웹 서비스 커넥터를 사용한 프로비전
다음 설명서는 일반 웹 서비스 커넥터에 대한 정보를 제공합니다. Microsoft Entra ID Governance는 SAP ECC, Oracle eBusiness Suite 및 REST 또는 SOAP API를 노출하는 LOB(사업 부문) 애플리케이션과 같은 다양한 애플리케이션에 계정 프로비전을 지원합니다. 이러한 애플리케이션에 연결하기 위해 이전에 MIM을 배포한 고객은 MIM용으로 빌드된 동일한 웹 서비스 커넥터를 재사용하면서 경량 Microsoft Entra 프로비전 에이전트 사용으로 쉽게 전환할 수 있습니다.
지원되는 기능
- 애플리케이션에서 사용자를 만듭니다.
- 더 이상 액세스가 필요하지 않은 경우 애플리케이션에서 사용자를 제거합니다.
- Microsoft Entra ID와 애플리케이션 간에 사용자 특성을 동기화된 상태로 유지합니다.
- 애플리케이션의 스키마를 검색합니다.
웹 서비스 커넥터는 다음 함수를 구현합니다.
SOAP 발견: 관리자가 대상 웹 서비스에 의해 노출된 WSDL 경로를 입력할 수 있습니다. 검색은 작업의 메타데이터 설명과 함께 내부 엔드포인트 또는 작업을 포함하는 애플리케이션의 호스트된 웹 서비스의 트리 구조를 생성합니다. 수행할 수 있는 발견 작업 수에는 제한이 없습니다(단계별). 발견된 작업은 나중에 데이터 원본에 대한 커넥터 작업을 구현하는 작업 흐름(Import/Export)을 구성하는 데 사용됩니다.
REST 검색: 관리자가 서비스 엔드포인트, 리소스 경로, 메서드 및 매개 변수 세부 정보를 포함한 REST 서비스 세부 정보를 입력할 수 있습니다. REST 서비스 정보는
wsconfig
프로젝트의discovery.xml
파일에 저장됩니다. 나중에 관리자가 워크플로에서 Rest 웹 서비스 작업을 구성하는 데 사용됩니다.스키마 구성: 관리자가 스키마를 구성할 수 있습니다. 스키마 구성에는 특정 애플리케이션에 대한 개체 형식 및 특성 목록이 포함됩니다. 관리자는 특성이 스키마의 일부가 되도록 선택할 수 있습니다.
워크플로 구성: 웹 서비스 함수에 프로비전되는 사용자의 매개 변수 할당을 포함하여 노출된 웹 서비스 작업 함수를 통해 개체 형식별 가져오기 및 내보내기 작업 구현을 구성하기 위한 워크플로 디자이너 UI입니다.
프로비전을 위한 필수 조건
온-프레미스 필수 조건
프로비저닝 에이전트를 실행하는 컴퓨터에는 다음이 있어야 합니다.
- 애플리케이션의 REST 또는 SOAP 엔드포인트에 대한 연결은 물론 login.microsoftonline.com, 기타 Microsoft Online Services 및 Azure 도메인에 대한 아웃바운드 연결도 가능합니다. 예를 들어 Azure IaaS 또는 프록시 뒤에서 호스트되는 Windows Server 2016 가상 머신이 있습니다.
- 프로비저닝 에이전트를 호스트하기 위한 3GB 이상의 RAM.
- .NET Framework 4.7.2
- Windows Server 2016 이상 버전.
프로비저닝을 구성하기 전에 다음을 확인합니다.
- 사용자를 만들기, 업데이트 및 삭제하려면 애플리케이션에 필요한 SOAP 또는 REST API를 노출합니다.
클라우드 요구 사항
Microsoft Entra ID P1 또는 Premium P2(또는 EMS E3 또는 E5)를 사용하는 Microsoft Entra 테넌트입니다.
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.
Azure Portal에서 프로비저닝을 구성하기 위한 프로비전 에이전트와 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 역할을 구성하기 위한 하이브리드 ID 관리자 역할입니다.
애플리케이션에 프로비전할 Microsoft Entra 사용자는 애플리케이션에 필요한 특성으로 이미 채워져 있어야 합니다.
Microsoft Entra Connect 프로비전 에이전트 설치 및 구성
- Azure Portal에 로그인합니다.
- 엔터프라이즈 애플리케이션으로 이동하고 새 애플리케이션을 선택합니다.
- 온-프레미스 ECMA 앱 애플리케이션을 검색하고, 앱 이름을 지정하고, 만들기를 선택하여 테넌트에 추가합니다.
- 메뉴에서 애플리케이션의 프로비전 페이지로 이동합니다.
- 시작하기를 선택합니다.
- 프로비전 페이지에서 모드를 자동으로 변경합니다.
온-프레미스 연결에서 다운로드 및 설치를 선택하고 약관 동의 및 다운로드를 선택합니다.
포털을 종료하고 프로비전 에이전트 설치 프로그램을 실행한 후 서비스 약관에 동의하고 설치를 선택합니다.
Microsoft Entra 프로비전 에이전트 구성 마법사가 나타날 때까지 기다린 후 다음을 선택합니다.
확장 선택 단계에서 온-프레미스 애플리케이션 프로비전을 선택한 후 다음을 선택합니다.
운영 체제의 웹 브라우저를 사용하는 프로비전 에이전트는 Microsoft Entra ID 및 필요에 따라 조직의 ID 공급자에 사용자가 인증할 수 있도록 팝업 창을 표시합니다. Windows Server에서 Internet Explorer를 브라우저로 사용하는 경우 JavaScript가 올바르게 실행되도록 브라우저의 신뢰할 수 있는 사이트 목록에 Microsoft 웹 사이트를 추가해야 할 수 있습니다.
권한 부여하라는 메시지가 표시되면 Microsoft Entra 관리자의 자격 증명을 제공합니다. 사용자에게는 최소한 하이브리드 ID 관리자 역할이 있어야 합니다.
확인을 선택하여 설정을 확인합니다. 설치가 완료되면 종료를 선택하고 프로비전 에이전트 패키지 설치 프로그램을 닫을 수도 있습니다.
온-프레미스 ECMA 앱 구성
포털에서 온-프레미스 연결 섹션에서 배포한 에이전트를 선택하고 에이전트 할당을 선택합니다.
구성 마법사를 사용하여 구성의 다음 단계를 수행하는 경우 이 브라우저 창을 열어 둡니다.
Microsoft Entra ECMA 커넥터 호스트 인증서 구성
프로비저닝 에이전트가 설치된 Windows Server의 시작 메뉴에서 Microsoft ECMA2Host 구성 마법사을 마우스 오른쪽 버튼으로 선택하고 관리자 권한으로 실행합니다. 마법사가 필요한 Windows 이벤트 로그를 만들려면 Windows 관리자로 실행해야 합니다.
ECMA 커넥터 호스트 구성이 시작된 후 마법사를 처음 실행한 경우 인증서를 만들도록 요청합니다. 기본 포트 8585를 그대로 두고 인증서 생성을 선택하여 인증서를 생성합니다. 자동 생성된 인증서는 신뢰할 수 있는 루트의 일부로 자체 서명됩니다. 인증서 SAN은 호스트 이름과 일치합니다.
저장을 선택합니다.
웹 서비스 커넥터 템플릿 만들기
웹 서비스 커넥터 구성을 만들기 전에 웹 서비스 커넥터 템플릿을 만들고 특정 환경의 요구 사항에 맞게 템플릿을 사용자 지정해야 합니다. ServiceName, EndpointName 및 OperationName이 올바른지 확인합니다.
커넥터 다운로드 패키지에서 SAP ECC 7.0 및 Oracle eBusiness Suite와 같은 널리 사용되는 애플리케이션과 통합하는 방법에 대한 템플릿 예와 지침을 찾을 수 있습니다. SOAP용 워크플로 가이드를 사용하여 웹 서비스 구성 도구에서 데이터 원본에 대한 새 프로젝트를 만드는 방법을 알아볼 수 있습니다.
고유의 애플리케이션의 REST 또는 SOAP API에 연결하도록 템플릿을 구성하는 방법에 대한 자세한 내용은 MIM 설명서 라이브러리의 제네릭 웹 서비스 커넥터 개요를 참조하세요.
제네릭 웹 서비스 커넥터 구성
이 섹션에서는 애플리케이션에 대한 커넥터 구성을 만듭니다.
프로비전 에이전트를 애플리케이션에 연결
Microsoft Entra 프로비전 에이전트를 애플리케이션과 연결하려면 다음 단계를 따릅니다.
웹 서비스 커넥터 템플릿
.wsconfig
파일을C:\Program Files\Microsoft ECMA2Host\Service\ECMA
폴더에 복사합니다.커넥터에 Microsoft Entra ID를 인증하는 데 사용되는 비밀 토큰을 생성합니다. 최소 12자여야 하며 각 애플리케이션에 대해 고유해야 합니다.
아직 수행하지 않은 경우 Windows 시작 메뉴에서 Microsoft ECMA2Host 구성 마법사를 시작합니다.
새 커넥터를 선택합니다.
속성 페이지에서 상자를 이미지 뒤에 나오는 표에 지정된 값으로 채우고, 다음을 선택합니다.
속성 값 속성 환경의 모든 커넥터에서 고유해야 하는 커넥터에 대해 선택한 이름입니다. 자동 동기화 타이머(분) 120 비밀 토큰 이 커넥터에 대해 생성한 비밀 토큰을 입력합니다. 키는 12자 이상이어야 합니다. 확장 DLL 웹 서비스 커넥터의 경우 Microsoft.IdentityManagement.MA.WebServices.dll을 선택합니다. 연결 페이지에서 상자를 이미지 뒤에 나오는 표에 지정된 값으로 채우고, 다음을 선택합니다.
속성 설명 웹 서비스 프로젝트 웹 서비스 템플릿 이름입니다. 호스트 vhcalnplci.dummy.nodomain과 같은 애플리케이션의 SOAP 엔드포인트 호스트 이름 포트 애플리케이션의 SOAP 엔드포인트 포트(예: 8000) 기능 페이지에서 다음 표에 지정된 값으로 상자를 입력하고 다음을 선택합니다.
속성 값 고유 이름 스타일 일반 내보내기 형식 ObjectReplace 데이터 정규화 없음 개체 확인 일반 가져오기 사용 선택됨 델타 가져오기 사용 선택 취소 내보내기 사용 선택됨 전체 내보내기 사용 선택 취소 첫 번째 단계에서 암호 내보내기 사용 선택됨 첫 번째 내보내기 단계에서 참조 값 없음 선택 취소 개체 이름 바꾸기 사용 선택 취소 바꾸기로 삭제-추가 선택 취소
참고 항목
웹 서비스 구성 도구에서 편집을 위해 웹 서비스 커넥터 템플릿을 열면 오류가 발생합니다.
전체 페이지에서 상자를 채우고, 다음을 선택합니다.
파티션 페이지에서 다음을 선택합니다.
실행 프로필 페이지에서 내보내기 확인란을 선택한 상태로 유지합니다. 전체 가져오기 확인란을 선택하고, 다음을 선택합니다. 내보내기 실행 프로필은 ECMA 커넥터 호스트가 Microsoft Entra ID에서 애플리케이션으로 변경 내용을 전송하여 레코드를 삽입, 업데이트 및 삭제해야 하는 경우에 사용됩니다. 완전 가져오기 실행 프로필은 ECMA 커넥터 호스트 서비스가 기동될 때 애플리케이션의 현재 콘텐츠를 읽어들이기 위해 사용됩니다.
속성 값 내보내기 애플리케이션으로 데이터를 내보내는 프로필 실행 이 실행 프로필이 필요합니다. 전체 가져오기 애플리케이션에서 모든 데이터를 가져오는 프로필을 실행합니다. 델타 가져오기 마지막 전체 또는 델타 가져오기 이후 애플리케이션에서 변경 내용만 가져오는 프로필을 실행합니다. 개체 형식 페이지에서 상자를 채우고, 다음을 선택합니다. 개별 상자에 대한 지침은 이미지 뒤에 나오는 표를 사용합니다.
앵커: 이 특성의 값은 대상 시스템의 각 개체에 대해 고유해야 합니다. Microsoft Entra 프로비저닝 서비스는 초기 주기 후에 이 특성을 사용하여 ECMA 커넥터 호스트를 쿼리합니다. 이 값은 웹 서비스 커넥터 템플릿에 정의됩니다.
DN: 대부분의 경우 자동 생성됨 옵션을 선택해야 합니다. 선택하지 않은 경우 DN 특성이 CN = 앵커 값, 개체 = objectType 형식으로 DN을 저장하는 Microsoft Entra ID의 특성에 매핑되는지 확인합니다. 앵커 및 DN에 대한 자세한 내용은 앵커 특성 및 고유 이름 정보를 참조하세요.
속성 값 대상 개체 사용자 기준 위치 userName DN userName 자동 생성 선택됨
ECMA 커넥터 호스트는 애플리케이션에서 지원하는 특성을 발견합니다. 그런 다음 발견된 특성 중 Microsoft Entra ID에 노출하려는 특성을 선택할 수 있습니다. 그런 다음, 프로비저닝을 위해 Azure Portal에서 특성을 구성할 수 있습니다. 특성 선택 페이지의 드롭다운 목록에서 모든 특성을 한 번에 하나씩 추가합니다. 특성 드롭다운 목록에는 애플리케이션에서 발견되었지만 이전 특성 선택 페이지에서 선택되지 않았던 모든 특성이 표시됩니다. 모든 관련 특성이 추가되면 다음을 선택합니다.
프로비전 해제 페이지의 흐름 사용 안 함 아래에서 삭제를 선택합니다. 이전 페이지에서 선택한 특성은 [프로비전 해제] 페이지에서 선택할 수 없습니다. 완료를 선택합니다.
참고 항목
특성 값 설정을 사용하는 경우 부울 값만 허용된다는 점에 유의합니다.
Deprovisioning 페이지에서 "흐름 사용 안 함" 옵션을 선택한 후, 사용자 계정 상태를 expirationTime같은 속성으로 제어하려면 "없음"을 선택합니다. 삭제 흐름에서 애플리케이션에서 사용자를 삭제하지 않으려면 [없음]을 선택하고, 삭제하지 않으려면 [삭제]를 선택합니다. 완료를 선택합니다.
ECMA2Host 서비스가 실행되고 있는지 확인
Microsoft Entra ECMA 커넥터 호스트를 실행하는 서버에서 시작을 선택합니다.
상자에서 run, services.msc를 차례로 입력합니다.
서비스 목록에서 Microsoft ECMA2Host가 있고 실행 중인지 확인합니다. 그렇지 않은 경우 시작을 선택합니다.
최근에 서비스를 시작했고 애플리케이션에 많은 사용자 개체가 있는 경우 커넥터가 애플리케이션과의 연결을 설정하고 초기 전체 가져오기를 수행할 때까지 몇 분 정도 기다립니다.
Azure Portal에서 애플리케이션 연결 구성
애플리케이션 프로비저닝을 구성하고 있던 웹 브라우저 창으로 돌아갑니다.
참고 항목
창 시간이 초과된 경우 에이전트를 다시 선택해야 합니다.
- Azure Portal에 로그인합니다.
- 엔터프라이즈 애플리케이션 및 온-프레미스 ECMA 앱 애플리케이션으로 이동합니다.
- 프로비저닝을 선택합니다.
- 시작을 선택한 다음 모드를 자동으로 변경하고, 온-프레미스 연결 섹션에서 방금 배포한 에이전트를 선택하고, 에이전트 할당을 선택합니다. 그렇지 않으면 프로비전 편집으로 이동합니다.
관리자 자격 증명 섹션에서 다음 URL을 입력합니다.
{connectorName}
부분을 ECMA 커넥터 호스트의 커넥터 이름으로 바꿉니다. 커넥터 이름은 대/소문자를 구분하며 마법사에서 구성한 것과 동일해야 합니다.localhost
를 머신 호스트 이름으로 바꿀 수도 있습니다.속성 값 테넌트 URL https://localhost:8585/ecma2host_APP1/scim
커넥터를 만들 때 정의한 비밀 토큰 값을 입력합니다.
참고 항목
애플리케이션에 에이전트를 할당한 경우 등록이 완료될 때까지 10분 정도 기다려주세요. 연결 테스트는 등록이 완료될 때까지 작동하지 않습니다. 서버에서 프로비전 에이전트를 다시 시작하여 에이전트 등록을 강제로 완료하도록 하면 등록 프로세스의 속도가 빨라질 수 있습니다. 서버로 이동하여 Windows 검색 창에서 서비스을 검색하고, Microsoft Entra Connect 프로비전 에이전트 서비스를 찾아 확인하고, 서비스를 마우스 오른쪽 버튼을 클릭하고, 다시 시작하십시오.
연결 테스트를 선택하고, 1분 동안 기다립니다.
연결 테스트가 성공하고 제공된 자격 증명이 프로비전을 사용하도록 설정할 수 있는 권한이 있다고 표시되면 저장을 선택합니다.
특성 매핑 구성
이제 Microsoft Entra ID의 사용자 표현과 애플리케이션의 사용자 표현 간에 특성을 매핑합니다.
Azure Portal을 사용하여 Microsoft Entra 사용자의 특성과 이전에 ECMA 호스트 구성 마법사에서 선택한 특성 간의 매핑을 구성합니다.
Microsoft Entra 스키마에 애플리케이션에 필요한 특성이 포함되어 있는지 확인합니다. 사용자에게 특정 특성이 필요하고, 그 특성이 Microsoft Entra 스키마에 포함되어 있지 않다면, 디렉터리 확장 기능을 사용하여 그 특성을 확장으로 추가해야 합니다.
Microsoft Entra 관리 센터의 엔터프라이즈 애플리케이션에서 온-프레미스 ECMA 앱 애플리케이션을 선택한 다음 프로비전 페이지를 선택합니다.
프로비전 편집을 선택하고 10초 동안 기다립니다.
매핑을 확장한 후 Microsoft Entra 사용자 프로비전을 선택합니다. 이 애플리케이션에 대한 특성 매핑을 처음으로 구성한 경우 자리 표시자에 대해 하나의 매핑만 존재합니다.
Microsoft Entra ID에서 애플리케이션의 스키마를 사용할 수 있는지 확인하려면 고급 옵션 표시 확인란을 선택하고 ScimOnPremises의 특성 목록 편집을 선택합니다. 구성 마법사에서 선택한 모든 특성이 나열되는지 확인합니다. 그렇지 않은 경우 스키마가 새로 고쳐질 때까지 몇 분 정도 기다린 다음 페이지를 다시 로드합니다. 특성이 나열되면 이 페이지에서 취소하여 매핑 목록으로 돌아갑니다.
이제 userPrincipalName PLACEHOLDER 매핑을 선택합니다. 이 매핑은 온-프레미스 프로비전을 처음 구성할 때 기본적으로 추가됩니다.
다음과 일치하도록 값을 변경합니다.
매핑 유형 | 원본 특성 | 대상 특성 |
---|---|---|
Direct | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
이제 새 매핑 추가를 선택하고 각 매핑에 대해 다음 단계를 반복합니다.
애플리케이션에 필요한 각 특성에 대해 원본 및 대상 특성을 지정합니다. 예를 들면 다음과 같습니다.
Microsoft Entra 특성 ScimOnPremises Attribute 일치 우선 순위 이 매핑 적용 ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 개체를 만드는 동안만 Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password 개체를 만드는 동안만 city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city 항상 표시 companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company 항상 표시 department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department 항상 표시 mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email 항상 표시 Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime 항상 표시 givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName 항상 표시 surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName 항상 표시 telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber 항상 표시 jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle 항상 표시 모든 매핑이 추가되면 저장을 선택합니다.
애플리케이션에 사용자 할당
이제 Microsoft Entra ECMA 커넥터 호스트가 Microsoft Entra ID와 통신하고 특성 매핑이 구성되었으므로, 다음 단계로 진행하여 프로비저닝 범위에 포함된 사용자를 구성할 수 있습니다.
Important
하이브리드 ID 관리자 역할을 사용하여 로그인한 경우 로그아웃하고 이 섹션에 대해 최소 애플리케이션 관리자 역할이 있는 계정으로 로그인해야 합니다. 하이브리드 ID 관리자 역할에는 애플리케이션에 사용자를 할당할 수 있는 권한이 없습니다.
애플리케이션에 기존 사용자가 있는 경우 해당 기존 사용자에 대한 애플리케이션 역할 할당을 만들어야 합니다. 애플리케이션 역할 할당을 대량으로 만드는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 애플리케이션의 기존 사용자 관리를 참조하세요.
그렇지 않으면 애플리케이션의 현재 사용자가 없는 경우 애플리케이션에 프로비전될 Microsoft Entra의 테스트 사용자를 선택합니다.
선택한 사용자에게 애플리케이션의 필수 특성에 매핑할 모든 속성이 있는지 확인합니다.
Azure Portal에서 엔터프라이즈 애플리케이션을 선택합니다.
온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
왼쪽의 관리 아래에서 사용자 및 그룹을 선택합니다.
사용자/그룹 추가를 선택합니다.
사용자 아래에서 선택된 항목 없음을 선택합니다.
오른쪽에서 사용자를 선택하고, 선택 단추를 선택합니다.
이제 할당을 선택합니다.
프로비전 테스트
이제 특성이 매핑되고 사용자가 할당되었으므로 사용자 중 한 명을 사용하여 주문형 프로비전을 테스트할 수 있습니다.
Azure Portal에서 엔터프라이즈 애플리케이션을 선택합니다.
온-프레미스 ECMA 앱 애플리케이션을 선택합니다.
왼쪽에서 프로비전을 선택합니다.
주문형 프로비전을 선택합니다.
테스트 사용자 중 한 명을 검색하고, 프로비전을 선택합니다.
몇 초 후에, 대상 시스템에서 사용자가 성공적으로 생성되었다는
메시지가 나타나며, 사용자 특성 목록이 표시됩니다.
사용자 프로비저닝 시작
주문형 프로비전이 성공한 후 프로비전 구성 페이지로 돌아갑니다. 범위가 할당된 사용자 및 그룹으로만 설정되어 있는지 확인하고, 프로비전을 켜기로 설정하고, 저장을 선택합니다.
프로비전 서비스가 시작될 때까지 최대 40분을 기다립니다. 다음 섹션에서 설명한 대로 프로비저닝 작업이 완료된 후 테스트가 완료되면 프로비저닝 상태를 끄기로 변경하고 저장을 선택할 수 있습니다. 이 작업은 나중에 프로비전 서비스의 실행을 중지합니다.
프로비전 오류 문제 해결
오류가 표시되면 프로비전 로그 보기를 선택합니다. 로그에서 상태가 실패인 행을 찾고 해당 행을 선택합니다.
자세한 내용을 보려면 문제 해결 및 권장 사항 탭으로 변경합니다.