사용자 프로비저닝 상태 확인
Microsoft Entra 프로비전 서비스는 원본 시스템과 대상 시스템에 대해 초기 프로비전 주기를 실행한 후 주기적인 증분 주기를 실행합니다. 앱에 대한 프로비전을 구성하는 경우 프로비전 서비스의 현재 상태를 확인하고 사용자가 앱에 액세스할 수 있는 시기를 확인할 수 있습니다.
프로비전 진행률 표시줄 보기
앱의 프로비전 페이지에서 Microsoft Entra 프로비전 서비스의 상태를 볼 수 있습니다. 페이지 아래쪽의 현재 상태 섹션에는 프로비전 주기가 사용자 계정 프로비전을 시작했는지 여부가 표시됩니다. 주기의 진행 상태를 보고, 프로비전된 사용자 및 그룹의 수를 확인하고, 생성된 역할 수를 확인할 수 있습니다.
자동 프로비전을 처음 구성하는 경우 페이지의 맨 아래에 있는 현재 상태 섹션에 초기 프로비전 주기의 상태가 표시됩니다. 이 섹션은 증분 주기가 실행될 때마다 업데이트됩니다. 다음 세부 정보가 표시됩니다.
- 현재 실행 중이거나 마지막으로 완료된 프로비전 주기(초기 또는 증분)의 유형.
- 완료된 프로비전 주기의 백분율을 보여 주는 진행률 표시줄. 백분율은 프로비전된 페이지 수를 반영합니다. 각 페이지에는 여러 사용자 또는 그룹이 포함될 수 있으므로 이 백분율은 프로비전된 사용자, 그룹 또는 역할의 수와 직접적인 상관관계는 없습니다.
- 보기를 업데이트하는 데 사용할 수 있는 새로 고침 단추.
- 커넥터 데이터 저장소에 있는 사용자 및 그룹의 수입니다. 프로비전 범위에 개체가 추가될 때마다 수가 늘어납니다. 사용자가 일시 삭제되거나 영구 삭제된 경우 작업이 커넥터 데이터 저장소에서 개체를 제거하지 않기 때문에 개수가 줄어들지 않습니다. CDS가 초기화된 후 첫 번째 동기화에서 개수가 다시 계산됩니다.
- Microsoft Entra 프로비전 로그를 여는 감사 로그 보기 링크. 개별 사용자의 프로비전 상태를 포함하여 사용자 프로비전 서비스에서 실행하는 작업에 대해 자세히 알아보려면 문서 뒷부분에 나오는 프로비전 로그 사용을 참조하세요.
프로비전 주기가 완료된 후 누적 통계 섹션에는 마지막 주기의 완료 날짜 및 기간과 함께 현재까지 프로비전된 사용자 및 그룹의 누적 수가 표시됩니다. 활동 ID는 가장 최근의 프로비전 주기를 고유하게 식별합니다. 작업 ID는 프로비전 작업의 고유한 식별자이며 테넌트 내의 앱에만 적용됩니다.
프로비전 진행률은 Microsoft Entra 관리 센터의 ID>애플리케이션>엔터프라이즈 애플리케이션> [애플리케이션 이름] >프로비전에서 볼 수 있습니다.
Microsoft Graph를 사용하여 애플리케이션에 대한 프로비전 상태를 프로그래밍 방식으로 모니터링할 수도 있습니다. 자세한 내용은 프로비전 모니터링을 참조하세요.
프로비전 로그를 사용하여 사용자의 프로비전 상태 확인
선택한 사용자의 프로비전 상태를 확인하려면 Microsoft Entra ID에서 프로비전 로그를 참조하세요. 사용자 프로비전 서비스에서 실행하는 모든 작업은 Microsoft Entra 프로비전 로그에 기록됩니다. 로그에는 원본 및 대상 시스템에 대한 읽기 및 쓰기 작업이 포함됩니다. 읽기 및 쓰기 작업과 관련된 관련 사용자 데이터도 기록됩니다.
활동 섹션에서 ID>애플리케이션>엔터프라이즈 애플리케이션>프로비저닝 로그를 선택하여 Microsoft Entra 관리 센터에서 프로비전 로그에 액세스할 수 있습니다. 원본 시스템이나 대상 시스템에서 사용자의 이름 또는 식별자를 기준으로 프로비전 데이터를 검색할 수 있습니다. 자세한 내용은 프로비저닝 로그를 참조하세요.
프로비전 로그에는 다음을 포함하여 프로비전 서비스에서 수행한 모든 작업이 기록됩니다.
- 프로비전 범위 내에 있는 할당된 사용자에 대한 Microsoft Entra ID 쿼리
- 해당 사용자의 존재에 대해 대상 앱 쿼리
- 시스템 간의 사용자 개체 비교
- 비교를 기반으로 대상 시스템에서 사용자 계정 추가, 업데이트 또는 비활성화
Microsoft Entra 관리 센터에서 프로비전 로그를 읽는 방법에 대한 자세한 내용은 프로비전 보고 가이드를 참조하세요.
사용자를 프로비전하는 데 걸리는 시간은 어느 정도인가요?
애플리케이션과 함께 자동 사용자 프로비전을 사용할 때 명심해야 할 몇 가지 사항이 있습니다. 첫째, Microsoft Entra ID는 사용자 및 그룹 할당 등을 기반으로 앱의 사용자 계정을 자동으로 프로비전하고 업데이트합니다. 동기화는 정기적으로 예약된 시간 간격(일반적으로 40분마다)으로 발생합니다.
지정된 사용자를 프로비전하는 데 걸리는 시간은 주로 프로비전 작업에서 초기 주기 또는 증분 주기를 실행하는지 여부에 따라 달라집니다.
초기 주기의 경우, 작업 시간은 프로비전 범위에 속하는 사용자 및 그룹 수와 원본 시스템에 있는 사용자 및 그룹의 총 수를 포함하여 여러 요인에 따라 달라집니다. Microsoft Entra ID와 앱 간의 첫 번째 동기화는 빠르면 20분, 길게는 몇 시간이 걸립니다. 시간은 Microsoft Entra 디렉터리의 크기와 프로비전 범위에 있는 사용자 수에 따라 다릅니다. 초기 주기 성능에 영향을 주는 요인의 포괄적인 목록은 이 섹션의 뒷부분에 요약되어 있습니다.
초기 주기 후 증분 주기의 경우, 프로비전 서비스는 초기 주기 후에 두 시스템의 상태를 나타내는 워터마크를 저장하므로 작업 시간이 빨라져(10분 이내) 후속 동기화의 성능이 개선됩니다. 작업 시간은 해당 프로비전 주기에서 검색된 변경 수에 따라 달라집니다. 사용자 또는 그룹 멤버 자격 변경 사항이 5,000개 미만인 경우, 단일 증분 프로비전 주기 내에 작업이 완료될 수 있습니다.
다음 표에는 일반적인 프로비저닝 시나리오의 동기화 시간이 요약되어 있습니다. 이러한 시나리오에서 원본 시스템은 Microsoft Entra ID이고 대상 시스템은 SaaS 애플리케이션입니다. 동기화 시간은 SaaS 애플리케이션인 ServiceNow, Workplace, Salesforce 및 G Suite에 대한 동기화 작업의 통계 분석에서 파생된 것입니다.
범위 구성 | 범위 내 사용자, 그룹 및 멤버 | 초기 주기 시간 |
---|---|---|
할당된 사용자 및 그룹만 동기화 | < 1,000 | < 30분 |
할당된 사용자 및 그룹만 동기화 | 1,000 - 10,000 | 142 - 708분 |
할당된 사용자 및 그룹만 동기화 | 10,000 - 100,000 | 1,170 - 2,340분 |
Microsoft Entra ID의 모든 사용자 및 그룹 동기화 | < 1,000 | < 30분 |
Microsoft Entra ID의 모든 사용자 및 그룹 동기화 | 1,000 - 10,000 | < 30 - 120분 |
Microsoft Entra ID의 모든 사용자 및 그룹 동기화 | 10,000 - 100,000 | 713 - 1,425분 |
Microsoft Entra ID의 모든 사용자 동기화 | < 1,000 | < 30분 |
Microsoft Entra ID의 모든 사용자 동기화 | 1,000 - 10,000 | 43 - 86분 |
할당된 사용자 및 그룹만 동기화 구성의 경우, 다음 공식을 사용하여 대략적인 최소 및 최대 예상 초기 주기 시간을 확인할 수 있습니다.
- 최소 시간(분) = 0.01 x [할당된 사용자, 그룹 및 그룹 멤버 수]
- 최대 시간(분) = 0.08 x [할당된 사용자, 그룹 및 그룹 멤버 수]
초기 주기를 완료하는 데 걸리는 시간에 영향을 주는 요인 요약:
프로비저닝 범위에 속하는 사용자 및 그룹의 총 수
원본 시스템에 있는 사용자, 그룹 및 그룹 멤버의 총 수(Microsoft Entra ID)입니다.
프로비전 범위 내 사용자가 대상 애플리케이션의 기존 사용자와 일치하는지 여부 또는 처음 생성해야 하는지 여부. 모든 사용자가 처음 생성되는 동기화 작업이 모든 사용자가 기존 사용자와 일치하는 동기화 작업보다 약 '두 배' 정도 오래 걸립니다.
프로비전 로그의 오류 수. 많은 오류가 있고 프로비저닝 서비스가 격리 상태로 전환된 경우 성능이 저하됩니다.
대상 시스템에서 구현된 요청 비율 한도 및 제한. 일부 대상 시스템은 큰 동기화 작업 중 성능에 영향을 줄 수 있는 요청 비율 한도 및 제한을 구현합니다. 이러한 조건에서 너무 많은 요청을 너무 빠르게 받는 앱은 응답 속도가 느려지거나 연결을 닫을 수도 있습니다. 성능을 개선하려면 커넥터가 앱이 처리할 수 있는 속도보다 빠르게 앱 요청이 전송되지 않도록 조정해야 합니다. Microsoft에서 빌드한 프로비저닝 커넥터는 이러한 조정 작업을 수행합니다.
할당된 그룹 수 및 크기. 할당된 그룹 동기화가 사용자 동기화보다 시간이 오래 걸립니다. 할당된 그룹 수와 크기는 둘 다 성능에 영향을 줍니다. 애플리케이션에 그룹 개체 동기화가 사용되는 매핑이 있는 경우 그룹 이름 및 멤버 자격과 같은 그룹 속성이 사용자와 함께 동기화됩니다. 이러한 동기화는 사용자 개체 동기화보다 시간이 더 오래 걸립니다.
성능이 문제가 되고 테넌트에서 대부분의 사용자 및 그룹을 프로비전하려는 경우 범위 지정 필터를 사용합니다. 범위 지정 필터를 사용하면 특정 특성 값을 기준으로 사용자를 필터링하여 프로비전 서비스가 Microsoft Entra ID에서 추출하는 데이터를 미세 조정할 수 있습니다. 범위 지정 필터에 대한 자세한 내용은 범위 지정 필터를 사용한 특성 기반 애플리케이션 프로비전을 참조하세요.
대부분의 경우 증분 주기는 30분 안에 완료됩니다. 그러나 수백 또는 수천 건의 사용자 변경이나 그룹 멤버 자격 변경이 있는 경우 증분 주기 시간은 처리할 변경 수에 비례하여 증가하며 몇 시간이 걸릴 수 있습니다. 할당된 사용자 및 그룹 동기화를 사용하고 프로비전 범위 내 사용자/그룹 수를 최소화하면 동기화 시간을 줄이는 데 도움이 됩니다.
사용자 및/또는 그룹 프로비전 시간을 줄이기 위한 권장 사항:
sync all users and groups
대신assigned users and groups
를 동기화하도록 프로비전 범위를 설정합니다.- 프로비전 범위에 있는 사용자 및 그룹 수를 최소화합니다.
- 동일한 시스템을 대상으로 하는 여러 프로비전 작업을 만듭니다. 이렇게 하면 각 동기화 작업이 독립적으로 작동하여 변경 내용을 처리하는 데 걸리는 시간이 줄어듭니다. 한 작업의 변경 내용이 다른 작업에 영향을 미치지 않도록 하려면 이러한 프로비전 작업 간에 사용자 범위를 구별해야 합니다.
- 프로비전 범위에 있는 사용자 및 그룹 수를 추가로 제한하려면 범위 지정 필터를 추가합니다.
프로비전 구성에 대한 변경 내용 감사
프로비전 구성 변경 내용은 감사 로그에 기록됩니다. 애플리케이션 관리자 및 보고서 읽기 권한자와 같은 필요한 권한이 있는 사용자는 감사 로그 UI, API, PowerShell을 통해 로그에 액세스할 수 있습니다. 감사 로그의 활동 필터를 사용하여 다음 작업을 식별할 수 있습니다.
참고 항목
프로비전 서비스에서 수행하는 작업(예: 사용자 만들기, 사용자 업데이트, 사용자 삭제)의 경우 프로비전 로그를 사용하는 것이 좋습니다. 프로비전 구성의 변경 내용을 모니터링하려면 감사 로그를 사용하는 것이 좋습니다.
작업 | 작업(이 속성에 대한 로그 필터링) |
---|---|
자격 증명 업데이트(예: 새 전달자 토큰 추가) | 프로비전 설정 또는 자격 증명 업데이트 |
프로비전 작업의 설정 변경(예: 알림 메일, 전체 동기화 및 할당된 사용자 및 그룹 동기화, 실수로 인한 삭제 방지) | 프로비전 설정 또는 자격 증명 업데이트 |
프로비저닝 시작 | 프로비전 구성 사용/시작 |
프로비전 중지 | 프로비전 구성 사용 안 함/일시 중지 |
프로비저닝 다시 시작 | 프로비전 구성 사용/다시 시작 |
특성 매핑 또는 범위 지정 규칙 업데이트 | 특성 매핑 또는 범위 업데이트 |
다음 단계
Microsoft Entra ID를 사용하여 SaaS 애플리케이션에 대한 사용자 프로비전 및 프로비전 해제를 자동화합니다.