Microsoft Entra 사용자 프로비전에 대한 클라우드 HR 애플리케이션
지금까지 IT 담당자는 담당자를 수동으로 만들고 업데이트하고 삭제하는 방법을 사용해 왔습니다. CSV 파일 업로드 또는 사용자 지정 스크립트와 같은 방법을 사용하여 직원 데이터를 동기화했습니다. 이러한 프로비저닝 프로세스는 오류가 발생하기 쉽고, 안전하지 않으며, 관리하기가 어렵습니다.
직원, 공급업체 또는 불확정 작업자의 ID 수명 주기를 관리하기 위해 Microsoft Entra 사용자 프로비전 서비스는 클라우드 기반 HR(인적 리소스) 애플리케이션과의 통합을 제공합니다. 애플리케이션의 예로는 Workday 및 SuccessFactors가 있습니다.
Microsoft Entra ID는 이 통합을 사용하여 다음 클라우드 HR 애플리케이션(앱) 프로세스를 사용하도록 설정합니다.
- 사용자를 Active Directory에 프로비전: 클라우드 HR 앱에서 선택한 사용자 집합을 하나 이상의 Active Directory 도메인에 프로비전합니다.
- Microsoft Entra ID에 클라우드 전용 사용자 프로비전: Active Directory가 사용되지 않는 시나리오에서는 사용자를 클라우드 HR 앱에서 Microsoft Entra ID로 직접 프로비전합니다.
- 클라우드 HR 앱에 쓰기 저장: Microsoft Entra의 이메일 주소와 사용자 이름 특성을 클라우드 HR 앱에 다시 씁니다.
다음 동영상은 HR 기반 프로비전 통합 계획에 대한 지침을 제공합니다.
참고 항목
이 배포 계획은 Microsoft Entra 사용자 프로비전을 사용하여 클라우드 HR 앱을 배포하는 방법을 보여 줍니다. SaaS(Software as a Service) 앱에 자동 사용자 프로비저닝을 배포하는 방법에 대한 자세한 내용은 자동 사용자 프로비저닝 배포 계획을 참조하세요.
모든 HR 시스템에서 API 기반 프로비전
API 기반 프로비전을 사용하면 모든 기록 시스템의 ID를 Microsoft Entra ID로 가져올 수 있습니다. 원하는 모든 자동화 도구를 사용하여 기록 시스템에서 인력 데이터를 검색하고 이를 Microsoft Entra ID로 수집할 수 있습니다. IT 관리자는 특성 매핑을 통해 데이터가 처리되고 변환되는 방식을 완전히 제어할 수 있습니다.
사용되는 HR 시나리오
Microsoft Entra 사용자 프로비저닝 서비스를 사용하면 다음과 같은 HR 기반 ID 수명 주기 관리 시나리오를 자동화할 수 있습니다.
- 신규 직원 채용: 클라우드 HR 앱에 직원을 추가하면 자동으로 Active Directory 및 Microsoft Entra ID에 사용자가 만들어집니다. 사용자 계정을 추가하면 이메일 주소와 사용자 이름 특성을 클라우드 HR 앱에 다시 쓰는 옵션이 포함됩니다.
- 직원 특성 및 프로필 업데이트: 이름, 직위 또는 관리자와 같은 직원 레코드가 클라우드 HR 앱에서 업데이트되면 사용자 계정이 Active Directory 및 Microsoft Entra ID에서 자동으로 업데이트됩니다.
- 직원 해고: 직원이 클라우드 HR 앱에서 해고되면 해당 사용자 계정이 Active Directory 및 Microsoft Entra ID에서 자동으로 사용하지 않도록 설정됩니다.
- 직원 재고용: 직원이 클라우드 HR 앱에서 다시 고용되면 이전 계정이 자동으로 다시 활성화되거나 Active Directory 및 Microsoft Entra ID로 다시 프로비전될 수 있습니다.
이 통합에 가장 적합한 사용자
Microsoft Entra 사용자 프로비저닝과 클라우드 HR 앱의 통합은 다음과 같은 조직에 가장 적합합니다.
- 클라우드 HR 사용자 프로비저닝에 맞게 미리 빌드된 클라우드 기반 솔루션이 필요합니다.
- 사용자를 클라우드 HR 앱에서 Active Directory 또는 Microsoft Entra ID로 직접 프로비전해야 합니다.
- 클라우드 HR 앱에서 얻은 데이터를 사용하여 사용자를 프로비저닝해야 합니다.
- 입사, 이동, 퇴사 중인 사용자를 동기화합니다. 클라우드 HR 앱에서 검색된 변경 정보만을 기반으로 하나 이상의 Active Directory 포리스트, 도메인 및 OU 간에 동기화가 발생합니다.
- Microsoft 365를 이메일로 사용합니다.
Learn
사용자 프로비저닝은 지속적인 ID 거버넌스를 위한 토대를 만듭니다. 이를 통해 신뢰할 수 있는 ID 데이터를 사용하는 비즈니스 프로세스의 품질을 향상시킬 수 있습니다.
사용 약관
이 문서에서 사용하는 용어는 다음과 같습니다.
- 원본 시스템: Microsoft Entra ID가 제공되는 사용자 리포지토리입니다. 예를 들어 Workday 또는 SuccessFactors와 같은 클라우드 HR 앱이 있습니다.
- 대상 시스템: Microsoft Entra ID가 프로비전되는 사용자 리포지토리입니다. 예를 들면 Active Directory, Microsoft Entra ID, Microsoft 365 또는 기타 SaaS 앱이 있습니다.
- Joiners-Movers-Leavers 프로세스: 클라우드 HR 앱을 레코드 시스템으로 사용하여 신규 채용, 전보 및 해지에 사용되는 용어입니다. 이 프로세스는 서비스가 필요한 특성을 대상 시스템에 성공적으로 프로비저닝할 때 완료됩니다.
주요 이점
HR 기반 IT 프로비저닝의 이 기능은 다음과 같은 중요한 비즈니스 이점을 제공합니다.
- 생산성 향상: 이제 사용자 계정 및 Microsoft 365 라이선스의 할당을 자동화하고 키 그룹에 대한 액세스를 제공할 수 있습니다. 할당을 자동화하면 새로 고용된 직원이 작업 도구에 즉시 액세스할 수 있고 생산성이 향상됩니다.
- 위험 관리: 직원 상태 또는 그룹 멤버 자격에 따라 변경을 자동화하여 보안을 강화합니다. 이 자동화를 통해 사용자 ID와 주요 앱에 대한 액세스가 자동으로 업데이트됩니다. 예를 들어, 사용자가 조직을 전환하거나 퇴사할 때 HR 앱의 업데이트가 자동으로 이루어집니다.
- 주소 준수 및 거버넌스: Microsoft Entra ID는 원본 및 대상 시스템의 앱에서 수행되는 사용자 프로비전 요청에 대한 네이티브 프로비전 로그를 지원합니다. 감사를 사용하면 단일 화면에서 앱에 액세스할 수 있는 사용자를 추적할 수 있습니다.
- 비용 관리: 자동 프로비전은 수동 프로비전과 관련된 비효율성 및 인간 오류를 방지하여 비용을 절감합니다. 레거시 플랫폼 및 오래된 플랫폼을 사용하여 시간이 지남에 따라 빌드되는 사용자 지정 개발 사용자 프로비저닝 솔루션에 대한 필요성을 줄입니다.
라이선스
클라우드 HR 앱을 Microsoft Entra ID 사용자 프로비저닝 통합에 구성하려면 유효한 Microsoft Entra ID P1 또는 P2 라이선스 및 Workday 또는 SuccessFactors와 같은 클라우드 HR 앱에 대한 라이선스가 필요합니다.
또한 클라우드 HR 앱에서 소싱되고 온-프레미스 Active Directory 또는 Microsoft Entra ID에 프로비전되는 모든 사용자에 대해서도 유효한 Microsoft Entra ID P1 이상의 구독 라이선스가 필요합니다.
프로비전 프로세스에서 수명 주기 워크플로 및 기타 Microsoft Entra ID Governance 기능을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다.
필수 조건
- Connect 프로비저닝 에이전트를 구성하기 위한 Azure AD 하이브리드 ID 관리자.
- 프로비저닝 앱을 구성하는 애플리케이션 관리자 역할.
- 클라우드 HR 앱의 테스트 및 프로덕션 인스턴스
- 테스트 목적으로 시스템 통합 사용자를 만들고 직원 데이터를 변경하기 위한 클라우드 HR 앱 관리자 권한
- Active Directory에 대한 사용자 프로비저닝의 경우 Microsoft Entra Connect 프로비저닝 에이전트를 호스트하려면 Windows Server 2016 이상을 실행하는 서버가 필요합니다. 이 서버는 Active Directory 관리 계층 모델을 기준으로 계층 0 서버여야 합니다.
- Active Directory와 Microsoft Entra ID 간에 사용자를 동기화하기 위한 Microsoft Entra Connect.
학습 리소스
솔루션 아키텍처
다음 예제에서는 일반적인 하이브리드 환경을 위한 엔드투엔드 사용자 프로비저닝 솔루션 아키텍처에 대해 설명하며 다음이 포함되어 있습니다.
- 클라우드 HR 앱에서 Active Directory로의 신뢰할 수 있는 HR 데이터 흐름. 이 흐름에서 HR 이벤트(Joiners-Movers-Leavers 프로세스)는 클라우드 HR 앱 테넌트에서 시작됩니다. Microsoft Entra 프로비저닝 서비스 및 Microsoft Entra Connect 프로비저닝 에이전트는 클라우드 HR 앱 테넌트의 사용자 데이터를 Active Directory로 프로비전합니다. 이벤트에 따라 Active Directory에서 만들기, 업데이트, 활성화 및 비활성화 작업을 수행할 수 있습니다.
- Microsoft Entra ID와 동기화하고 온-프레미스 Active Directory에서 클라우드 HR 앱으로 이메일 및 사용자 이름을 쓰기 저장합니다. Active Directory에서 계정이 업데이트되면 Microsoft Entra Connect를 통해 Microsoft Entra ID와 동기화됩니다. 이메일 주소 및 사용자 이름 특성은 클라우드 HR 앱 테넌트에 쓰기 저장될 수 있습니다.
프로비전 프로세스에 대한 설명
다이어그램에는 다음과 같은 주요 단계가 나와 있습니다.
- HR 팀은 클라우드 HR 앱 테넌트에서 트랜잭션을 수행합니다.
- Microsoft Entra 프로비저닝 서비스는 클라우드 HR 앱 테넌트에서 예약된 주기를 실행하고 Active Directory와의 동기화 프로세스에 대한 변경 내용을 식별합니다.
- Microsoft Entra 프로비저닝 서비스는 Active Directory 계정 만들기, 업데이트, 활성화 및 비활성화 작업이 포함된 요청 페이로드로 Microsoft Entra Connect 프로비저닝 에이전트를 호출합니다.
- Microsoft Entra Connect 프로비저닝 에이전트는 서비스 계정을 사용하여 Active Directory 계정 데이터를 관리합니다.
- Microsoft Entra Connect는 델타 동기화를 실행하여 Active Directory에서 업데이트를 가져옵니다.
- Active Directory 업데이트는 Microsoft Entra ID와 동기화됩니다.
- Microsoft Entra 프로비저닝 서비스는 Microsoft Entra ID의 이메일 특성과 사용자 이름을 클라우드 HR 앱 테넌트에 쓰기 저장합니다.
배포 프로젝트 계획
사용자 환경에서 이 배포에 대한 전략을 결정하는 동안 조직의 요구 사항을 고려합니다.
올바른 관련자 참여
기술 프로젝트가 실패하는 이유는 일반적으로 영향, 결과 및 책임에 대한 기대 수준이 일치하지 않기 때문입니다. 이러한 문제를 방지하려면 올바른 관련자가 참여해야 합니다. 또한 프로젝트의 관련자 역할을 잘 이해하고 있어야 합니다. 관련자 및 각 관련자의 프로젝트 입력 및 책임을 문서화합니다.
기존 HR 비즈니스 프로세스 및 작업자 ID와 작업 데이터 처리 요구 사항에 대한 입력을 제공할 수 있는 HR 조직의 담당자를 포함합니다.
통신 계획
통신은 새 서비스의 성공에 대단히 중요합니다. 사용자 환경이 언제, 어떻게 변화하는지 적극적으로 사용자와 소통합니다. 문제가 발생하는 경우 지원을 얻는 방법을 알려주세요.
파일럿 계획
HR 비즈니스 프로세스 및 ID 워크플로를 클라우드 HR 앱에서 대상 시스템으로 통합하려면 솔루션을 프로덕션 환경에 배포하기 전에 상당한 양의 데이터 유효성 검사, 데이터 변환, 데이터 정리 및 엔드투엔드 테스트가 필요합니다.
프로덕션 환경에서 모든 사용자로 확장하기 전에 파일럿 환경에서 초기 구성을 실행합니다.
HR 데이터 흐름 및 특성 매핑 계획
올바른 HR 기록이 Microsoft Entra ID(Entra ID)/온-프레미스 AD(Active Directory)의 사용자에게 매핑되도록 하려면 HR 및 IT 팀과 협력하여 데이터 일관성을 보장하고 데이터 정리 작업을 계획합니다. 다음은 시작하기 위한 모범 사례 목록입니다.
일치 식별자 존재 및 고유성: 프로비전 서비스는 일치 특성을 사용하여 HR 시스템의 사용자 기록을 고유하게 식별하고 AD/Entra ID의 해당 사용자 계정과 연결합니다. 기본 일치 특성은 직원 ID를 기반으로 합니다. 전체 동기화를 시작하기 전에 직원 ID 값이 Entra ID(클라우드 전용 사용자의 경우) 및 온-프레미스 AD(하이브리드 사용자의 경우)에 채워지고 사용자를 고유하게 식별하는지 확인합니다.
범위 지정 필터를 사용하여 더 이상 관련이 없는 HR 기록 건너뛰기: HR 시스템에는 아마도 1970년대까지 거슬러 올라가는 수년간의 고용 데이터가 있을 것입니다. 반면, IT 팀은 현재 활동 중인 직원 목록과 라이브 상태로 전환 후 나오는 해고 기록에만 관심이 있을 수 있습니다. IT 팀 관점에서 더 이상 관련이 없는 HR 레코드를 필터링하려면 HR 팀과 협력하여 Microsoft Entra 프로비전 범위 지정 필터에 사용할 수 있는 HR 레코드에 플래그를 추가합니다.
사용자 이름의 특수 문자 처리 계획: 작업자의 이름과 성을 사용하여 사용자에 대한 고유한
userPrincipalName
을 만드는 것이 일반적인 사례입니다.userPrincipalName
은 강조 문자를 허용하지 않으며 다음 문자만 허용됩니다. A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~. 강조 문자를 처리하고 적절한userPrincipalName
을 구성하려면 NormalizeDiacritics 함수를 사용합니다.긴 문자열 처리 계획: HR 데이터에 Entra ID/온-프레미스 AD 특성을 입력하는 데 사용할 HR 필드와 연결된 긴 문자열 값이 있는지 확인합니다. 모든 Entra ID 특성에는 최대 문자열 길이가 있습니다. Entra ID 특성에 매핑된 HR 필드의 값에 더 많은 문자가 포함되어 있으면 특성 업데이트가 실패할 수 있습니다. 한 가지 옵션은 특성 매핑을 검토하고 HR 시스템에서 긴 문자열 값을 자르거나 업데이트할 가능성이 있는지 확인하는 것입니다. 그렇게 할 수 없는 경우에는 Mid와 같은 함수를 사용하여 긴 문자열을 자르거나 Switch와 같은 함수를 사용하여 긴 값을 더 짧은 값/약어로 매핑할 수 있습니다.
필수 특성의 null/빈 값 처리: Entra ID/온-프레미스 AD에서 계정을 만들 때
firstName
,lastName
,CN
또는UPN
과 같은 특정 특성을 채워야 합니다. 해당 특성에 매핑된 해당 HR 필드가 null이면 사용자 만들기 작업이 실패합니다. 예를 들어, ADCN
특성을 "표시 이름"에 매핑하고 "표시 이름"이 모든 사용자에 대해 설정되지 않은 경우 오류가 발생합니다. 한 가지 옵션은 이러한 필수 특성 매핑을 검토하고 해당 필드가 HR에 채워져 있는지 확인하는 것입니다. 식 매핑에서 null 값을 확인하는 옵션을 고려할 수도 있습니다. 예를 들어, 표시 이름이 비어 있으면 이름과 성을 연결하여 표시 이름을 구성합니다.
클라우드 HR 프로비저닝 커넥터 앱 선택
클라우드 HR 앱에서 Active Directory로 Microsoft Entra 프로비전을 용이하게 하기 위해 Microsoft Entra 앱 갤러리에서 여러 프로비전 커넥터 앱을 추가할 수 있습니다.
- 클라우드 HR 앱에서 Active Directory로 사용자 프로비저닝: 이 프로비저닝 커넥터 앱은 클라우드 HR 앱에서 단일 Active Directory 도메인으로 사용자 계정 프로비저닝을 용이하게 합니다. 도메인이 여러 개 있는 경우 프로비전해야 하는 각 Active Directory 도메인에 대해 Microsoft Entra 앱 갤러리에서 이 앱의 하나의 인스턴스를 추가할 수 있습니다.
- Microsoft Entra 사용자 프로비저닝에 대한 Cloud HR 앱: Microsoft Entra Connect는 온프레미스 사용자의 Active Directory를 Microsoft Entra ID와 동기화하는 데 사용되는 도구입니다. Microsoft Entra 사용자 프로비전에 대한 클라우드 HR 앱은 클라우드 HR 앱의 클라우드 전용 사용자를 단일 Microsoft Entra 테넌트에 프로비전하는 데 사용하는 커넥터입니다.
- 클라우드 HR 앱 쓰기 저장: 이 프로비저닝 커넥터 앱은 Microsoft Entra ID에서 클라우드 HR 앱으로 사용자 이메일 주소 쓰기 저장을 용이하게 합니다.
예를 들어 다음 이미지에는 Microsoft Entra 앱 갤러리에서 사용할 수 있는 Workday 커넥터 앱이 나열되어 있습니다.
의사 결정 흐름 차트
다음 의사 결정 순서도를 사용하여 시나리오와 관련된 클라우드 HR 프로비저닝 앱을 확인하세요.
Microsoft Entra Connect 프로비저닝 에이전트 배포 토폴로지 디자인
클라우드 HR 앱과 Active Directory 간의 프로비저닝 통합에는 네 가지 구성 요소가 필요합니다.
- 클라우드 HR 앱 테넌트
- 프로비저닝 커넥터 앱
- Microsoft Entra Connect 프로비전 에이전트
- Active Directory 도메인
Microsoft Entra Connect 프로비저닝 에이전트 배포 토폴로지는 통합하려는 클라우드 HR 앱 테넌트 및 Active Directory 하위 도메인의 수에 따라 달라집니다. 여러 Active Directory 도메인이 있는 경우에는 Active Directory 도메인이 연속적인지 또는 비연속적인지에 따라 달라집니다.
의사 결정에 따라 배포 시나리오 중 하나를 선택합니다.
- 단일 클라우드 HR 앱 테넌트 -> 신뢰할 수 있는 포리스트에 있는 단일 또는 여러 Active Directory 하위 도메인
- 단일 클라우드 HR 앱 테넌트 -> 비연속 Active Directory 포리스트의 여러 자식 도메인
단일 클라우드 HR 앱 테넌트 -> 신뢰할 수 있는 포리스트에 있는 단일 또는 여러 Active Directory 하위 도메인
다음 프로덕션 환경 구성을 권장합니다.
요건 | 권장 |
---|---|
배포할 Microsoft Entra Connect 프로비저닝 에이전트 수입니다. | 2개(고가용성 및 장애 조치(failover)). |
구성할 프로비전 커넥터 앱 수. | 자식 도메인당 앱 1개. |
Microsoft Entra Connect 프로비저닝 에이전트용 서버 호스트입니다. | 지리적으로 배치된 Active Directory 도메인 컨트롤러 찾을 수 있는 Windows Server 2016. Microsoft Entra Connect 서비스와 공존할 수 있습니다. |
단일 클라우드 HR 앱 테넌트 -> 비연속 Active Directory 포리스트의 여러 자식 도메인
이 시나리오에는 클라우드 HR 앱에서 비연속 Active Directory 포리스트의 도메인으로 사용자를 프로비저닝하는 작업이 포함됩니다.
다음 프로덕션 환경 구성을 권장합니다.
요건 | 권장 |
---|---|
온-프레미스에 배포할 Microsoft Entra Connect 프로비저닝 에이전트 수 | 비연속 Active Directory 포리스트당 2개. |
구성할 프로비저닝 커넥터 앱 수 | 자식 도메인당 앱 1개. |
Microsoft Entra Connect 프로비저닝 에이전트용 서버 호스트입니다. | 지리적으로 배치된 Active Directory 도메인 컨트롤러 찾을 수 있는 Windows Server 2016. Microsoft Entra Connect 서비스와 공존할 수 있습니다. |
Microsoft Entra Connect 프로비저닝 에이전트 요구 사항
Active Directory 사용자 프로비전 솔루션에 대한 클라우드 HR 앱에는 하나 이상의 Microsoft Entra Connect 프로비저닝 에이전트를 배포해야 합니다. 이러한 에이전트는 Windows Server 2016 이상을 실행하는 서버에 배포되어야 합니다. 서버에는 최소 4GB RAM 및 .NET 4.7.1 이상 런타임이 있어야 합니다. 호스트 서버에 대상 Active Directory 도메인에 대한 네트워크 액세스 권한이 있어야 합니다.
온-프레미스 환경을 준비하기 위해, Microsoft Entra Connect 프로비저닝 에이전트 구성 마법사는 Microsoft Entra 테넌트에 에이전트를 등록하고, 포트를 열고, URL에 대한 액세스를 허용하고, 아웃바운드 HTTPS 프록시 구성을 지원합니다.
프로비저닝 에이전트는 Active Directory 도메인과 통신하도록 GMSA(전역 관리 서비스 계정)를 구성합니다.
프로비저닝 요청을 처리할 도메인 컨트롤러를 선택할 수 있습니다. 지리적으로 분산된 도메인 컨트롤러가 여러 개 있는 경우 기본 설정된 도메인 컨트롤러와 동일한 사이트에 프로비저닝 에이전트를 설치합니다. 이렇게 위치를 지정하면 엔드투엔드 솔루션의 안정성 및 성능이 향상됩니다.
고가용성을 위해 둘 이상의 Microsoft Entra Connect 프로비저닝 에이전트를 배포할 수 있습니다. 동일한 온-프레미스 Active Directory 도메인 집합을 처리하도록 에이전트를 등록합니다.
HR 프로비저닝 앱 배포 토폴로지 디자인
인바운드 사용자 프로비저닝 구성과 관련된 Active Directory 도메인 수에 따라 다음 배포 토폴로지 중 하나를 고려할 수 있습니다. 각 토폴로지 다이어그램은 예제 배포 시나리오를 사용하여 구성 측면을 강조해서 보여 줍니다. 배포 요구 사항과 매우 유사한 예를 사용하여 요구 사항에 맞는 구성을 결정합니다.
배포 토폴로지 1: 클라우드 HR의 모든 사용자를 단일 온-프레미스 Active Directory 도메인으로 프로비전하는 단일 앱
배포 토폴로지 1은 가장 일반적인 배포 토폴로지입니다. 클라우드 HR의 모든 사용자를 단일 AD 도메인으로 프로비저닝해야 하고 모든 사용자에게 동일한 프로비저닝 규칙이 적용되는 경우 이 토폴로지를 사용합니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 두 개의 프로비저닝 에이전트 노드를 설정합니다.
- 프로비저닝 에이전트 구성 마법사를 사용하여 Microsoft Entra 테넌트에서 AD 도메인을 등록합니다.
- 프로비저닝 앱을 구성할 때 등록된 도메인 드롭다운에서 AD 도메인을 선택합니다.
- 범위 지정 필터를 사용하는 경우 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
배포 토폴로지 2: 클라우드 HR에서 단일 온-프레미스 Active Directory 도메인으로 고유한 사용자 집합을 프로비전하는 별도의 앱
이 토폴로지는 사용자 유형(직원/계약자), 사용자 위치 또는 사용자의 사업부에 따라 특성 매핑 및 프로비전 논리가 다른 비즈니스 요구 사항을 지원합니다. 또한 이 토폴로지로 부서 또는 국가/지역에 따라 인바운드 사용자 프로비전의 관리 및 유지 관리를 위임할 수 있습니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 두 개의 프로비저닝 에이전트 노드를 설정합니다.
- 프로비저닝하려는 각 고유 사용자 집합에 대해 HR2AD 프로비저닝 앱을 만듭니다.
- 프로비전 앱에서 범위 지정 필터를 사용하여 각 앱을 처리할 사용자를 정의합니다.
- 관리자 참조가 개별 사용자 집합 전체에서 해결되어야 하는 시나리오에서는 별도의 HR2AD 프로비전 앱을 만듭니다. 예를 들어, 직원인 관리자에게 보고하는 계약자. manager 특성만 업데이트하려면 별도의 앱을 사용합니다. 이 앱의 범위를 모든 사용자로 설정합니다.
- 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
참고 항목
테스트 AD 도메인이 없으며 AD에서 TEST OU 컨테이너를 사용하는 경우 이 토폴로지에서 두 개의 개별 앱 HR2AD(프로덕션) 및 HR2AD(테스트)를 만들 수 있습니다. HR2AD(테스트) 앱을 사용하여 먼저 테스트를 거친 후 특성 매핑 변경 내용을 HR2AD(프로덕션) 앱으로 승격합니다.
배포 토폴로지 3: 클라우드 HR에서 여러 온-프레미스 Active Directory 도메인으로 고유한 사용자 집합을 프로비전하는 별도의 앱(도메인 간 표시 유형 없음)
동일한 포리스트에 속하는 여러 개의 독립적인 자식 AD 도메인을 관리하려면 토폴로지 3을 사용합니다. 관리자는 항상 사용자와 동일한 도메인에 존재하는지 확인합니다. 또한 userPrincipalName, samAccountName 및 mail과 같은 특성에 대한 고유 ID 생성 규칙에 포리스트 전체 조회가 필요하지 않은지 확인합니다. 토폴로지 3은 도메인 경계별로 각 프로비전 작업의 관리를 위임할 수 있는 유연성을 제공합니다.
예를 들어, 다이어그램에서 프로비전 앱은 NA(북아메리카), EMEA(유럽, 중동 및 아프리카) 및 APAC(아시아 태평양)와 같은 각 지리적 지역에 대해 설정됩니다. 위치에 따라 사용자는 해당 AD 도메인에 프로비저닝됩니다. EMEA 관리자가 EMEA 지역에 속한 사용자의 프로비저닝 구성을 독립적으로 관리할 수 있도록 프로비저닝 앱의 위임된 관리가 가능합니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 두 개의 프로비저닝 에이전트 노드를 설정합니다.
- 프로비저닝 에이전트 구성 마법사를 사용하여 Microsoft Entra 테넌트에서 모든 자식 AD 도메인을 등록합니다.
- 각 대상 도메인에 대해 별도의 HR2AD 프로비저닝 앱을 만듭니다.
- 프로비저닝 앱을 구성할 때 사용 가능한 AD 도메인 드롭다운에서 해당 자식 AD 도메인을 선택합니다.
- 프로비전 앱에서 범위 지정 필터를 사용하여 각 앱이 처리하는 사용자를 정의합니다.
- 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
배포 토폴로지 4: 클라우드 HR에서 여러 온-프레미스 Active Directory 도메인으로 고유한 사용자 집합을 프로비전하는 별도의 앱(도메인 간 표시 유형 있음)
동일한 포리스트에 속하는 여러 개의 독립적인 자식 AD 도메인을 관리하려면 토폴로지 4를 사용합니다. 사용자의 관리자는 다른 도메인에 존재할 수 있습니다. 또한 userPrincipalName, samAccountName 및 mail과 같은 특성에 대한 고유 ID 생성 규칙에는 포리스트 전체 조회가 필요합니다.
예를 들어, 다이어그램에서 프로비전 앱은 NA(북아메리카), EMEA(유럽, 중동 및 아프리카) 및 APAC(아시아 태평양)와 같은 각 지리적 지역에 대해 설정됩니다. 위치에 따라 사용자는 해당 AD 도메인에 프로비저닝됩니다. 도메인 간 관리자 참조 및 포리스트 전체 조회는 프로비저닝 에이전트에서 조회 추적을 사용하도록 설정하여 처리됩니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 두 개의 프로비저닝 에이전트 노드를 설정합니다.
- 프로비저닝 에이전트에서 조회 추적을 구성합니다.
- 프로비저닝 에이전트 구성 마법사를 사용하여 부모 AD 도메인 및 모든 자식 AD 도메인을 Microsoft Entra 테넌트에 등록합니다.
- 각 대상 도메인에 대해 별도의 HR2AD 프로비저닝 앱을 만듭니다.
- 각 프로비저닝 앱을 구성할 때 사용 가능한 AD 도메인 드롭다운에서 부모 AD 도메인을 선택합니다. 부모 도메인을 선택하면 userPrincipalName, samAccountName 및 mail과 같은 특성에 대한 고유한 값을 생성하는 동시에 포리스트 전체 조회가 보장됩니다.
- 식 매핑과 함께 parentDistinguishedName을 사용하여 올바른 자식 도메인 및 OU 컨테이너에서 사용자를 동적으로 만듭니다.
- 프로비전 앱에서 범위 지정 필터를 사용하여 각 앱이 처리하는 사용자를 정의합니다.
- 도메인 간 관리자 참조를 확인하려면 관리자 특성만 업데이트하기 위한 별도의 HR2AD 프로비저닝 앱을 만듭니다. 이 앱의 범위를 모든 사용자로 설정합니다.
- 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
배포 토폴로지 5: 클라우드 HR의 모든 사용자를 여러 온-프레미스 Active Directory 도메인으로 프로비저닝하는 단일 앱(도메인 간 가시성 있음)
단일 프로비저닝 앱을 사용하여 모든 부모 및 자식 AD 도메인에 속한 사용자를 관리하려면 이 토폴로지를 사용합니다. 이 토폴로지는 프로비전 규칙이 모든 도메인에서 일관되고 프로비전 작업의 위임된 관리를 위한 요구 사항이 없는 경우에 권장됩니다. 이 토폴로지는 도메인 간 관리자 참조를 확인하도록 지원하며 포리스트 전체의 고유성 검사를 수행할 수 있습니다.
예를 들어, 다이어그램에서 단일 프로비전 앱은 지역별, 즉 NA(북아메리카), 유럽, EMEA(중동 및 아프리카) 및 APAC(아시아 태평양)에 따라 그룹화되는 세 가지 자식 도메인에 있는 사용자를 관리합니다. parentDistinguishedName에 대한 특성 매핑은 적절한 자식 도메인에서 사용자를 동적으로 만드는 데 사용됩니다. 도메인 간 관리자 참조 및 포리스트 전체 조회는 프로비저닝 에이전트에서 조회 추적을 사용하도록 설정하여 처리됩니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 두 개의 프로비저닝 에이전트 노드를 설정합니다.
- 프로비저닝 에이전트에서 조회 추적을 구성합니다.
- 프로비저닝 에이전트 구성 마법사를 사용하여 부모 AD 도메인 및 모든 자식 AD 도메인을 Microsoft Entra 테넌트에 등록합니다.
- 전체 포리스트에 대한 단일 HR2AD 프로비저닝 앱을 만듭니다.
- 프로비저닝 앱을 구성할 때 사용 가능한 AD 도메인 드롭다운에서 부모 AD 도메인을 선택합니다. 부모 도메인을 선택하면 userPrincipalName, samAccountName 및 mail과 같은 특성에 대한 고유한 값을 생성하는 동시에 포리스트 전체 조회가 보장됩니다.
- 식 매핑과 함께 parentDistinguishedName을 사용하여 올바른 자식 도메인 및 OU 컨테이너에서 사용자를 동적으로 만듭니다.
- 범위 지정 필터를 사용하는 경우 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
배포 토폴로지 6: 클라우드 HR에서 연결이 끊긴 온-프레미스 Active Directory 포리스트로 고유한 사용자를 프로비저닝하는 별도의 앱
IT 인프라에서 AD 포리스트의 연결이 끊어지고/가입이 취소되고 비즈니스 소속에 따라 다른 포리스트에 사용자를 프로비저닝해야 하는 경우 이 토폴로지를 사용합니다. 예를 들어 자회사 Fabrikam에서 근무하는 사용자는 fabrikam.com 도메인으로 프로비저닝해야 하지만, 자회사 Contoso에 근무하는 사용자는 contoso.com에 프로비저닝해야 합니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 포리스트마다 하나씩 2개의 프로비저닝 에이전트 집합을 설정합니다.
- 포리스트마다 하나씩 두 개의 서로 다른 프로비저닝 앱을 만듭니다.
- 포리스트 내에서 도메인 간 참조를 확인해야 하는 경우 프로비저닝 에이전트에서 조회 추적을 사용하도록 설정합니다.
- 연결이 끊긴 각 포리스트에 대해 별도의 HR2AD 프로비저닝 앱을 만듭니다.
- 각 프로비저닝 앱을 구성할 때 사용 가능한 AD 도메인 이름 드롭다운에서 해당 부모 AD 도메인을 선택합니다.
- 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
배포 토폴로지 7: 여러 클라우드 HR에서 연결이 끊긴 온-프레미스 Active Directory 포리스트로 고유한 사용자를 프로비저닝하는 별도의 앱
대규모 조직에서는 여러 HR 시스템을 보유하는 것이 드문 일이 아닙니다. 비즈니스 M&A(합병 및 인수) 시나리오 중에 온-프레미스 Active Directory를 여러 HR 원본에 연결해야 할 수 있습니다. 여러 HR 원본이 있고 채널을 통해 이러한 HR 원본의 ID 데이터를 동일하거나 다른 온-프레미스 Active Directory 도메인에 연결하려는 경우 토폴로지가 권장됩니다.
주요 구성 측면
- 고가용성 및 장애 조치를 위해 포리스트마다 하나씩 2개의 프로비저닝 에이전트 집합을 설정합니다.
- 포리스트 내에서 도메인 간 참조를 확인해야 하는 경우 프로비저닝 에이전트에서 조회 추적을 사용하도록 설정합니다.
- 각 HR 시스템 및 온-프레미스 Active Directory 조합에 대해 별도의 HR2AD 프로비저닝 앱을 만듭니다.
- 각 프로비저닝 앱을 구성할 때 사용 가능한 AD 도메인 이름 드롭다운에서 해당 부모 AD 도메인을 선택합니다.
- 실수로 계정을 비활성화하는 것을 방지하도록 범위 외 삭제 건너뛰기 플래그를 구성합니다.
범위 지정 필터 및 특성 매핑 계획
클라우드 HR 앱에서 Active Directory 또는 Microsoft Entra ID로의 프로비전을 사용하도록 설정하면 Microsoft Entra 관리 센터는 특성 매핑을 통해 특성 값을 제어합니다.
범위 지정 필터 정의
범위 지정 필터를 사용하여 클라우드 HR 앱에서 Active Directory 또는 Microsoft Entra ID로 프로비전할 사용자를 결정하는 특성 기반 규칙을 정의합니다.
Joiners 프로세스를 시작하는 경우 다음 요구 사항을 수집합니다.
- 클라우드 HR 앱이 직원과 비정규직 작업자를 모두 등록하는 데 사용되나요?
- 클라우드 HR 앱에서 Microsoft Entra 사용자 프로비저닝에 사용하여 직원과 비정규직 작업자를 모두 관리할 계획인가요?
- 클라우드 HR 앱 사용자의 하위 집합에 대해서만 Microsoft Entra 사용자 프로비저닝에 클라우드 HR 앱을 롤아웃할 계획인가요? 예를 들면 직원만입니다.
요구 사항에 따라 특성 매핑을 구성할 때 원본 개체 범위 필드를 설정하여 클라우드 HR 앱의 사용자 집합을 Active Directory로 프로비저닝 범위에 속해야 하는 사용자 집합을 선택할 수 있습니다. 자세한 내용은 일반적으로 사용되는 범위 지정 필터에 대한 클라우드 HR 앱 자습서를 참조하세요.
일치 특성 결정
프로비저닝을 사용하면 원본 시스템과 대상 시스템 간에 기존 계정을 일치시킬 수 있습니다. 클라우드 HR 앱을 Microsoft Entra 프로비저닝 서비스와 통합하는 경우 클라우드 HR 앱에서 Active Directory 또는 Microsoft Entra ID로 이동해야 하는 사용자 데이터를 결정하는 특성 매핑을 구성할 수 있습니다.
Joiners 프로세스를 시작하는 경우 다음 요구 사항을 수집합니다.
- 이 클라우드 HR 앱에서 각 사용자를 식별하는 데 사용되는 고유 ID는 무엇인가요?
- ID 수명 주기 관점에서 재고용을 어떻게 처리하나요? 재고용 시 이전 직원 ID를 계속 유지하나요?
- 예정된 고용을 처리하고 사전에 Active Directory 계정을 만들어야 하나요?
- ID 수명 주기 관점에서 정규직과 비정규직 간 전환을 어떻게 처리하나요?
- 전환된 사용자가 이전 Active Directory 계정을 유지하나요 아니면 새 계정을 부여받나요?
요구 사항에 따라 Microsoft Entra ID는 상수 값 제공 또는 특성 매핑 식 작성을 통해 특성 간 직접 매핑을 지원합니다. 이러한 유연성을 통해 대상 앱 특성에 채워지는 내용을 궁극적으로 제어할 수 있습니다. Microsoft Graph API 및 Graph 탐색기를 사용하여 사용자 프로비저닝 특성 매핑 및 스키마를 JSON 파일로 내보내고 이를 다시 Microsoft Entra ID로 가져올 수 있습니다.
기본적으로 고유한 직원 ID를 나타내는 클라우드 HR 앱의 특성은 Active Directory의 고유 특성에 매핑된 일치 특성으로 사용됩니다. 예를 들어 Workday 앱 시나리오에서 Workday WorkerID 특성은 Active Directory employeeID 특성에 매핑됩니다.
일치 특성을 여러 개 설정하고 일치 우선 순위를 할당할 수 있습니다. 해당 특성이 일치 우선 순위에 따라 평가됩니다. 일치 항목이 발견되는 즉시 더 이상 일치 특성을 평가하지 않습니다.
기존 특성 매핑을 변경하거나 삭제하는 등 기본 특성 매핑을 사용자 지정할 수도 있습니다. 비즈니스 요구 사항에 따라서도 기본 특성 매핑을 사용자 지정할 수 있습니다. 자세한 내용은 매핑할 사용자 지정 특성 목록에 대한 클라우드 HR 앱 자습서(예: Workday)를 참조하세요.
사용자 계정 상태 확인
기본적으로 프로비전 커넥터 앱은 HR 사용자 프로필 상태를 사용자 계정 상태에 매핑합니다. 상태는 사용자 계정을 사용하도록 설정할지 사용하지 않도록 설정할지 결정하는 데 사용됩니다.
Joiners-Leavers 프로세스를 시작하는 경우 다음 요구 사항을 수집합니다.
Process | 요구 사항 |
---|---|
Joiners | ID 수명 주기 관점에서 재고용을 어떻게 처리하나요? 재고용 시 이전 직원 ID를 계속 유지하나요? |
예정된 고용을 처리하고 사전에 Active Directory 계정을 만들어야 하나요? 이러한 계정은 활성 상태로 생성되나요 아니면 비활성 상태로 생성되나요? | |
ID 수명 주기 관점에서 정규직과 비정규직 간 전환을 어떻게 처리하나요? | |
전환된 사용자는 이전 Active Directory 계정을 유지하나요 아니면 새 계정을 부여받나요? | |
Leavers | Active Directory에서 해지가 직원과 비정규직 작업자에 대해 다르게 처리되나요? |
사용자 해지를 처리하는 데 고려되는 유효 날짜를 무엇인가요? | |
정규직과 비정규직 간 전환이 기존 Active Directory 계정에 어떤 영향을 미치나요? | |
Active Directory에서 취소 작업을 처리하려면 어떻게 해야 하나요? Active Directory에서 Joiner 프로세스의 일부로 예정된 고용이 생성되는 경우 취소 작업을 처리해야 합니다. |
요구 사항에 따라, Active Directory 계정이 데이터 요소의 조합을 기반으로 활성화 또는 비활성화되도록 Microsoft Entra 식을 사용하여 매핑 논리를 사용자 지정할 수 있습니다.
클라우드 HR 앱에서 Active Directory로 사용자 특성 매핑
각 클라우드 HR 앱은 클라우드 HR과 Active Directory 간 기본 매핑을 제공합니다.
Joiners-Movers-Leavers 프로세스를 시작하는 경우 다음 요구 사항을 수집합니다.
Process | 요구 사항 |
---|---|
Joiners | Active Directory 계정 생성 프로세스가 수동, 자동화, 부분적으로 자동화 중 무엇인가요? |
클라우드 HR 앱에서 Active Directory로 사용자 지정 특성을 전파할 계획인가요? | |
Movers | 클라우드 HR 앱에서 Movers 작업이 발생하는 경우 어떤 특성을 처리하기를 원하나요? |
사용자를 업데이트할 때 특정 특성 유효성 검사를 수행하나요? 그렇다면 세부 정보를 제공하세요. | |
Leavers | Active Directory에서 해지가 직원과 비정규직 작업자에 대해 다르게 처리되나요? |
사용자 해지를 처리하는 데 고려되는 유효 날짜를 무엇인가요? | |
정규직과 비정규직 간 전환이 기존 Active Directory 계정에 어떤 영향을 미치나요? |
요구 사항에 따라 통합 목표를 충족하도록 매핑을 수정할 수 있습니다. 자세한 내용은 매핑할 사용자 지정 특성 목록에 대한 특정 클라우드 HR 앱 자습서(예: Workday)를 참조하세요.
고유한 특성 값 생성
CN, samAccountName 및 UPN과 같은 특성에는 고유한 제약 조건이 있습니다. 입사자 프로세스를 시작할 때 고유한 특성 값을 생성해야 할 수도 있습니다.
Microsoft Entra ID 함수 SelectUniqueValues는 각 규칙을 평가한 다음, 대상 시스템에서 고유성이 생성된 값을 확인합니다. 예제를 보려면 userPrincipalName(UPN) 특성에 대한 고유 값 생성을 참조하세요.
참고 항목
이 함수는 현재 Workday에서 Active Directory로, SAP SuccessFactors에서 Active Directory로 사용자 프로비전, API 기반으로 온-프레미스 Active Directory로 프로비전하는 경우에만 지원됩니다. 다른 프로비전 앱에서는 사용이 지원되지 않습니다.
Active Directory OU 컨테이너 할당 구성
사업부, 위치 및 부서에 따라 Active Directory 사용자 계정을 컨테이너에 저장하는 것이 일반적인 요구 사항입니다. Movers 프로세스를 시작하고 감독 조직이 변경되는 경우 Active Directory에서 한 OU에서 다른 OU로 사용자를 이동해야 할 수 있습니다.
Switch() 함수를 사용하여 OU 할당에 대한 비즈니스 논리를 구성하고 Active Directory 특성 parentDistinguishedName에 매핑합니다.
예를 들어 HR 특성 지방자치제를 기반으로 OU에 사용자를 만들려는 경우 다음 식을 사용할 수 있습니다.
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
이 식을 사용하는 경우 지방자치제 값이 댈러스, 오스틴, 시애틀 또는 런던이면 해당 OU에 사용자 계정이 만들어집니다. 일치하는 항목이 없으면 기본 OU에 계정이 만들어집니다.
새 사용자 계정의 암호 전달 계획
Joiners 프로세스를 시작하는 경우 새 사용자 계정의 임시 암호를 설정하고 전달해야 합니다. 클라우드 HR에서 Microsoft Entra 사용자 프로비저닝을 사용하면 첫 번째 날에 사용자에게 Microsoft Entra ID SSPR(셀프 서비스 암호 재설정) 기능을 롤아웃할 수 있습니다.
SSPR은 사용자가 암호를 재설정하거나 계정을 잠금 해제할 수 있도록 IT 관리자가 사용할 수 있는 간단한 수단입니다. 클라우드 HR 앱에서 Active Directory로 휴대폰 번호 특성을 프로비전하고 Microsoft Entra ID와 동기화할 수 있습니다. 모바일 번호 특성이 Microsoft Entra ID에 프로비전된 후에는 사용자 계정에 대해 SSPR을 사용하도록 설정할 수 있습니다. 그러면 새 사용자가 첫 날부터 인증을 위해 휴대폰 번호를 등록하고 확인될 수 있습니다. 인증 연락처 정보를 미리 채우는 방법에 대한 자세한 내용은 SSPR 설명서를 참조하세요.
초기 주기 계획
Microsoft Entra 프로비저닝 서비스를 처음 실행하는 경우 클라우드 HR 앱에 초기 주기를 수행하여 클라우드 HR 앱 내 모든 사용자 개체의 스냅샷을 만듭니다. 초기 주기에 소요되는 시간은 원본 시스템에 있는 사용자 수에 따라 결정됩니다. 사용자가 10만 명을 상회하는 일부 클라우드 HR 앱 테넌트는 초기 주기가 오랜 시간이 걸릴 수 있습니다.
대규모 클라우드 HR 앱 테넌트(>사용자 3만 이상)의 경우 점진적 단계로 초기 주기를 실행합니다. 다양한 사용자 프로비저닝 시나리오에서 Active Directory에 올바른 특성이 설정되는지 확인한 이후에만 증분 업데이트를 시작합니다. 다음 순서를 따르세요.
- 범위 지정 필터를 설정하여 제한된 사용자 집합에 대해서만 초기 주기를 실행합니다.
- 첫 번째 실행에 선택된 사용자에 대해 설정된 Active Directory 계정 프로비저닝 및 특성 값을 확인합니다. 결과가 예상과 일치하는 경우 범위 지정 필터를 확장하여 점차 더 많은 사용자를 포함하고 두 번째 실행의 결과를 확인합니다.
테스트 사용자에 대한 초기 주기 결과가 만족스러우면 증분 업데이트를 시작합니다.
테스트 및 보안 계획
배포는 초기 파일럿부터 사용자 프로비전 사용까지의 스테이지로 구성됩니다. 각 스테이지에서 예상 결과를 테스트하고 있는지 확인합니다. 또한 프로비전 주기 감사를 수행합니다.
테스트 계획
클라우드 HR 앱을 Microsoft Entra 사용자 프로비저닝으로 구성한 후 테스트 사례를 실행하여 이 솔루션이 조직의 요구 사항을 충족하는지 확인합니다.
시나리오 | 예상 결과 |
---|---|
클라우드 HR 앱에서 새 직원을 채용합니다. | - 사용자 계정은 Active Directory에서 프로비전됩니다. - 사용자는 Active Directory 도메인 앱에 로그인하여 원하는 작업을 수행할 수 있습니다. - Microsoft Entra Connect 동기화가 구성된 경우 사용자 계정도 Microsoft Entra ID에서 생성됩니다. |
클라우드 HR 앱에서 사용자가 해지됩니다. | - Active Directory에서 사용자 계정이 사용하지 않도록 설정되어 있습니다. - 사용자는 Active Directory로 보호되는 엔터프라이즈 앱에 로그인할 수 없습니다. |
Cloud HR 앱에서 사용자 감독 조직이 업데이트됩니다. | 특성 매핑에 따라 사용자 계정이 Active Directory에서 한 OU에서 다른 OU로 이동합니다. |
HR이 클라우드 HR 앱에서 사용자의 관리자를 업데이트합니다. | Active Directory의 관리자 필드가 새 관리자의 이름을 반영하여 업데이트됩니다. |
HR이 직원을 새 역할로 다시 고용합니다. | 동작은 클라우드 HR 앱이 직원 ID를 생성하도록 구성된 방식에 따라 달라집니다. 재고용된 직원에게 이전 직원 ID가 사용되는 경우 커넥터는 해당 사용자에 대해 기존 Active Directory 계정을 사용하도록 설정합니다. 재고용된 직원이 새 직원 ID를 가져오면 커넥터는 해당 사용자를 위한 새 Active Directory 계정을 만듭니다. |
HR이 직원을 계약직 작업자로 전환하거나 그 반대로 전환합니다. | 새 가상 사용자에 대한 새 Active Directory 계정이 생성되고 이전 계정이 전환 개시 날짜에 비활성화됩니다. |
위의 결과를 사용하여 설정된 타임라인에 따라 자동 사용자 프로비저닝 구현을 프로덕션으로 전환하는 방법을 결정합니다.
팁
프로덕션 데이터를 사용하여 테스트 환경을 새로 고칠 때 개인정보보호 및 보안 표준을 준수하도록 데이터 감소 및 데이터 스크러빙과 같은 기술을 사용하여 중요한 개인 데이터를 제거하거나 마스킹하세요.
보안 계획
신규 서비스 배포의 일부로 보안 검토가 필요한 경우가 많습니다. 보안 검토가 필요하거나 수행되지 않은 경우 서비스로서의 ID를 개략적으로 설명하는 여러 Microsoft Entra ID 백서를 참조하세요.
롤백 계획
클라우드 HR 사용자 프로비저닝 구현이 프로덕션 환경에서 원하는 대로 작동하지 않을 수 있습니다. 이 경우 다음 롤백 단계를 수행하면 양호한 것으로 알려진 이전 상태로 되돌리는 데 도움이 될 수 있습니다.
- 프로비저닝 로그를 검토하여 영향을 받는 사용자 또는 그룹에서 어떤 잘못된 작업이 수행되었는지 확인합니다. 프로비저닝 요약 보고서 및 로그에 대한 자세한 내용은 클라우드 HR 앱 사용자 프로비저닝 관리를 참조하세요.
- 영향을 가져오는 사용자 또는 그룹의 양호한 것으로 알려진 마지막 상태는 프로비전 로그를 통하거나 대상 시스템(Microsoft Entra ID 또는 Active Directory)을 검토하여 확인할 수 있습니다.
- 앱 소유자와 협력하여 양호한 것으로 알려진 마지막 상태 값을 사용하여 앱의 직접적인 영향을 받는 사용자 또는 그룹을 업데이트합니다.
클라우드 HR 앱 배포
솔루션 요구 사항에 부합하는 클라우드 HR 앱을 선택합니다.
Workday: Workday에서 Active Directory 및 Microsoft Entra ID로 작업자 프로필을 가져오려면 자습서: 자동 사용자 프로비저닝을 위한 Workday 구성을 참조하세요. 필요에 따라 이메일 주소, 사용자 이름 및 전화 번호를 Workday에 쓰기 저장할 수 있습니다.
SAP SuccessFactors: SuccessFactors에서 Active Directory 및 Microsoft Entra ID로 작업자 프로필을 가져오려면 자습서: 자동 사용자 프로비저닝을 위한 SAP SuccessFactors 구성을 참조하세요. 필요에 따라 이메일 주소 및 사용자 이름을 SuccessFactors에 쓰기 저장할 수 있습니다.
구성 관리
Microsoft Entra ID는 프로비전 로그 및 보고서를 통해 조직의 사용자 프로비전 사용량 및 운영 상태에 대한 더 많은 인사이트를 제공할 수 있습니다.
보고서 및 로그에서 인사이트 얻기
초기 주기가 성공적으로 완료되면 Microsoft Entra 프로비저닝 서비스는 각 앱의 자습서에 정의된 간격으로 다음 이벤트 중 하나가 발생할 때까지 증분 업데이트를 무기한으로 실행합니다.
- 서비스를 수동으로 종료하는 경우. 새 초기 주기는 Microsoft Entra 관리 센터 또는 적절한 Microsoft Graph API 명령을 사용하여 트리거합니다.
- 특성 매핑 또는 범위 지정 필터가 변경되어 새 초기 주기가 트리거되는 경우
- 높은 오류 비율로 인해 프로비저닝 프로세스가 격리 상태로 전환되는 경우. 프로세스가 4주 이상 격리 상태를 유지하는 경우 자동으로 사용하지 않도록 설정됩니다.
이러한 이벤트 및 프로비저닝 서비스에서 수행하는 다른 모든 작업을 검토하려면 프로비저닝 작업에 대한 로그를 검토하고 보고서를 확인하는 방법을 알아봅니다.
Azure Monitor 로그
프로비저닝 서비스에서 실행하는 모든 작업은 Microsoft Entra 프로비저닝 로그에 기록됩니다. Microsoft Entra 프로비전 로그를 Log Analytics 작업 영역으로 라우팅할 수 있습니다. 그러면 데이터를 Azure Monitor 로그 및 Microsoft Entra 통합 문서로 보내 이벤트를 찾고, 추세를 분석하고, 다양한 데이터 원본에서 상관 관계를 수행할 수 있습니다. 실제 사용자 시나리오에서 Microsoft Entra 로그에 대해 Azure Monitor 로그를 사용할 때의 이점을 알아보려면 이 비디오를 시청하세요.
Log Analytics 및 Microsoft Entra 통합 문서를 사용하도록 설정하려면 Log Analytics 작업 영역을 구성해야 합니다. 그런 다음 진단 설정을 구성하여 데이터를 적절한 엔드포인트로 라우팅합니다. 자세한 내용은 다음을 참조하세요.
- Log Analytics 작업 영역 구성
- Microsoft Entra 활동 로그를 Azure Monitor 로그와 통합
- Microsoft Entra 통합 문서 사용 방법
- 프로비전 Insights 통합 문서
개인 데이터 관리
Windows Server에 설치된 Microsoft Entra Connect 프로비저닝 에이전트는 클라우드 HR 앱에서 Active Directory로 특성 매핑에 따라 개인 데이터를 포함할 수 있는 Windows 이벤트 로그에 로그를 생성합니다. 사용자 개인 정보 보호 의무를 준수하려면 Windows 예약 작업을 설정하여 이벤트 로그를 삭제하고 데이터가 48시간 이상 유지되지 않도록 합니다.
Microsoft Entra 프로비저닝 서비스는 30일 이상 데이터를 저장, 처리 또는 보관하지 않으므로 30일 이상 기간에 대해서는 보고서, 분석 또는 인사이트를 제공하지 않습니다.
입사자-이동자-퇴직자 수명 주기 워크플로 관리
HR 중심 프로비전 프로세스를 확장하여 신규 채용, 고용 변경 및 해고와 관련된 비즈니스 프로세스 및 보안 제어를 더욱 자동화할 수 있습니다. Microsoft Entra ID Governance 수명 주기 워크플로를 사용하면 다음과 같은 Joiner-Mover-Leaver 워크플로를 구성할 수 있습니다.
- 신입 사원이 입사하기 "X"일 전에 관리자에게 이메일을 보내고, 사용자를 그룹에 추가하고, 최초 로그인을 위한 임시 액세스 패스를 생성합니다.
- 사용자의 부서, 직함, 그룹 멤버 자격이 변경되면 사용자 지정 작업을 시작합니다.
- 근무 마지막 날 관리자에게 이메일을 보내고 그룹 및 라이선스 할당에서 사용자를 제거합니다.
- 퇴사 후 "X"일이 지나면 Microsoft Entra ID에서 사용자를 삭제합니다.
문제 해결
프로비저닝 중에 발생할 수 있는 문제를 해결하려면 다음 문서를 참조하세요.
- Microsoft Entra 갤러리 애플리케이션에 대한 사용자 프로비전 구성 문제
- 애플리케이션에 프로비전하기 위해 온-프레미스 Active Directory의 특성을 Microsoft Entra ID로 동기화
- Microsoft Entra 갤러리 애플리케이션에 대한 사용자 프로비저닝을 구성하는 동안 관리자 자격 증명을 저장하는 문제
- Microsoft Entra 갤러리 애플리케이션에 사용자가 프로비전되지 않음
- 잘못된 사용자 세트가 Microsoft Entra 갤러리 애플리케이션에 프로비전됨
- 에이전트 문제 해결을 위한 Windows 이벤트 뷰어 설정
- 서비스 문제 해결을 위한 Microsoft Entra 관리 센터 프로비전 로그 설정
- AD 사용자 계정 생성 작업에 대한 로그 이해
- 관리자 업데이트 작업에 대한 로그 이해
- 일반적으로 발생하는 오류 해결