이 문서에서는 Microsoft Entra API 기반 인바운드 사용자 프로비전에 대한 개념적 개요를 제공합니다.
Introduction
오늘날 기업은 다양한 신뢰할 수 있는 레코드 시스템을 갖추고 있습니다. 엔드투엔드 ID 수명 주기를 설정하고, 보안 태세를 강화하고, 규정을 준수하려면 Microsoft Entra ID의 ID 데이터가 이러한 기록 시스템에서 관리되는 인력 데이터와 동기화된 상태로 유지되어야 합니다. 레코드 시스템은 HR 앱, 급여 앱, 스프레드시트 또는 온-프레미스 또는 클라우드에서 호스트되는 데이터베이스의 SQL 테이블일 수 있습니다.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. IT 관리자는 특성 매핑을 통해 데이터가 처리되고 변환되는 방식을 완전히 제어할 수 있습니다. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
API 기반 인바운드 프로비전을 사용하여 여러 인바운드 사용자 프로비전 시나리오를 사용하도록 설정합니다. 이 다이어그램은 가장 일반적인 시나리오를 보여 줍니다.
시나리오 1: IT 팀이 자동화 도구를 사용하여 HR 데이터 추출을 가져올 수 있도록 지원
플랫 파일, CSV 파일, SQL 스테이징 테이블은 일반적으로 엔터프라이즈 통합 시나리오에서 사용됩니다. 직원, 계약자, 공급업체 정보는 정기적으로 해당 형식 중 하나로 내보내지며 자동화 도구를 사용하여 이 데이터를 엔터프라이즈 ID 디렉터리와 동기화합니다. API 기반 인바운드 프로비전을 통해 IT 팀은 원하는 자동화 도구(예: PowerShell 스크립트 또는 Azure Logic Apps)를 사용하여 이러한 통합을 현대화하고 단순화할 수 있습니다.
시나리오 2: ISV가 Microsoft Entra ID와 직접 통합을 빌드할 수 있도록 지원
API 기반 인바운드 프로비전을 통해 HR ISV는 HR 시스템의 변경 내용이 자동으로 Microsoft Entra ID 및 연결된 온-프레미스 Active Directory 도메인으로 전달되도록 네이티브 동기화 환경을 제공할 수 있습니다. 예를 들어, HR 앱 또는 학생 정보 시스템 앱은 트랜잭션이 완료되거나 일과 종료 시 대량 업데이트되는 즉시 Microsoft Entra ID로 데이터를 보낼 수 있습니다.
시나리오 3: 시스템 통합자가 레코드 시스템에 더 많은 커넥터를 빌드할 수 있도록 지원
파트너는 사용자 지정 HR 커넥터를 빌드하여 기록 시스템에서 Microsoft Entra ID까지의 데이터 흐름과 관련된 다양한 통합 요구 사항을 충족할 수 있습니다.
위의 모든 시나리오에서는 Microsoft Entra 프로비저닝 서비스가 ID 프로필 비교를 수행하고, 데이터 동기화를 IT 관리자가 구성한 범위 지정 논리로 제한하고, Microsoft Entra 관리 센터에서 관리되는 규칙 기반 특성 흐름 및 변환을 실행하는 책임을 맡기 때문에 통합이 간소화됩니다.
End-to-end flow
워크플로의 단계
- IT 관리자는 Microsoft Entra Enterprise 앱 갤러리에서 API 기반 인바운드 사용자 프로비전 앱을 구성합니다.
- IT 관리자는 액세스 권한을 부여하고 API 개발자/파트너/시스템 통합자에게 엔드포인트 액세스 세부 정보를 제공합니다.
- API 개발자/파트너/시스템 통합자는 신뢰할 수 있는 ID 데이터를 Microsoft Entra ID로 보내는 API 클라이언트를 빌드합니다.
- API 클라이언트는 신뢰할 수 있는 원본에서 ID 데이터를 읽습니다.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
API 클라이언트는 호출할 작업(만들기/업데이트/사용/사용하지 않음)을 결정하기 위해 원본 특성과 대상 특성 값을 비교할 필요가 없습니다. 이는 프로비전 서비스에 의해 자동으로 처리됩니다. API 클라이언트는 SCIM 스키마 구성을 사용하여 대량 요청으로 패키징하여 원본 시스템에서 읽은 ID 데이터를 업로드합니다.
- 성공하면
Accepted 202 Status가 반환됩니다. - Microsoft Entra 프로비저닝 서비스는 받은 데이터를 처리하고, 특성 매핑 규칙을 적용하고, 사용자 프로비저닝을 완료합니다.
- 구성된 프로비저닝 앱에 따라 사용자는 온-프레미스 Active Directory(하이브리드 사용자용) 또는 Microsoft Entra ID(클라우드 전용 사용자용)로 프로비전됩니다.
- 그런 다음 API 클라이언트는 전송된 각 레코드의 상태에 대해 프로비전 로그 API 엔드포인트를 쿼리합니다.
- 레코드 처리가 실패하면 API 클라이언트는 오류 세부 정보를 확인하고 다음 대량 요청(5단계)에 실패한 작업에 해당하는 레코드를 포함할 수 있습니다.
- 언제든지 IT 관리자는 프로비전 작업 상태를 확인하고 프로비전 로그에서 이벤트를 볼 수 있습니다.
API 기반 인바운드 사용자 프로비전의 주요 기능
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- 테넌트 관리자는 이 프로비저닝 앱과 상호 작용하는 API 클라이언트에게 Graph 권한
SynchronizationData-User.Upload,SynchronizationData-User.Upload.OwnedBy(ISV용) 및ProvisioningLog.Read.All. - Graph API 엔드포인트는 SCIM 스키마 구성을 사용하여 유효한 대량 요청 페이로드를 허용합니다.
- SCIM 스키마 확장을 사용하면 대량 요청 페이로드의 모든 특성을 보낼 수 있습니다.
- API 엔드포인트는
/bulkUpload다음과 같은 제한 제한을 적용합니다.- 5초 동안 API 호출은 40개로 제한됩니다. 이 임계값을 초과하면 서비스에서 HTTP 429(너무 많은 요청) 응답을 반환합니다. 제한을 방지하려면 클라이언트에서 속도 논리를 구현하여 요청 간격을 지정합니다(예: 제출 간의 지연 또는 속도 제한 처리 추가).
- Entra ID P1/P2 라이선스에는 24시간 동안 2,000개의 API 호출이 테넌트 수준 제한이며 Entra ID 거버넌스 라이선스에 따라 6,000개의 API 호출이 있습니다. 이러한 제한을 초과하면 HTTP 429(요청 수가 너무 많음) 응답이 발생합니다. 할당량을 유지하려면 SCIM 대량 페이로드가 API 호출당 최대 50개의 작업을 포함하도록 최적화되었는지 확인합니다.
- 각 API 엔드포인트는 Microsoft Entra ID의 특정 프로비전 앱과 연결됩니다. 각 데이터 소스에 대한 프로비전 앱을 만들어 여러 데이터 원본을 통합할 수 있습니다.
- 들어오는 대량 요청 페이로드는 거의 실시간으로 처리됩니다.
- Admins can check provisioning progress by viewing the provisioning logs.
- API 클라이언트는 프로비전 로그 API를 쿼리하여 진행 상황을 추적할 수 있습니다.
License requirements
이 기능은 Microsoft Entra ID P1, P2 및 Microsoft Entra ID 거버넌스 라이선스에서 사용할 수 있습니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
API 사용 지침
/bulkUpload API 엔드포인트는 Microsoft Entra ID에서 사용자를 관리할 수 있는 여러 가지 방법을 확장합니다.
/bulkUpload API 엔드포인트가 통합 시나리오에 적합한지 확인하려면 다른 API 기반 통합 옵션과 비교하는 이 테이블을 참조하세요.
| 사용 사례 시나리오에서 API 매핑으로 | 사용자 만들기 API | HR 인바운드 대량 API | 사용자 초대 API | 직접 할당 API |
|---|---|---|---|---|
| ID 생성 시나리오가 있는 경우... | HR 원본의 작업자와 연결되지 않은 사용자에 대한 Microsoft Entra ID의 임시 사용자 만들기 | 신뢰할 수 있는 HR 원본에서 직원 레코드를 소싱하고 해당 직원이 Microsoft Entra ID 또는 온-프레미스 Active Directory에 "구성원" 계정을 갖도록 합니다. | 게스트에 고유한 액세스 권한이 있는 공유 목적으로 Microsoft Entra ID에서 임시 게스트 사용자 만들기 | 기존 사용자에 대한 액세스 할당 및 Microsoft Entra ID에서 게스트 만들기(미리 보기) - 새 게스트 표준화된 액세스 권한을 부여합니다. |
| ... API 사용... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| 결과 사용자가 처음 만들어집니다... | Microsoft Entra ID (마이크로소프트 엔트라 ID) | 온-프레미스 Active Directory 또는 Microsoft Entra ID | Microsoft Entra ID (마이크로소프트 엔트라 ID) | Microsoft Entra ID (마이크로소프트 엔트라 ID) |
| 결과 사용자가 인증... | Microsoft Entra ID( 사용자가 제공한 암호 포함) | Entra 수명 주기 워크플로에서 제공하는 임시 액세스 패스가 있는 Microsoft Entra ID의 온-프레미스 Active Directory | 홈 테넌트 또는 기타 ID 공급자 | 홈 테넌트 또는 기타 ID 공급자 |
| 사용자에 대한 후속 업데이트는 을(를) 통해 수행할 수 있습니다. | Graph API 또는 Microsoft Entra 관리 센터 | Graph API 또는 HR 인바운드 대량 API 또는 Microsoft Entra 관리 센터 | Graph API 또는 Microsoft Entra 관리 센터 | Graph API 또는 Microsoft Entra 관리 센터 |
| 고용이 시작될 때 사용자의 수명 주기는... | Manual processes |
특성에 따라 트리거되는 employeeHireDate |
Entitlement management | Automatic assignment using Entitlement management access packages |
| 고용이 종료될 때 사용자의 수명 주기는... | Manual processes |
특성에 따라 트리거되는employeeLeaveDateTime |
Access reviews | 사용자가 마지막 액세스 패키지 할당을 잃으면 권한 관리가 제거됩니다. |
권장되는 학습 경로
| # | Learning objective | Guidance |
|---|---|---|
| 1. | 인바운드 프로비전 API 사양에 대해 자세히 알아보려고 합니다. | Refer to /bulkUpload API spec document. |
| 2. | API 기반 프로비전 개념, 시나리오, 제한 사항에 대해 더 자세히 알아보고 싶습니다. | API 기반 인바운드 프로비전에 대한 질문과 대답을 참조하세요. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * API 기반 인바운드 프로비전 앱 만들기 * Graph Explorer를 사용하여 API 테스트 |
| 4. | 서비스 계정 또는 관리 ID를 사용하여 인바운드 프로비전 API를 빠르게 테스트하려고 합니다. | * API 기반 인바운드 프로비전 앱 만들기 * Grant API permissions * cURL을 사용하여 API 테스트 |
| 5. | 더 많은 사용자 지정 특성을 처리하기 위해 API 기반 프로비전 앱을 확장하려고 합니다. | 사용자 지정 특성을 동기화하도록 API 기반 프로비전 확장 자습서를 참조하세요. |
| 6. | 레코드 시스템에서 인바운드 프로비전 API 엔드포인트로 데이터 업로드를 자동화하려고 합니다. | 자습서 참조 * PowerShell로 빠른 시작 * Azure Logic Apps로 빠른 시작 |
| 7. | 인바운드 프로비전 API 이슈를 해결하려고 합니다. | Refer to the Troubleshooting guide. |
외부 학습 리소스
파트너와 Microsoft MVP가 만든 다음 콘텐츠는 다양한 통합 시나리오에 대한 API 기반 프로비저닝을 배포하고 구성하는 방법에 대한 추가 지침을 제공합니다.
Video tutorials
- John Savill은 API 기반 프로비저닝이 작동하는 방법을 설명합니다.
- Microsoft MVP Nick Ross가 API 기반 프로비저닝 구성하는 방법에 대해 설명합니다.
- Microsoft MVP Nick Ross는 Power Automate 및 API 기반 프로비저닝 사용하여 SharePoint의 Excel 파일에서 HR 데이터를 원본하는 방법에 대해 설명합니다.
- Microsoft 파트너 API 기반 프로비저닝 IdentityXP 4부 시리즈
블로그 게시물, 프레젠테이션 및 기타 유용한 링크
- Microsoft MVP Pim Jacob의 문서에서는 온-프레미스 Active Directory Bamboo HR API 기반 프로비저닝을 수행하는 방법에 대해 설명합니다.
- API 기반 프로비저닝 및 수명 주기 워크플로를 사용하여 조인자 및 휴가 프로세스를 구성하는 방법에 대한 Microsoft MVP Pim Jacob의 프레젠테이션
- PowerShell 스크립트 및 API 기반 프로비저닝을 사용하여 Excel 데이터를 원본하는 방법에 대해 설명하는 Microsoft MVP Marius Solbakken의 문서
- 사용자 지정 GitHub Action 사용하여 API 구동 프로비저닝을 호출하는 방법에 대한 Suryendu Bhattacharyya의 문서
- API 기반 프로비저닝을 위한 Microsoft MVP Jan Vidar Elven의 Bicep 템플릿