%201.png){kind=logo}
SCIM 계정 시스템 연동
Overview
SCIM(System for Cross-domain Identity Management)은 사용자 식별 정보를 관리하기 위해 설계된 오픈 표준 프로토콜로, 사용자와 그룹을 나타내는 정의된 스키마와 해당 사용자 및 그룹 리소스에 CRUD(생성, 읽기, 업데이트, 삭제) 작업을 수행하는 RESTful API를 제공합니다. 조직에서 사용하는 계정 시스템을 연동하여 조직 내의 사용자 및 그룹에 해당하는 Attribute(속성) 및 현황을 계정 시스템에서 반영된 즉시 QueryPie로 동기화할 수 있습니다.
계정 시스템 SCIM 동기화를 통한 사용자 관리
QueryPie에서는 Auth Provider라는 필드를 바탕으로 사용자의 원장을 정의합니다. 해당 Auth Provider는 Settings > General Settings > User Management > Authentication 메뉴에서 설정한 외부 계정 시스템 타입을 따라갑니다.
일반적인 SCIM 연동 API로는 해당 주체를 파악할 수 없으므로, SCIM API가 호출되어 사용자가 생성되면 Auth Provider는 해당 Authentication Type을 따라갑니다. 따라서, 보다 원활한 계정 플로우 관리를 위해 SSO 계정 시스템 연동의 절차를 먼저 진행하는 것을 권장드립니다. 이에 따른 시스템 동작은 아래와 같습니다.
Authentication 미설정 (Default: Internal Database) 시
SCIM API에 의해 생성된 사용자 또는 그룹의 Auth Provider는 “QueryPie”가 되며 일반적인 bulk import의 개념으로 동작하게 됩니다.
로컬 쿼리파이 계정과 동일하게 관리되며, 쿼리파이에서 해당 사용자에 대한 편집, 삭제가 가능합니다.
Authentication 설정 (예. Okta) 시
SCIM API에 의해 생성된 사용자 또는 그룹의 Auth Provider는 해당 Identity Provider(IdP)로 표기되며 사용자의 Attribute 프로필 관리는 Settings > General Settings > User Management > Profile Editor의 기준으로 업데이트 관리됩니다.
기존 로컬 QueryPie 계정에 Username (loginId)가 동일한 사용자의 정보가 SCIM API로 업데이트 호출을 받게되면, 해당 사용자의 프로필이 IdP에 맞추어 수정되나, 쿼리파이 내 부여 권한의 유지를 목적으로 우선 Auth Provider가 해당 IdP로 변경되지 않습니다. (9.19.0 기준)
여전히 로컬 쿼리파이 계정과 동일하게 관리되며, 쿼리파이에서 해당 사용자에 대한 편집, 삭제가 가능합니다.
실제 일관성 유지를 위해 사용자의 라이프사이클 관리는 IdP에서 진행하시는 것을 권장드립니다.
동기화된 사용자는 QueryPie 내에서 변경 및 삭제가 불가능합니다.