SHIELD ID 사용자/그룹 인바운드 프로비저닝 방법
인바운드 프로비저닝(동기화)은 Security365 관리센터에서 진행됩니다.
동기화 방법 개요
SHIELD ID는 다음 3가지 소스에서 사용자/그룹 정보를 동기화할 수 있습니다:
- MS Azure - Microsoft 365 환경의 사용자/그룹
- SCI 서버 - SCI 서버의 사용자/그룹 정보
- 로컬 Active Directory - 온프레미스 AD/LDAP 서버
각 동기화 방법은 다음과 같은 공통 단계를 따릅니다:
- Security365 관리센터에 관리자로 로그인
- [설정] → [인바운드 프로비저닝] 탭으로 이동
- 해당 동기화 설정 선택 및 구성
- 동기화 실행 및 결과 확인
Microsoft 동기화
Microsoft 설정 방법
- Microsoft365 동기화 설정을 선택합니다.
- 동기화 방식을 선택합니다:
- 전체 그룹 동기화: 모든 그룹과 사용자 동기화
- 부분 그룹 동기화: 특정 그룹과 하위 그룹만 동기화
- 설정을 저장하고 동기화를 실행합니다.
동기화 옵션
전체 그룹 동기화
- Microsoft 365의 모든 그룹과 해당 그룹에 소속된 사용자들을 동기화합니다.
- (✔️ 선택 사항) 인사연동 후 로그 페이지에 사용자 소속 그룹 경로 확인
부분 그룹 동기화
- 특정 그룹과 그 하위에 소속된 모든 그룹, 그리고 해당 그룹들에 소속된 사용자들만 동기화합니다.
- 필요한 그룹만 선택하여 동기화 범위를 제한할 수 있습니다.
SCI Server 동기화
SCI Server 설정 방법
- SCI Server 계정 동기화 설정을 선택합니다.
- 다음 정보를 입력합니다:
- SCI 서버 IP, Port: 사용자/그룹 정보를 가져오는 서비스 주소
- 도메인: SCI서버 ID 뒤에 붙일 도메인 정보
- 설정을 저장하고 동기화를 실행합니다.
주요 설정 항목
| 항목 | 설명 | 비고 |
|---|---|---|
| SCI 서버 IP, Port | 사용자/그룹 정보 서비스 주소 | SCI서버 IP가 아닌 서비스 주소입니다. |
| 도메인 | SCI서버 ID에 추가할 도메인 | SHIELD ID는 이메일 형태 ID만 지원합니다. |
참고: SCI서버 ID는 일반적으로 이메일 형태가 아니므로, 도메인 정보를 추가하여 이메일 형태로 변환해야 합니다.
예: 도메인을softcamp.co.kr로 설정하면gdhongID가gdhong@softcamp.co.kr로 저장됩니다.
로컬 Active Directory 동기화
로컬 Active Directory 설정 방법
- 로컬 Active Directory 동기화 설정을 선택합니다.
- 연동에 필요한 설정 항목들을 구성합니다.
- 설정을 저장하고 동기화를 실행�합니다.
설정 항목
※ 모든 항목은 필수 입력 항목입니다.
Server Configuration
| 항목 | 설명 | 비고 |
|---|---|---|
| Server Type | 디렉터리 서버 종류 | Active Directory(기본값): Microsoft AD 서버 LDAP: OpenLDAP, ApacheDS 등 범용 서버 |
| Server URL | 서버 주소 | LDAP 또는 LDAPS 프로토콜로 통신 |
| Base DN | 디렉터리 검색 시작 지점 | DC: Domain Component (도메인 구성요소) DN: Distinguished Name (객체 전체 경로) |
Administrator Authentication
| 항목 | 설명 | 비고 |
|---|---|---|
| Admin ID | AD 서버에 접근할 계정 | 예: cn=Administrator,dc=softcamp,dc=co,dc=kr |
| Admin Password | 위 계정의 비밀번호 | 암호화 저장 |
Search Options Configuration
| 항목 | 설명 | 비고 |
|---|---|---|
| Search Scope | 검색할 계정/그룹의 범위 설정 | ONELEVEL(기본값): 지정 DN 하위 한 단계만 검색 SUBTREE: 모든 하위 트리 검색 |
| Page Size | LDAP 페이징 단위 | 권장: 500~1000 |
| Referral | 외부 도메인 연결 허용 여부 | FOLLOW(기본값): 외부 도메인을 따라감 IGNORE: 무시함 |
| Connection Timeout | 서버 연결 시도 최대 시간(ms) | 예: 3000 |
| Read Timeout | 응답 수신 대기 시간(ms) | 예: 3000 |
User Search Configuration
| 항목 | 설명 | 비고 |
|---|---|---|
| Base DN | 사용자 계정이 위치한 OU DN | 예: ou=Users,dc=softcamp,dc=co,dc=kr |
| Mapping Filter | 사용자 객체 필터 | AD 예: (&(objectClass=person)(objectCategory=user)) LDAP 예: (objectClass=inetOrgPerson) |
| Login Filter | 로그인에 사용할 속성 | AD: sAMAccountName LDAP: uid |
| ID Attribute | 내부 식별용 고유 ID | 예: employeeNumber, uid |
| Name Attribute | 사용자 이름 속성 | 예: cn, displayName |
| Relative DN Attribute | 사용자 DN 마지막 구성 속성 | 예: cn |
| Email Attribute | 이메일 속성 | AD: userPrincipalName LDAP: mail |
Group Search Configuration
| 항목 | 설명 | 비고 |
|---|---|---|
| 그룹 Mapping 사용 여부 | 그룹 정보 동기화 활성화 선택 | 사용함 사용안함(기본값) |
| Group Base DN | 그룹 검색 시작 위치 | 예: ou=Groups,dc=softcamp,dc=co,dc=kr |
| Group Mapping Filter | 그룹 대상 필터 | AD: (objectClass=group) LDAP: (objectClass=groupOfNames) |
| Group Name Attribute | 그룹명 속성 | 예: cn |
| Group Description Attribute | 그룹 설명 속성 | 예: description |
| Group Member Attribute | 그룹 멤버 속성 | AD: member LDAP: uniqueMember |
공통 설정
스케줄링 동기화 설정
- 매일 특정 시간에 자동으로 동기화 작업을 수행하려면 자동 동기화 주기 설정을 활성화합니다.
- 기본값: 사용 안함
- 시작 시간을 선택합니다.
- 오전 00:00 ~ 오후 23:50까지 10분 단위로 선택 가능합니다
- 저장 버튼을 클릭합니다.
동기화 결과 확인
동기화 완료 후 다음 메뉴를 통해 결과를 확인할 수 있습니다:
- [사용자]: 동기화된 사용자 목록 확인
- [그룹]: 동기화된 그룹 목록 확인