공하고 제공된 자격 증명이 프로비전을 사용하도록 설정할 수 있는 권한이 있다고 표시되면 저장을 선택합니다.
애플리케이션 연결 구성
애플리케이션 프로비저닝을 구성하고 있던 웹 브라우저 창으로 돌아갑니다.
참고 항목
기간이 초과된 경우 에이전트를 다시 선택해야 합니다.
최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
프로비저닝을 선택합니다.
시작이 표시되면 모드를 자동으로 변경하고, 온-프레미스 연결 섹션에서 방금 배포한 에이전트를 선택하고, 에이전트 할당을 선택합니다. 그렇지 않으면 프로비전 편집으로 이동합니다.
관리자 자격 증명 섹션에서 다음 URL을 입력합니다.
{connectorName}
부분을 CSV과 같은 ECMA 커넥터 호스트의 커넥터 이름으로 바꿉니다. 커넥터 이름은 대/소문자를 구분하며 마법사에서 구성한 것과 동일해야 합니다.localhost
를 머신 호스트 이름으로 바꿀 수도 있습니다.속성 값 테넌트 URL https://localhost:8585/ecma2host_CSV/scim
커넥터를 만들 때 정의한 비밀 토큰 값을 입력합니다.
참고 항목
애플리케이션에 에이전트를 할당한 경우 등록이 완료될 때까지 10분 정도 기다려주세요. 연결 테스트는 등록이 완료될 때까지 작동하지 않습니다. 서버에서 프로비전 에이전트를 다시 시작하여 에이전트 등록을 강제로 완료하도록 하면 등록 프로세스의 속도가 빨라질 수 있습니다. 서버로 이동하여 Windows 검색창에서
서비스 을 검색합니다. 그런 다음Microsoft Entra Connect 프로비전 에이전트 서비스를 식별하고, 서비스를 마우스 오른쪽 버튼으로 클릭하여 다시 시작합니다. 연결 테스트를 선택하고, 1분 동안 기다립니다.
연결 테스트가 성공하고 제공된 자격 증명이 프로비전을 사용하도록 설정할 수 있는 권한이 있다고 표시되면 저장을 선택합니다.
특성 매핑 구성
이제 Microsoft Entra ID의 사용자 표현과 온-프레미스 InputFile.txt의 사용자 표현 간에 특성을 매핑해야 합니다.
Azure Portal을 사용하여 Microsoft Entra 사용자의 특성과 이전에 ECMA 호스트 구성 마법사에서 선택한 특성 간의 매핑을 구성합니다.
최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
프로비저닝을 선택합니다.
프로비전 편집을 선택하고 10초 동안 기다립니다.
매핑을 확장한 후 Microsoft Entra 사용자 프로비전을 선택합니다. 이 애플리케이션에 대한 특성 매핑을 처음으로 구성한 경우 자리 표시자에 대해 하나의 매핑만 존재합니다.
Microsoft Entra ID에서 스키마를 사용할 수 있는지 확인하려면 고급 옵션 표시 확인란을 선택하고 ScimOnPremises에 대한 특성 목록 편집을 선택합니다. 구성 마법사에서 선택한 모든 특성이 나열되는지 확인합니다. 그렇지 않은 경우 스키마가 새로 고쳐질 때까지 몇 분 정도 기다린 다음 페이지를 다시 로드합니다. 특성이 나열되면 이 페이지에서 취소하여 매핑 목록으로 돌아갑니다.
이제 userPrincipalName PLACEHOLDER 매핑을 선택합니다. 이 매핑은 온-프레미스 프로비전을 처음 구성할 때 기본적으로 추가됩니다. 다음과 일치하도록 값을 변경합니다.
매핑 유형 원본 특성 대상 특성 Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName 이제 새 매핑 추가를 선택하고 각 매핑에 대해 다음 단계를 반복합니다.
다음 표의 각 매핑에 대한 원본 및 대상 특성을 지정합니다.
매핑 유형 원본 특성 대상 특성 Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName Direct employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId Direct jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title Direct mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email 식 Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive 모든 매핑이 추가되면 저장을 선택합니다.
애플리케이션에 사용자 할당
이제 Microsoft Entra ID와 통신하는 Microsoft Entra ECMA 커넥터 호스트가 있고 특성 매핑이 구성되었으므로 프로비전 범위에 속하는 사용자를 구성하는 단계로 이동할 수 있습니다.
Important
하이브리드 ID 관리자 역할을 사용하여 로그인한 경우 이 섹션의 애플리케이션 관리자 역할 이상인 계정으로 로그아웃하고 로그인해야 합니다. 하이브리드 ID 관리자 역할에는 애플리케이션에 사용자를 할당할 수 있는 권한이 없습니다.
InputFile.txt에 기존 사용자가 있는 경우 해당 기존 사용자에 대한 애플리케이션 역할 할당을 만들어야 합니다. 애플리케이션 역할 할당을 대량으로 만드는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 애플리케이션의 기존 사용자 관리를 참조하세요.
그렇지 않으면 애플리케이션의 현재 사용자가 없는 경우 애플리케이션에 프로비전될 Microsoft Entra의 테스트 사용자를 선택합니다.
- 선택한 사용자에게 스키마의 필수 특성에 매핑된 모든 속성이 있는지 확인합니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
- 온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
- 왼쪽의 관리 아래에서 사용자 및 그룹을 선택합니다.
- 사용자/그룹 추가를 선택합니다.
- 사용자 아래에서 선택된 항목 없음을 선택합니다.
- 오른쪽에서 사용자를 선택하고, 선택 단추를 선택합니다.
- 이제 할당을 선택합니다.
프로비전 테스트
이제 특성이 매핑되고 사용자가 할당되었으므로 사용자 중 한 명을 사용하여 주문형 프로비전을 테스트할 수 있습니다.
- 최소한 응용 프로그램 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
- 온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
- 프로비저닝을 선택합니다.
- 주문형 프로비전을 선택합니다.
- 테스트 사용자 중 한 명을 검색하고, 프로비전을 선택합니다.
- 몇 초 후 사용자 특성 목록과 함께 대상 시스템에서 사용자를 만듦 메시지가 표시됩니다.
사용자 프로비저닝 시작
- 주문형 프로비전이 성공하면 프로비전 구성 페이지로 다시 변경합니다. 범위가 할당된 사용자 및 그룹으로만 설정되어 있는지 확인하고, 프로비전을 켜기로 설정하고, 저장을 선택합니다.
- 프로비전이 시작될 때까지 몇 분 정도 기다립니다. 최대 40분이 걸릴 수 있습니다. 프로비전 작업이 완료된 후, 다음 섹션에 설명된 대로 테스트를 마쳤다면, 프로비전 상태를 해제로 변경하고 저장을 선택할 수 있습니다. 이 작업은 나중에 프로비전 서비스의 실행을 중지합니다.