Access 사용자 프로비저닝 가이드
- 이병욱
SCIM(System for Cross-Domain Identity Management)을 사용하여 사용자 프로비저닝을 지원하며 이 기능은 SCIM 2.0 버전의 프로토콜을 사용합니다.
사용자 프로비저닝은 외부 사용자 디렉토리를 사용자의 Atlassian 조직과 통합합니다. 이러한 통합을 통해 ID 제공자에서 업데이트할 때 Atlassian 조직의 사용자 및 그룹을 자동으로 업데이트할 수 있습니다. 예를 들어 사용자 프로비저닝을 사용하면 ID 제공자에서 관리되는 Atlassian 사용자 계정을 생성, 링크 및 비활성화할 수 있습니다.
지원되는 ID 제공자
사용자 프로비저닝 설정은 사용하는 ID 제공자에 따라 다릅니다. 지원되는 ID 제공자는 다음과 같습니다.
Okta – Okta를 사용하여 사용자 프로비저닝을 구성하는 방법.
OneLogin – OneLogin에 대한 사용자 프로비저닝을 구성하는 방법.
Azure AD – Azure AD에 대한 사용자 프로비저닝을 구성하는 방법.
Google Cloud – Google Cloud용 사용자 프로비저닝을 구성하는 방법.
PingFederate – PingFederate의 사용자 프로비저닝을 구성하는 방법.
다른 ID 제공자를 사용하는 경우 사용자 프로비저닝 API를 사용하여 사용자 및 그룹을 관리할 수 있는 고유한 통합을 생성할 수 있습니다.
지원되는 제품
프로비저닝은 모든 Atlassian 계정에 사용할 수 있으므로 ID 공급자에서 계정을 생성, 업데이트 및 비활성화할 수 있습니다. 그룹 동기화 기능은 현재 Jira 제품 및 Confluence에만 제공되며 Bitbucket 및 Tello에는 아직 제공되지 않습니다.
Tello Enterprise가 Atlassian 조직에 링크되면 SCIM을 통해 이미 조직에 프로비저닝된 사용자뿐만 아니라 앞으로 이러한 방식으로 프로비저닝된 사용자도 무료 Tello 계정을 프로비저닝하게 됩니다. 이 계정은 Tello Enterprise에서 관리되지만 관리자가 승인하지 않는 한 Enterprise 라이선스는 없습니다.
사용자 프로비저닝 작동 방식
ID 제공자를 조직에 연결하면 사용자 및 그룹이 조직 및 사이트와 동기화되어 제품 액세스 권한을 부여할 수 있습니다. 이 다이어그램은 사용자 프로비저닝을 설정한 후 사용자와 그룹이 동기화하는 방법을 보여 줍니다.
1. 사용자 및 그룹이 ID 제공자에서 조직으로 동기화
사용자 프로비저닝을 설정할 때 사용자를 위한 디렉토리를 생성합니다. 확인된 도메인 또는 확인된 도메인 외부에 있는 ID 제공자의 모든 사용자와 그룹은 다이어그램에 표시된 것처럼 조직의 디렉토리에 동기화됩니다.
이때 디렉터리용 All members for directory - <directory_id>라는 새로운 그룹을 생성하고 모든 사용자를 추가합니다.
Google Cloud 또는 Azure AD의 Free Edition을 사용하는 경우 ID 제공자의 그룹이 조직 디렉터리와 동기화되지 않습니다. 유일하게 보이는 그룹은 All members for directory - <directory_id> 입니다.
ID 제공자를 Atlassian 조직에 연결하면 동기화된 디렉토리 그룹이 Atlassian 조직에 나타나고 조직에서 사용자 계정을 변경할 수 없습니다.
Atlassian 조직에 이미 기존 사용자가 있는 경우:
ID 제공자에 조직의 사용자와 동일한 전자 메일 주소를 가진 사용자가 있는 경우, 두 사용자 계정은 연결되며 향후 ID 제공자의 사용자 계정만 변경할 수 있습니다.
ID 제공자에 조직의 사용자와 동일한 전자 메일 주소를 가진 사용자가 없는 경우, 사용자의 액세스 권한은 그대로 유지되며 여전히 해당 사용자를 Atlassian 조직에서 관리할 수 있습니다.
동기화하려는 그룹이 500개 이상인 경우 상당한 시간이 소요됩니다. 동기화가 완료될 때까지 잠시 기다려야 합니다.
2. 조직의 디렉토리가 모든 관련 사이트에 동기화
이제 다이어그램에 표시된 것처럼 조직에 추가한 모든 사이트에서 프로비저닝된 사용자 및 그룹이 액세스할 수 있습니다. 동기화된 디렉토리 그룹이 사이트의 기본 그룹과 함께 나타납니다.
3. 그룹이 제품에 할당됨
사이트의 제품에 그룹을 할당하여 사용자에게 제품 액세스 권한을 부여할 수 있습니다.
사용자가 제품에 액세스할 수 있는 경우 Jira 및 Confulence 관리자는 Jira 및 Confulence 설정에서 해당 사용자에 대한 제품 권한을 업데이트할 수 있습니다.
사용자 프로비저닝 기능
ID 제공자를 Atlassian 조직에 연결한 후에는 ID 제공자의 모든 사용자 특성 및 그룹 멤버 자격을 관리합니다. Atlassian 조직의 사용자를 관리하려면 ID 제공자와의 연결을 사용하지 않도록 설정하십시오.
지원되는 사용자 계정 작업
ID 제공자에서 이러한 사용자 관리 작업을 수행하면 업데이트가 Atlassian 조직과 동기화됩니다.
확인된 도메인 및 확인된 도메인 외부에서 전자 메일 주소가 있는 사용자 계정을 ID 제공자에서 Atlassian 조직으로 동기화합니다.
작업 | 참고 사항 |
|---|---|
새 사용자 계정 생성 | 사용자 계정은 확인된 도메인 또는 확인된 도메인 외부에서 보낸 전자 메일 주소가 있을 때 생성됩니다. |
기존 사용자 계정 연결 | Atlassian 플랫폼에 Atlassian 계정이 이미 있는 경우 ID 제공자의 사용자를 Atlassian 조직의 사용자와 자동으로 연결합니다. |
사용자의 계정 세부 정보 업데이트 | ID 제공자에서 다음 사용자 특성을 업데이트할 수 있습니다.
|
사용자 계정 활성화 | ID 제공자에서 사용자의 Atlassian 계정을 활성화할 수 있습니다. |
사용자 계정 비활성화 | ID 제공자에서 확인된 도메인의 사용자에 대한 Atlassian 계정을 비활성화할 수 있습니다. 확인된 도메인 외부의 사용자를 비활성화할 때:
비활성화 후 사이트 액세스를 제거하면, 사이트에서 사용자를 제거할 수 있습니다. |
사용자 계정 삭제 | 사용자 계정을 삭제하기 전에 ID 제공자에서 사용자 계정을 비활성화하는 것이 좋습니다. 확인된 도메인에서 사용자의 Atlassian 계정을 삭제하려면 조직의 Atlassian 디렉토리에서 사용자를 삭제하십시오. |
지원되는 그룹 작업
그룹을 사용하여 ID 제공자의 관리자 권한 및 제품 액세스(새 라이센스)를 관리하면 이러한 업데이트가 사용자의 Atlassian 조직과 동기화됩니다.
Atlassian 조직에서 기본적으로 수동으로 생성된 그룹(예: confluence-users, site-admins)은 SCIM 통합을 통해 관리할 수 없습니다. SCIM을 통해 ID 제공자 디렉토리에서 동기화된 그룹만 관리할 수 있습니다.
작업 | 참고 사항 |
|---|---|
그룹 생성 | 그룹은 조직의 디렉토리에 읽기 전용 그룹으로 작성됩니다. ID 제공자의 그룹만 편집할 수 있습니다. 조직에 존재하지 않는 이름을 새 그룹에 지정합니다. |
그룹 삭제 | ID 제공자에서 그룹을 삭제하여 조직의 디렉토리에서 그룹을 제거합니다. |
기존 그룹 밀어넣기 | 조직의 그룹과 이름이 같은 그룹을 ID 제공자에서 푸시하려고 하면 오류가 발생합니다. |
그룹 구성원 자격 업데이트 | ID 제공자의 그룹을 업데이트하여 제품 액세스, 관리자 권한 또는 애플리케이션별 설정(예: Confluence 공간 사용 권한)을 구성할 수 있습니다. |