자습서: OKTA 동기화 프로비전을 Microsoft Entra Connect 동기화로 마이그레이션
이 자습서에서는 OKTA에서 Microsoft Entra ID로 사용자 프로비전을 마이그레이션하고, 사용자 동기화 또는 유니버설 동기화를 Microsoft Entra Connect에 마이그레이션하는 방법을 알아봅니다. 이 기능을 사용하면 Microsoft Entra ID 및 Office 365에 프로비전할 수 있습니다.
참고 항목
동기화 플랫폼을 마이그레이션하는 경우 사용자 환경을 고려하여 이 문서에 언급된 단계의 유효성을 검사한 후 준비 모드에서 Microsoft Entra Connect를 제거하거나 Microsoft Entra 클라우드 프로비전 에이전트를 사용합니다.
필수 조건
OKTA 프로비전에서 Microsoft Entra ID로 전환하는 경우 두 가지 선택 사항이 있습니다. Microsoft Entra Connect 서버 또는 Microsoft Entra 클라우드 프로비전을 사용합니다.
자세한 정보: Microsoft Entra Connect와 클라우드 동기화 간의 비교.
Microsoft Entra 클라우드 프로비전은 유니버설 동기화 또는 사용자 동기화를 사용하는 OKTA 고객에게 가장 친숙한 마이그레이션 경로가 됩니다. 클라우드 프로비전 에이전트는 경량입니다. OKTA 디렉터리 동기화 에이전트와 같은 도메인 컨트롤러에 또는 그 근처에 설치할 수 있습니다. 동일한 서버에 설치하지 마세요.
사용자를 동기화할 때 조직에서 다음 기술이 필요한 경우 Microsoft Entra Connect 서버를 사용합니다.
- 디바이스 동기화: Microsoft Entra 하이브리드 조인 또는 비즈니스용 Hello
- 통과 인증
- 150,000개 이상의 개체 지원
- 쓰기 저장에 대한 지원
Microsoft Entra Connect를 사용하려면 하이브리드 ID 관리자 역할로 로그인해야 합니다.
참고 항목
Microsoft Entra Connect 또는 Microsoft Entra 클라우드 프로비전을 설치할 때는 모든 필수 구성 요소를 고려합니다. 설치를 계속하기 전에 Microsoft Entra Connect 필수 구성 요소를 참조하세요.
OKTA에서 동기화된 ImmutableID 특성 확인
ImmutableID 특성은 동기화된 개체를 온-프레미스 개체와 연결합니다. OKTA는 온-프레미스 개체의 Active Directory objectGUID를 가져와 Base64로 인코딩된 문자열로 변환합니다. 그런 후 기본적으로 해당 문자열을 Microsoft Entra ID의 ImmutableID 필드에 스탬프합니다.
Microsoft Graph PowerShell에 연결하고 현재 ImmutableID 값을 검사할 수 있습니다. Microsoft Graph PowerShell 모듈을 사용하지 않은 경우 명령을 실행하기 전에 관리 세션에서 실행합니다.
모듈이 있는 경우 최신 버전으로 업데이트하라는 경고가 표시될 수 있습니다.
설치된 모듈을 가져옵니다.
인증 창에서 적어도 하이브리드 ID 관리자로 로그인합니다.
테넌트에 연결합니다.
ImmutableID 값 설정을 확인합니다. 다음 예는 objectGUID를 ImmutableID로 변환하는 기본 방법입니다.
objectGUID에서 Base64 온-프레미스로의 변환을 수동으로 확인합니다. 개별 값을 테스트하려면 다음 명령을 사용합니다.
Get-MgUser onpremupn | fl objectguid $objectguid = 'your-guid-here-1010' [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
objectGUID 대량 유효성 검사 메서드
Microsoft Entra Connect로 이동하기 전에 Microsoft Entra ID의 ImmutableID 값이 온-프레미스 값과 일치하는지 유효성을 검사해야 합니다.
다음 명령은 온-프레미스 Microsoft Entra 사용자를 가져오고 이미 CSV 파일로 계산된 objectGUID 값 및 ImmutableID 값 목록을 내보냅니다.
온-프레미스 도메인 컨트롤러의 Microsoft Graph PowerShell에서 다음 명령을 실행합니다.
Get-MgUser -Filter * -Properties objectGUID | Select-Object UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID'; Expression = { [system.convert]::ToBase64String((GUID).tobytearray()) } } | export-csv C:\Temp\OnPremIDs.csv
Microsoft Graph PowerShell 세션에서 명령을 실행하여 동기화된 값을 나열합니다.
둘 다 내보낸 후 사용자 ImmutableID 값이 일치하는지 확인합니다.
Important
클라우드의 ImmutableID 값이 objectGUID 값과 일치하지 않는 경우 OKTA 동기화에 대한 기본값을 수정한 것입니다. ImmutableID 값을 확인하기 위해 다른 특성을 선택했을 수 있습니다. 다음 섹션을 진행하기 전에 ImmutableID 값을 채우는 원본 특성을 식별합니다. OKTA 동기화를 사용하지 않도록 설정하기 전에 OKTA에서 동기화 중인 특성을 업데이트합니다.
준비 모드에서 Microsoft Entra Connect 설치
원본 및 대상 목록을 준비한 후 Microsoft Entra Connect 서버를 설치합니다. Microsoft Entra Connect 클라우드 프로비전을 사용하는 경우 이 섹션을 건너뜁니다.
서버에 Microsoft Entra Connect를 다운로드하여 설치합니다. Microsoft Entra Connect 사용자 지정 설치를 참조합니다.
왼쪽 패널에서 사용자 식별을 선택합니다.
사용자를 고유하게 식별 페이지의 Microsoft Entra ID로 사용자를 식별하는 방법 선택에서 특정 특성 선택을 선택합니다.
Okta 기본값을 수정하지 않은 경우 mS-DS-ConsistencyGUID를 선택합니다.
Warning
이 단계는 중요합니다. 원본 앵커에 대해 선택한 특성이 Microsoft Entra 사용자를 채우는지 확인합니다. 잘못된 특성을 선택한 경우 Microsoft Entra Connect를 제거한 후 다시 설치하여 이 옵션을 다시 선택합니다.
다음을 선택합니다.
왼쪽 패널에서 구성을 선택합니다.
구성 준비 페이지에서 준비 모드 사용을 선택합니다.
설치를 선택합니다.
ImmutableID 값이 일치하는지 확인합니다.
구성을 완료하면 끝내기를 선택합니다.
관리자 권한으로 동기화 서비스를 엽니다.
domain.onmicrosoft.com 커넥터 공간에 대한 전체 동기화를 찾습니다.
흐름 업데이트가 있는 커넥터 탭 아래에 사용자가 있는지 확인합니다.
내보내기에 보류 중인 삭제 항목이 없는지 확인합니다.
커넥터 탭을 선택합니다.
domain.onmicrosoft.com 커넥터 공간을 강조 표시합니다.
커넥터 공간 검색을 선택합니다.
커넥터 공간 검색 대화 상자의 범위에서 보류 중인 내보내기를 선택합니다.
삭제를 선택합니다.
검색을 선택합니다. 모든 개체가 일치하는 경우 삭제에 일치하는 레코드가 표시되지 않습니다.
개체에서 보류 중인 삭제 항목과 해당 온-프레미스 값을 기록합니다.
삭제를 선택 취소합니다.
추가를 선택합니다.
수정을 선택합니다.
검색을 선택합니다.
OKTA를 통해 Microsoft Entra에 동기화되는 사용자에게 업데이트 함수가 표시됩니다. Microsoft Entra Connect 설치 중에 선택한 OU(조직 구성 단위) 구조에 있는 OKTA에서 동기화되지 않은 새로운 개체를 추가합니다.
어떤 Microsoft Entra Connect가 Microsoft Entra ID와 통신하는지 확인하려면 업데이트를 두 번 클릭합니다.
참고 항목
사용자에 대한 add 함수가 Microsoft Entra ID에 있는 경우 해당 온-프레미스 계정은 클라우드 계정과 일치하지 않습니다. Entra Connect에서 새로운 개체를 만들고 예기치 않은 새로운 추가 사항을 기록합니다.
- 준비 모드를 종료하기 전에 Microsoft Entra ID에서 ImmutableID 값을 수정합니다.
이 예에서 OKTA는 온-프레미스 값이 정확하지 않더라도 mail 특성을 사용자 계정에 스탬프 처리했습니다. Microsoft Entra Connect에서 해당 계정을 인계받은 경우 mail 특성이 개체에서 삭제됩니다.
- 업데이트에 Microsoft Entra ID에 필요한 특성이 포함되어 있는지 확인합니다. 여러 특성을 삭제하는 경우 준비 모드를 제거하기 전에 온-프레미스 AD 값을 채울 수 있습니다.
참고 항목
계속하기 전에 사용자 특성이 동기화되고 보류 중인 내보내기 탭에 표시되는지 확인합니다. 삭제된 경우 ImmutableID 값이 일치하고 사용자가 동기화하기 위해 선택한 OU에 있는지 확인합니다.
Microsoft Entra Connect 클라우드 동기화 에이전트 설치
원본 및 대상 목록을 준비한 후에는 Microsoft Entra Connect 클라우드 동기화 에이전트를 설치 및 구성합니다. 자습서: 단일 Microsoft Entra 테넌트와 단일 포리스트 통합을 참조하세요.
참고 항목
Microsoft Entra Connect 서버를 사용하는 경우 이 섹션을 건너뜁니다.
Microsoft Entra ID에 OKTA 프로비전 사용 안 함
Microsoft Entra Connect 설치를 확인한 후 OKTA 프로비전을 Microsoft Entra ID로 사용하지 않도록 설정합니다.
OKTA 포털로 이동합니다.
애플리케이션을 선택합니다.
사용자를 Microsoft Entra ID에 프로비전하는 OKTA 앱을 선택합니다.
프로비전 탭을 선택합니다.
통합 섹션을 선택합니다.
편집을 선택합니다.
API 통합 사용 옵션을 선택 취소합니다.
저장을 선택합니다.
참고 항목
Microsoft Entra ID로 프로비전을 처리하는 Office 365 앱이 여러 개 있는 경우 모두 해제되어 있는지 확인합니다.
Microsoft Entra Connect에서 준비 모드 사용 안 함
OKTA 프로비전을 사용하지 않도록 설정하면 Microsoft Entra Connect 서버에서 개체를 동기화할 수 있습니다.
참고 항목
Microsoft Entra Connect 클라우드 동기화 에이전트를 사용하는 경우 이 섹션을 건너뜁니다.
- 바탕 화면에서 설치 마법사를 실행합니다.
- 구성을 선택합니다.
- 준비 모드 구성을 선택합니다.
- 다음을 선택합니다.
- 환경에 대한 하이브리드 ID 관리자 계정의 자격 증명을 입력합니다.
- 준비 모드 사용을 선택 취소합니다.
- 다음을 선택합니다.
- 구성을 선택합니다.
- 구성 후 관리자 권한으로 동기화 서비스를 엽니다.
- domain.onmicrosoft.com 커넥터에서 내보내기를 확인합니다.
- 추가, 업데이트 및 삭제 항목을 확인합니다.
- 마이그레이션이 완료되었습니다. 설치 마법사를 다시 실행하여 Microsoft Entra Connect 기능을 업데이트하고 확장합니다.
클라우드 동기화 에이전트 사용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
OKTA 프로비전을 사용하지 않도록 설정하면 Microsoft Entra Connect 클라우드 동기화 에이전트에서 개체를 동기화할 수 있습니다.
- 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>하이브리드 관리>Microsoft Entra Connect>Connect 동기화로 이동합니다.
- 구성 프로필을 선택합니다.
- 사용을 선택합니다.
- 프로비저닝 메뉴로 돌아가서 로그를 선택합니다.
- 프로비전 커넥터가 현재 위치 개체를 업데이트했는지 확인합니다. 클라우드 동기화 에이전트는 비파괴입니다. 일치 항목을 찾을 수 없으면 업데이트에 실패합니다.
- 사용자가 일치하지 않으면 업데이트를 수행하여 ImmutableID 값을 바인딩합니다.
- 클라우드 프로비전 동기화를 다시 시작합니다.