Azure Active Directory를 사용하여 SaaS 애플리케이션의 사용자를 자동으로 프로비저닝 및 프로비저닝 해제Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Azure Active Directory (Azure AD)를 사용 하면 Dropbox, Salesforce, ServiceNow 등과 같은 클라우드 (SaaS) 응용 프로그램의 사용자 id 생성, 유지 관리 및 제거를 자동화할 수 있습니다.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more. 이를 SaaS 앱에 대 한 자동화 된 사용자 프로비저닝 이라고 합니다.This is known as automated user provisioning for SaaS apps.

이 기능을 통해 다음을 수행할 수 있습니다.This feature lets you:

  • 새로운 사람이 팀 또는 조직에 가입할 때 적절한 시스템에서 새 계정을 자동으로 만듭니다.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • 사용자가 팀 또는 조직을 떠날 때 적절한 시스템에서 계정을 자동으로 비활성화합니다.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • 디렉터리 또는 인사 관리 시스템의 변경 내용에 따라 앱 및 시스템의 ID가 최신 상태로 유지되도록 합니다.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • 그룹과 같이 사용자가 아닌 개체를 지원하는 애플리케이션에 해당 개체를 프로비전합니다.Provision non-user objects, such as groups, to applications that support them.

자동화 된 사용자 프로 비전에는 다음 기능도 포함 됩니다.Automated user provisioning also includes this functionality:

  • 원본 시스템과 대상 시스템 간에 기존 id를 일치 시킬 수 있습니다.Ability to match existing identities between source and target systems.
  • 소스 시스템에서 대상 시스템으로 이동되어야 하는 사용자 데이터를 정의하는 사용자 지정 가능한 특성 매핑입니다.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • 프로비전닝 오류를 전자 메일로 받을 수 있는 선택적 기능.Optional email alerts for provisioning errors.
  • 모니터링 및 문제 해결에 도움이 되는 보고 및 활동 로그.Reporting and activity logs to help with monitoring and troubleshooting.

자동 프로비전을 사용하는 이유는 무엇입니까?Why use automated provisioning?

이 기능을 사용하게 되는 일반적인 동기는 다음과 같습니다.Some common motivations for using this feature include:

  • 수동 프로비저닝 절차에서 빚어지는 비용, 비효율성, 사람의 실수를 방지합니다.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • 사용자 지정 개발된 프로비저닝 솔루션과 스크립트를 호스트하고 유지하는 데 관련된 비용을 방지합니다.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • 조직에서 나갈 때 키 SaaS 앱에서 사용자 id를 즉시 제거 하 여 조직의 보안을 유지 합니다.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • 특정 SaaS 응용 프로그램 또는 시스템으로 많은 사용자를 쉽게 가져올 수 있습니다.Easily importing a large number of users into a particular SaaS application or system.
  • 단일 정책 집합을 포함 하 여 프로 비전 된 사용자 및 앱에 로그인 할 수 있는 사람을 결정 합니다.Having a single set of policies to determine who is provisioned and who can sign in to an app.

자동 프로비전은 어떻게 작동합니까?How does automatic provisioning work?

AZURE AD 프로 비전 서비스 는 각 응용 프로그램 공급 업체에서 제공 하는 사용자 관리 API 끝점에 연결 하 여 SaaS 앱 및 기타 시스템에 사용자를 프로 비전 합니다.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. 이러한 사용자 관리 API 엔드포인트를 사용하면 Azure AD에서 프로그래밍 방식으로 사용자를 만들고, 업데이트하고, 제거할 수 있습니다.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. 선택한 응용 프로그램의 경우 프로 비전 서비스는 그룹 및 역할과 같은 추가 id 관련 개체를 만들고 업데이트 하 고 제거할 수도 있습니다.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

![Azure AD 프로 비전 서비스 @ no__t-1 @ no__t-2Figure 1: Azure AD Provisioning Service*Azure AD Provisioning Service Figure 1: The Azure AD Provisioning Service

![Outbound 바운드 사용자 프로 비전 워크플로 @ no__t-1 @ no__t-2Figure 2: Azure AD에서 인기 있는 SaaS 애플리케이션으로의 “아웃바운드” 사용자 프로비저닝 워크플로*Outbound user provisioning workflow Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

![ 인바운드 사용자 프로 비전 워크플로 @ no__t-1 @ no__t-2Figure 3: 인기 있는 HCM(Human Capital Management) 애플리케이션에서 Azure Active Directory 및 Windows Server Active Directory로의 “인바운드”사용자 프로비저닝 워크플로*Inbound user provisioning workflow Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Azure AD 자동 사용자 프로비전에서 사용할 수 있는 애플리케이션과 시스템은 무엇입니까?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD는 널리 사용 되는 많은 SaaS 앱 및 인적 자원 시스템에 대 한 사전 통합 된 지원과 Scim 2.0 표준의 특정 부분을 구현 하는 앱에 대 한 일반 지원을 제공 합니다.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

사전 통합된 애플리케이션Pre-integrated applications

Azure AD가 미리 통합된 프로비저닝 커넥터를 지원하는 모든 애플리케이션 목록을 보려면 사용자 프로비저닝에 대한 애플리케이션 자습서 목록을 참조하세요.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Azure AD 엔지니어링 팀에 문의하여 추가 애플리케이션에 대한 프로비전 지원을 요청하려면 Azure Active Directory 피드백 포럼을 통해 메시지를 제출하세요.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

참고

애플리케이션에서 자동화된 사용자 프로비저닝을 지원하려면, 먼저 외부 프로그램에서 사용자 만들기, 유지 관리 및 제거를 자동화하는 데 필요한 사용자 관리 API를 제공해야 합니다.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. 따라서 모든 SaaS 앱이 이 기능과 호환되지는 않습니다.Therefore, not all SaaS apps are compatible with this feature. 사용자 관리 Api를 지 원하는 앱의 경우 Azure AD 엔지니어링 팀은 이러한 앱에 대 한 프로 비전 커넥터를 빌드할 수 있으며이 작업은 현재 및 잠재 고객의 요구에 따라 우선 순위가 지정 됩니다.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

SCIM 2.0을 지원하는 애플리케이션 연결Connecting applications that support SCIM 2.0

SCIM 2.0 기반 사용자 관리 API를 구현하는 애플리케이션에 일반적으로 연결하는 방법에 대한 자세한 내용은 SCIM을 사용하여 사용자 및 그룹을 Azure Active Directory에서 애플리케이션으로 자동으로 프로비전을 참조하세요.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

애플리케이션에 자동 프로비전을 설정하려면 어떻게 합니까?How do I set up automatic provisioning to an application?

Azure Active Directory 포털을 사용 하 여 선택한 응용 프로그램에 대 한 Azure AD 프로 비전 서비스를 구성 합니다.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Azure Active Directory 포털 을 엽니다.Open the Azure Active Directory portal.

  2. 왼쪽 창에서 엔터프라이즈 응용 프로그램 을 선택 합니다.Select Enterprise applications from the left pane. 구성 된 모든 앱의 목록이 표시 됩니다.A list of all configured apps is show.

  3. + 새 응용 프로그램을 선택 하 여 응용 프로그램을 추가 합니다.Choose + New application to add an application. 시나리오에 따라 다음 중 하나를 추가 합니다.Add either of the following depending on your scenario:

    • 사용자 고유의 앱 추가 옵션은 사용자 지정 개발 된 scim 통합을 지원 합니다.The Add your own app option supports custom-developed SCIM integrations.
    • 갤러리에서 추가 > 추천 응용 프로그램 섹션의 모든 응용 프로그램은 자동 프로 비전을 지원 합니다.All applications in the Add from the gallery > Featured applications section support automatic provisioning. 추가 애플리케이션을 보려면 사용자 프로비전에 대한 애플리케이션 자습서 목록을 참조하세요.See the list of application tutorials for user provisioning for additional ones.
  4. 세부 정보를 입력 하 고 추가를 선택 합니다.Provide any details and select Add. 새 앱이 엔터프라이즈 응용 프로그램 목록에 추가 되 고 응용 프로그램 관리 화면으로 열립니다.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. 프로 비전 을 선택 하 여 앱에 대 한 사용자 계정 프로 비전 설정을 관리 합니다.Select Provisioning to manage user account provisioning settings for the app.

    프로 비전 설정 화면을 표시 합니다.

  6. 프로 비전 모드 에 대해 자동 옵션을 선택 하 여 관리자 자격 증명, 매핑, 시작 및 중지 및 동기화에 대 한 설정을 지정 합니다.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • 관리자 자격 증명 을 확장 하 여 Azure AD에 응용 프로그램의 사용자 관리 API에 연결 하는 데 필요한 자격 증명을 입력 합니다.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. 또한이 섹션에서는 자격 증명이 실패 하거나 프로 비전 작업이 격리되는 경우 전자 메일 알림을 사용 하도록 설정할 수 있습니다.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • 매핑 을 확장 하 여 사용자 계정이 프로 비전 되거나 업데이트 될 때 Azure AD와 대상 응용 프로그램 간에 흐르는 사용자 특성을 보고 편집 합니다.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. 대상 응용 프로그램에서 지 원하는 경우이 섹션에서 필요에 따라 그룹 및 사용자 계정 프로 비전을 구성할 수 있습니다.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. 테이블에서 매핑을 선택 하 여 사용자 특성을 확인 하 고 사용자 지정할 수 있는 오른쪽의 매핑 편집기를 엽니다.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      범위 지정 필터 는 프로 비전 서비스에 원본 시스템의 사용자 및 그룹을 프로 비전 하거나 대상 시스템에 프로 비전 해제를 알려 줍니다.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. 특성 매핑 창에서 원본 개체 범위 를 선택 하 여 특정 특성 값을 필터링 합니다.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. 예를 들어 "Department" 특성이 "Sales"인 사용자만 프로비전 범위에 속해야 한다고 지정할 수 있습니다.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. 자세한 내용은 범위 지정 필터 사용을 참조하세요.For more information, see Using scoping filters.

      자세한 내용은 특성 매핑 사용자 지정을 참조하세요.For more information, see Customizing Attribute Mappings.

    • 설정은 현재 실행 중인지 여부를 포함 하 여 응용 프로그램에 대 한 프로 비전 서비스의 작업을 제어 합니다.Settings control the operation of the provisioning service for an application, including whether it's currently running. 범위 메뉴에서는 할당 된 사용자 및 그룹만 프로 비전 범위에 속해야 하는지 아니면 Azure AD 디렉터리의 모든 사용자를 프로 비전 해야 할지를 지정할 수 있습니다.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. 사용자 및 그룹 "할당"에 대한 자세한 내용은 Azure Active Directory에서 엔터프라이즈 앱에 사용자 또는 그룹 할당을 참조하세요.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

앱 관리 화면에서 프로 비전 로그 (미리 보기) 를 선택 하 여 Azure AD 프로 비전 서비스에서 실행 하는 모든 작업의 레코드를 확인 합니다.In the app management screen, select Provisioning logs (preview) to view records of every operation run by the Azure AD provisioning service. 자세한 내용은 프로비전 보고 가이드를 참조하세요.For more information, see the provisioning reporting guide.

예제-앱에 대 한 로그 프로비저닝 화면

참고

Microsoft Graph API를 사용하여 Azure AD 사용자 프로비저닝 서비스를 구성 및 관리할 수도 있습니다.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

프로비전하는 동안 어떻게 됩니까?What happens during provisioning?

Azure AD가 소스 시스템인 경우 프로비저닝 서비스는 Azure AD Graph API의 차등 쿼리 기능을 사용하여 사용자와 그룹을 모니터링합니다.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. 프로 비전 서비스는 원본 시스템 및 대상 시스템에 대해 초기 주기를 실행 한 다음 주기적 증분 주기를 실행 합니다.The provisioning service runs an initial cycle against the source system and target system, followed by periodic incremental cycles.

초기 주기Initial cycle

프로 비전 서비스가 시작 되 면 첫 번째 동기화는 다음과 같이 실행 됩니다.When the provisioning service is started, the first sync ever run will:

  1. 특성 매핑에 정의된 모든 특성을 검색하여 소스 시스템에서 모든 사용자와 그룹을 쿼리합니다.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. 구성된 할당 또는 특성 기반 범위 지정 필터를 사용하여 반환된 사용자 및 그룹을 필터링합니다.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. 사용자가 할당 되거나 프로 비전 범위에 있는 경우 서비스는 지정 된 일치 특성을 사용 하 여 대상 시스템에 일치 하는 사용자를 쿼리 합니다.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. 예: 원본 시스템의 userPrincipal 이름이 일치하는 특성이고 대상 시스템의 userName에 매핑되는 경우, 프로비전 서비스는 대상 시스템에서 원본 시스템의 userPrincipal 이름 값과 일치하는 userNames를 쿼리합니다.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. 대상 시스템에서 일치 하는 사용자를 찾을 수 없는 경우 소스 시스템에서 반환 된 특성을 사용 하 여 생성 됩니다.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. 사용자 계정을 만든 후 프로 비전 서비스는 새 사용자에 대 한 대상 시스템의 ID를 검색 하 고 캐시 합니다 .이 ID는 해당 사용자에 대 한 모든 이후 작업을 실행 하는 데 사용 됩니다.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. 일치 하는 사용자가 있는 경우 원본 시스템에서 제공 하는 특성을 사용 하 여 업데이트 됩니다.If a matching user is found, it's updated using the attributes provided by the source system. 사용자 계정이 일치 한 후 프로 비전 서비스는 새 사용자에 대 한 대상 시스템의 ID를 검색 하 고 캐시 합니다 .이 ID는 해당 사용자에 대 한 모든 이후 작업을 실행 하는 데 사용 됩니다.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. 특성 매핑에 "참조" 특성이 포함 되어 있으면 서비스는 대상 시스템에서 추가 업데이트를 수행 하 여 참조 된 개체를 만들고 연결 합니다.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. 예를 들어 대상 시스템에 있는 한 사용자의 “Manager” 특성이 대상 시스템에서 생성된 다른 사용자에 연결되어 있을 수 있습니다.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. 이후 증분 주기에 대 한 시작 지점을 제공 하는 초기 주기 끝에 워터 마크를 유지 합니다.Persist a watermark at the end of the initial cycle, which provides the starting point for the later incremental cycles.

ServiceNow, G Suite 및 Box와 같은 일부 응용 프로그램은 사용자를 프로 비전 할 뿐만 아니라 그룹과 해당 구성원도 프로 비전 할 수 있습니다.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. 이러한 경우 매핑에서그룹 프로 비전이 사용 하도록 설정 된 경우 프로 비전 서비스는 사용자와 그룹을 동기화 한 다음 나중에 그룹 멤버 자격을 동기화 합니다.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

증분 주기Incremental cycles

초기 주기 후 다른 모든 주기는 다음을 수행 합니다.After the initial cycle, all other cycles will:

  1. 소스 시스템에서 마지막 워터마크가 저장된 이후 업데이트된 사용자 및 그룹을 쿼리합니다.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. 구성된 할당 또는 특성 기반 범위 지정 필터를 사용하여 반환된 사용자 및 그룹을 필터링합니다.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. 사용자가 할당 되거나 프로 비전 범위에 있는 경우 서비스는 지정 된 일치 특성을 사용 하 여 대상 시스템에 일치 하는 사용자를 쿼리 합니다.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. 대상 시스템에서 일치 하는 사용자를 찾을 수 없는 경우 소스 시스템에서 반환 된 특성을 사용 하 여 생성 됩니다.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. 사용자 계정을 만든 후 프로 비전 서비스는 새 사용자에 대 한 대상 시스템의 ID를 검색 하 고 캐시 합니다 .이 ID는 해당 사용자에 대 한 모든 이후 작업을 실행 하는 데 사용 됩니다.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. 일치 하는 사용자가 있는 경우 원본 시스템에서 제공 하는 특성을 사용 하 여 업데이트 됩니다.If a matching user is found, it's updated using the attributes provided by the source system. 새로 할당 된 계정인 경우 프로 비전 서비스는 새 사용자에 대 한 대상 시스템의 ID를 검색 하 고 캐시 합니다 .이 ID는 해당 사용자에 대 한 모든 이후 작업을 실행 하는 데 사용 됩니다.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. 특성 매핑에 "참조" 특성이 포함 되어 있으면 서비스는 대상 시스템에서 추가 업데이트를 수행 하 여 참조 된 개체를 만들고 연결 합니다.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. 예를 들어 대상 시스템에 있는 한 사용자의 “Manager” 특성이 대상 시스템에서 생성된 다른 사용자에 연결되어 있을 수 있습니다.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. 이전에 프로비저닝 범위에 있던 사용자가 범위에서 제거되면(할당 취소되는 경우 포함), 서비스는 업데이트를 통해 대상 시스템에서 사용자를 해제합니다.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. 이전에 프로비저닝 범위에 있던 사용자가 소스 시스템에서 해제 또는 일시 삭제되면 서비스는 업데이트를 통해 대상 시스템에서 사용자를 해제합니다.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. 이전에 프로비저닝 범위에 있던 사용자가 소스 시스템에서 영구 삭제되면 서비스는 대상 시스템에서 사용자를 삭제합니다.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Azure AD에서 사용자는 일시 삭제 된 후 30 일 후에 하드 삭제 됩니다.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. 이후 증분 주기에 대 한 시작점을 제공 하는 증분 주기의 끝에 새 워터 마크를 유지 합니다.Persist a new watermark at the end of the incremental cycle, which provides the starting point for the later incremental cycles.

참고

필요에 따라 매핑 섹션에서 대상 개체 작업 확인란을 사용 하 여 만들기, 업데이트또는 삭제 작업을 비활성화할 수 있습니다.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. 업데이트 중에 사용자를 해제하는 논리도 “accountEnabled”와 같은 필드의 특성 매핑을 통해 제어됩니다.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

프로 비전 서비스는 다음 이벤트 중 하나가 발생할 때까지 각 응용 프로그램과 관련 된 자습서에 정의 된 간격에 따라 다시 백 엔드 증분 주기를 무기한 실행 합니다.The provisioning service continues running back-to-back incremental cycles indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • 서비스가 Azure Portal을 사용하여 수동으로 중지되거나 적절한 Graph API 명령을 사용하여 중지됩니다.The service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Azure Portal에서 Clear state 및 restart 옵션을 사용 하거나 적절 한 Graph API 명령을 사용 하 여 새로운 초기 순환이 트리거됩니다.A new initial cycle is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. 이 작업을 수행 하면 저장 된 워터 마크가 모두 지워지며 모든 소스 개체가 다시 평가 됩니다.This action clears any stored watermark and causes all source objects to be evaluated again.
  • 특성 매핑 또는 범위 지정 필터의 변경으로 인해 새 초기 순환이 트리거됩니다.A new initial cycle is triggered because of a change in attribute mappings or scoping filters. 이 작업을 수행 하면 저장 된 워터 마크가 모두 지워지므로 모든 원본 개체가 다시 평가 됩니다.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • 높은 오류 비율로 인해 프로 비전 프로세스가 격리 (아래 참조) 되 고 4 주 넘게 격리 상태로 유지 됩니다.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. 이 이벤트가 발생하면 자동으로 서비스를 사용할 수 없게 됩니다.In this event, the service will be automatically disabled.

오류 및 다시 시도Errors and retries

대상 시스템에 오류가 발생 하 여 대상 시스템에서 개별 사용자를 추가, 업데이트 또는 삭제할 수 없는 경우 다음 동기화 주기에서 작업을 다시 시도 합니다.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. 사용자가 계속 실패하면 감소된 빈도로 다시 시도되기 시작하여, 점차 하루에 한 번만 시도되는 빈도까지 축소됩니다.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. 오류를 해결 하려면 관리자가 프로 비전 로그 를 확인 하 여 근본 원인을 확인 하 고 적절 한 조치를 취해야 합니다.To resolve the failure, administrators must check the provisioning logs to determine the root cause and take the appropriate action. 일반적인 오류는 다음과 같습니다.Common failures can include:

  • 대상 시스템에서 필요한 특성이 사용자의 소스 시스템에 채워져 있지 않음Users not having an attribute populated in the source system that is required in the target system
  • 대상 시스템에 unique 제약 조건이 있고 다른 사용자 레코드에 동일한 값이 있는 원본 시스템에 특성 값이 있는 사용자Users having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

이러한 오류는 소스 시스템에서 영향을 받는 사용자의 특성 값을 조정하거나 충돌이 발생하지 않도록 특성 매핑을 조정하여 해결할 수 있습니다.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

격리Quarantine

오류 (예: 잘못 된 관리자 자격 증명)로 인해 대상 시스템에 대해 수행 되는 대부분의 호출이 일관 되 게 실패 하는 경우 프로 비전 작업은 "격리" 상태가 됩니다.If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. 이 상태는 Azure Portal에서 전자 메일 알림이 구성 된 경우 프로 비전 요약 보고서 와 전자 메일을 통해 표시 됩니다.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

격리에서 증분 주기의 빈도는 하루에 한 번만 점차적으로 줄어듭니다.When in quarantine, the frequency of incremental cycles is gradually reduced to once per day.

모든 잘못 된 오류를 수정 하 고 다음 동기화 주기를 시작 하면 프로 비전 작업이 격리에서 제거 됩니다.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. 프로비저닝 작업이 4주 넘게 격리 상태로 유지되면 프로비저닝 작업을 사용할 수 없게 됩니다.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

사용자를 프로비전하는 데 걸리는 시간은 어느 정도인가요?How long will it take to provision users?

성능은 프로 비전 작업에서 초기 프로 비전 주기 또는 증분 주기를 실행 하 고 있는지 여부에 따라 달라 집니다.Performance depends on whether your provisioning job is running an initial provisioning cycle or an incremental cycle. 프로 비전에 소요 되는 시간 및 프로 비전 서비스의 상태를 모니터링 하는 방법에 대 한 자세한 내용은 사용자 프로 비전 상태 확인을 참조 하세요.For details about how long provisioning takes and how to monitor the status of the provisioning service, see Check the status of user provisioning.

사용자가 적절히 프로비전되는지 어떻게 확인할 수 있나요?How can I tell if users are being provisioned properly?

사용자 프로 비전 서비스에 의해 실행 되는 모든 작업은 Azure AD 프로 비전 로그 (미리 보기)에 기록 됩니다.All operations run by the user provisioning service are recorded in the Azure AD Provisioning logs (preview). 여기에는 원본 및 대상 시스템에 대 한 모든 읽기 및 쓰기 작업과 각 작업 중에 읽거나 쓴 사용자 데이터가 포함 됩니다.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Azure Portal에서 프로 비전 로그를 읽는 방법에 대 한 자세한 내용은 프로 비전 보고 가이드를 참조 하세요.For information on how to read the provisioning logs in the Azure portal, see the provisioning reporting guide.

사용자 프로비저닝 문제를 어떻게 해결하나요?How do I troubleshoot issues with user provisioning?

자동 사용자 프로비전 문제를 해결하는 방법에 대한 시나리오 기반 지침은 애플리케이션에 사용자를 구성 및 프로비전하는 문제를 참조하세요.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

자동 사용자 프로비저닝을 롤아웃하기 위한 모범 사례는 무엇인가요?What are the best practices for rolling out automatic user provisioning?

애플리케이션에 대한 아웃바운드 사용자 프로비저닝에 대한 단계별 배포 계획 예제는 사용자 프로비저닝에 대한 ID 배포 가이드를 참조하세요.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

질문과 대답Frequently asked questions

SaaS 앱에 대한 자동 사용자 프로비저닝이 Azure AD의 B2B 사용자에게 작동하나요?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

예, Azure AD 사용자 프로 비전 서비스를 사용 하 여 Azure AD의 B2B (또는 게스트) 사용자를 SaaS 응용 프로그램에 프로 비전 할 수 있습니다.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

그러나 B2B 사용자가 Azure AD를 사용 하 여 SaaS 응용 프로그램에 로그인 하는 경우 SaaS 응용 프로그램에는 특정 방식으로 구성 된 SAML 기반 Single Sign-On 기능이 있어야 합니다.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. B2B 사용자의 로그인을 지원하도록 SaaS 애플리케이션을 구성하는 방법에 대한 자세한 내용은 B2B 협업을 위한 SaaS 앱 구성을 참조하세요.For more information on how to configure SaaS applications to support sign-ins from B2B users, see Configure SaaS apps for B2B collaboration.

SaaS 앱에 대한 자동 사용자 프로비저닝이 Azure AD의 동적 그룹에 작동하나요?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

예.Yes. "할당 된 사용자 및 그룹만 동기화"로 구성 된 경우 Azure AD 사용자 프로 비전 서비스는 사용자가 동적 그룹의 구성원 인지 여부에 따라 SaaS 응용 프로그램에서 사용자를 프로 비전 하거나 프로 비전 해제할 수 있습니다.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. 또한 동적 그룹은 “모든 사용자 및 그룹 동기화” 옵션을 사용할 때도 작동합니다.Dynamic groups also work with the "sync all users and groups" option.

그러나 동적 그룹의 사용은 Azure AD에서 SaaS 애플리케이션으로의 엔드투엔드 사용자 프로비저닝에 대한 전체 성능에 영향을 줄 수 있습니다.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. 동적 그룹을 사용 하는 경우 다음과 같은 주의 사항 및 권장 사항을 염두에 두십시오.When using dynamic groups, keep these caveats and recommendations in mind:

  • 동적 그룹의 사용자가 SaaS 애플리케이션에서 프로비전 또는 프로비전 해제되는 속도는 동적 그룹이 멤버 자격 변경을 평가하는 속도에 따라 좌우됩니다.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. 동적 그룹의 처리 상태를 확인하는 방법에 대한 내용은 멤버 자격 규칙에 대한 처리 상태 확인을 참조하세요.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • 동적 그룹을 사용 하는 경우 멤버 자격이 손실 되어 프로 비전 해제 이벤트가 발생 하므로 규칙은 사용자 프로 비전 및 프로 비전 해제를 염두에 두면 신중 하 게 고려해 야 합니다.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

SaaS 앱에 대한 자동 사용자 프로비저닝이 Azure AD의 중첩 그룹에 작동하나요?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

아니요.No. "할당 된 사용자 및 그룹만 동기화"로 구성 된 경우 Azure AD 사용자 프로 비전 서비스는 중첩 된 그룹에 있는 사용자를 읽거나 프로 비전 할 수 없습니다.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. 명시적으로 할당 된 그룹의 직접 구성원 인 사용자를 읽고 프로 비전 할 수 있습니다.It's only able to read and provision users that are immediate members of the explicitly assigned group.

이것은 Single Sign-On에도 영향을 미치는 “애플리케이션에 대한 그룹 기반 할당”의 제한 사항으로, 그룹을 사용하여 SaaS 애플리케이션에 대한 액세스 관리에 설명되어 있습니다.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

이 문제를 해결 하려면 프로 비전 해야 하는 사용자가 포함 된 그룹을 명시적으로 할당 하거나 그 밖 의 범위를 지정 해야 합니다.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

암호화 된 채널을 사용 하 여 Azure AD와 대상 응용 프로그램 간에 프로 비전 합니까?Is provisioning between Azure AD and a target application using an encrypted channel?

예.Yes. 서버 대상에 대해 HTTPS SSL 암호화를 사용 합니다.We use HTTPS SSL encryption for the server target.