클라우드 앱 전체의 사용자 프로비저닝 자동화

비즈니스 문제

대기업에서 일상적인 워크플로에 사용하는 클라우드 애플리케이션이 점점 증가하고 있습니다. 각 클라우드 앱에는 일련의 권한이 부여된 사용자 명단이 있습니다. 사용자가 회사에 가입하거나 탈퇴할 때는 적절한 모든 앱에서 프로비저닝 또는 프로비저닝 해제해야 합니다.

따라서 IT 부서는 사용자별로 여러 클라우드 앱과 연결된 개별 사용자 ID와 비밀번호를 관리해야 합니다. 프로비저닝이 자동화된다면 직원이 입사하는 즉시 필요한 도구를 받을 수 있습니다. 또한 사용자가 퇴사하면 회사는 모든 클라우드 앱에서 사용자의 프로비저닝을 해제하여 보안 위험 가능성을 줄일 수 있습니다.

귀사에서 직원들이 사용하는 개별 타사 클라우드 앱의 사용자를 관리하는 데 따른 관리 부담을 줄이고자 한다고 가정해 보겠습니다. 사용자 프로비저닝을 자동화하여 한 곳에서 사용자 프로필 정보를 생성, 업데이트, 삭제하고 모든 클라우드 앱에 적용되었는지 확인하는 것이 목표입니다.

솔루션

Cloud ID와 타사에서 제공하는 여러 가지 자동 프로비저닝 구현 옵션이 있습니다.

Cloud ID 자동 프로비저닝

Cloud ID에는 Cloud ID와 타사 클라우드 앱 간의 연결 역할을 하는 자동 프로비저닝 커넥터의 카탈로그가 있습니다.

싱글 사인온(SSO)용 SAML을 설정한 후에 클라우드 앱에서 사용자 ID를 생성, 수정 또는 삭제하도록 자동 사용자 프로비저닝을 설정할 수 있습니다. 관리자는 Cloud ID 사용자 중 일부를 지원되는 하나 이상의 앱에 동기화할 수 있는 권한을 Cloud ID에 부여할 수 있습니다.

장점

• 사용자 프로필을 생성, 업데이트, 삭제, 사용중지하여 전체 사용자 수명 주기를 조절합니다.
• 회사에서 조직의 앱을 중앙에서 추가하거나 삭제하도록 하여 전체 애플리케이션 수명 주기 관리를 도모합니다.
• 지원되는 모든 앱에 대한 통합 보고, 감사 로그, 상세 이벤트 추적 등이 포함된 일관적인 사용자 환경을 제공합니다.

타사 적시(JIT) 프로비저닝

SAML을 지원하는 여러 앱은 적시(JIT) 프로비저닝을 통해 자동으로 프로비저닝할 수 있습니다. 일부 서비스 제공업체는 사용자가 앱에 액세스할 때 사용자의 계정이 이미 있는지 확인하도록 SAML 앱을 설정합니다. 계정이 없는 경우에는 계정이 만들어집니다.

장점

• SAML 앱만 설정하면 되므로 구성이 간소화됩니다.
• 현재 Cloud ID에 자동 프로비저닝 커넥터가 없는 앱의 경우 고객은 JIT 프로비저닝을 지원하도록 서비스 제공업체에 영향을 줄 수 있습니다.

단점

• 사용자가 프로비저닝 해제된 사용자의 앱 라이선스를 삭제하려면 수동 개입이 필요한 사용자 프로비저닝 해제를 지원하지 않습니다.
• 모든 타사 클라우드 앱이 JIT 프로비저닝을 지원하지는 않습니다.
• 일관된 Cloud ID 자동 프로비저닝 커넥터와 비교했을 때 타사 커넥터는 작동 방식과 보고서 및 로그에 포함되는 사항에 따라 다를 수 있습니다.

권장사항

Cloud ID SAML 카탈로그에서 앱에 자동 프로비저닝이 지원되면 Cloud ID 자동 프로비저닝 커넥터를 사용하는 것이 좋습니다.

필요한 자동 프로비저닝 커넥터가 카탈로그에 없으면 서비스 제공업체와 협력하여 커넥터를 개발하세요. 서비스 제공업체가 JIT를 지원하면 JIT도 사용할 수 있습니다. 하지만 일반적으로 사용자 프로필 생성만 처리하며 프로필 업데이트, 정지, 삭제는 처리하지 않습니다.

타사 ID 공급업체

타사 ID 공급업체(IdP)를 사용하고 있어도 Cloud ID 카탈로그에서 타사 앱에 대한 자동 사용자 프로비저닝을 구성할 수 있습니다. 이 경우 사용자 인증은 타사 IdP 내에서 이루어지며 Cloud ID는 클라우드 앱을 관리합니다.

자동 프로비저닝에 Cloud ID를 사용하려면 사용자에게 Cloud ID 계정이 있어야 합니다. 사용자는 타사 IdP를 통해 로그인하거나 자신의 Cloud ID 계정에 설정된 비밀번호를 사용하여 로그인합니다.

예시

회사 A는 Cloud ID를 기본 IdP로 사용합니다. 또한 고객 리소스 관리(CRM), 메시징, 고객 티켓 관리에 서비스로서의 소프트웨어(SaaS) 제품을 사용합니다. 이 회사는 Cloud ID를 믿을 수 있는 유일한 매체(IdP)로 사용하여 이러한 클라우드 앱에서 사용자 프로비저닝 및 프로비저닝 해제를 자동화하려고 합니다.

회사 A에 입사한 후 첫 근무일에 모든 지원 담당 직원은 자동으로 고객 티켓 관리 앱에 대한 라이선스를 받고, 모든 영업 담당 직원은 CRM 앱에 대한 라이선스를 받으며 누구나 메시지 앱을 사용할 수 있습니다.

회사 A의 IT 부서는 고객 조직의 필요한 일부 직원만 특정 타사 애플리케이션에 액세스할 수 있도록 하려고 합니다. 그러려면 Cloud ID의 사용자 프로필을 특정 사용자에게 할당된 모든 관련 타사 애플리케이션과 동기화해야 합니다.

사용자가 앱에 대한 액세스 권한을 상실하면(퇴사하여 앱 사용 필요가 없음) 관련 연결 타사 애플리케이션에서 프로필이 삭제되므로 라이선스가 차단되지 않습니다.

IT 부서는 클라우드 앱에 자동 프로비저닝을 설정합니다.

• 직원이 사용하는 클라우드 앱 목록을 만듭니다.
• Cloud ID SAML 및 자동 사용자 프로비저닝 카탈로그에서 이러한 앱을 찾습니다.
• 앱별로 SSO를 설정합니다(SSO가 아직 설정되지 않은 경우).
• 앱에 자동 사용자 프로비저닝을 구성합니다.

자동 프로비저닝 흐름

회사 A에서 마리아를 채용합니다. 마리아의 첫 근무일 전에 관리자가 마리아의 계정을 만들어 Cloud ID에 추가합니다. 관리자는 또한 마리아를 특정 조직에 추가합니다. 마리아는 이 조직에 할당된 클라우드 앱에 액세스할 수 있습니다.

Cloud ID가 마리아의 ID를 모든 클라우드 앱에 복제합니다.

마리아는 첫 근무일에 Cloud ID에 로그인합니다. SSO에 Cloud ID 사용자 인증 정보를 사용하여 필요한 클라우드 앱에 액세스할 수 있습니다.

관련 정보

• Google을 ID 공급업체로 하여 SSO 설정
• SAML 앱 카탈로그: 사전 통합된 SAML 앱
• 자동 프로비저닝 커넥터: 사용자 프로비저닝을 위해 사전 구성된 앱
• Cloud ID 계정: Cloud ID 사용자 계정 만들기
• 조직에 특정 앱 지정: 나만의 커스텀 SAML 애플리케이션 설정하기