메인 콘텐츠로 건너뛰기
SCIM 프로비저닝은 Scale, Scale +, Enterprise 플랜에서 사용할 수 있습니다. 활성 SSO 연결이 필요합니다. 이 가이드는 SCIM 디렉터리 동기화 활성화, 그룹-워크스페이스 매핑 구성, 토큰 관리, 동기화 활동 모니터링 방법을 다룹니다. 시작하기 전에: 먼저 싱글 사인온(SSO) 설정 단계를 완료하세요. SCIM은 활성 SSO 연결을 기반으로 구축됩니다 — 계속하기 전에 아이덴티티 제공자로 도메인 인증 및 SSO를 구성해야 합니다.

CloudThinker에서 SCIM의 작동 방식

SCIM(System for Cross-domain Identity Management)은 아이덴티티 제공자가 CloudThinker를 회사 디렉터리와 자동으로 동기화할 수 있게 하는 업계 표준입니다. 사용자를 수동으로 초대하고 제거하는 대신, IdP가 자동으로 처리합니다. SCIM이 활성화된 경우:
  • IdP의 CloudThinker 애플리케이션에 할당된 사용자는 자동으로 조직에 추가됩니다
  • IdP 애플리케이션에서 제거된 사용자는 CloudThinker에서 자동으로 비활성화됩니다
  • IdP에서 푸시된 그룹은 CloudThinker에 나타나며 특정 워크스페이스 및 역할에 매핑할 수 있습니다
  • IdP의 그룹 멤버십 변경은 CloudThinker의 워크스페이스 액세스를 자동으로 업데이트합니다
내부적으로, IdP는 사용자 및 그룹을 생성, 업데이트 또는 제거해야 할 때마다 베어러 토큰을 사용하여 CloudThinker의 SCIM 2.0 API를 호출합니다.

1단계: CloudThinker에서 SCIM 활성화

1

아이덴티티 및 액세스 설정으로 이동

관리자 설정 → 아이덴티티 및 액세스로 이동합니다. SSO 연결이 활성화된 경우 SSO 카드 아래에 프로비저닝 및 디렉터리 동기화 카드가 나타납니다.
2

SCIM 선택

프로비저닝 모드 선택기에서 SCIM 옵션을 클릭합니다. CloudThinker가 베어러 토큰과 SCIM 엔드포인트 URL을 생성합니다.
3

자격 증명 복사

아이덴티티 제공자에 붙여넣어야 할 두 가지 값이 포함된 대화 상자가 나타납니다:
  • 베어러 토큰 — IdP가 CloudThinker의 SCIM API에 인증하는 데 사용하는 시크릿 토큰
  • SCIM 기본 URL — IdP가 요청을 보낼 엔드포인트 (형식: https://<your-domain>/api/v1/scim/{org_id}/v2)
지금 두 값을 모두 복사하세요 — 베어러 토큰은 한 번만 표시됩니다.
베어러 토큰을 즉시 복사하세요 — 대화 상자를 닫은 후에는 검색할 수 없습니다. 분실한 경우 토큰을 교체해야 합니다.

2단계: 아이덴티티 제공자에서 SCIM 구성

이제 아이덴티티 제공자의 관리 콘솔로 전환하여 CloudThinker 애플리케이션에 대한 SCIM 프로비저닝을 설정합니다. 정확한 단계는 제공자(Okta, Azure AD / Microsoft Entra, OneLogin 등)에 따라 다르지만, 필요한 값은 동일합니다.

일반 구성

IdP의 CloudThinker 애플리케이션에 대한 SCIM 또는 프로비저닝 설정에서 다음을 입력합니다:
필드
SCIM 커넥터 기본 URL1단계의 SCIM 기본 URL
인증 모드HTTP 헤더 / 베어러 토큰
베어러 토큰1단계의 토큰
고유 식별자 필드userName (사용자의 이메일 주소에 매핑)

IdP에서 동기화할 수 있는 항목

작업지원 여부수행 내용
사용자 생성CloudThinker 조직에 새 사용자 계정 추가
사용자 속성 업데이트이름, 이메일, 활성 상태를 동기화 상태로 유지
사용자 비활성화IdP에서 사용자가 비활성화될 때 액세스 비활성화
사용자 삭제조직에서 사용자 제거
그룹 푸시IdP 그룹을 CloudThinker에 동기화하여 워크스페이스 매핑
그룹 멤버십IdP와 CloudThinker 간에 그룹 멤버를 동기화 상태로 유지
CloudThinker는 사용자 조회에 userName으로, 그룹 조회에 displayName으로 필터링을 지원합니다. 일괄 작업은 현재 지원되지 않습니다.

3단계: 그룹을 워크스페이스 및 역할에 매핑

IdP가 SCIM을 통해 그룹을 푸시하기 시작하면, 아이덴티티 및 액세스 페이지의 그룹 매핑 섹션에 자동으로 나타납니다. 그룹 매핑을 사용하면 IdP의 그룹 멤버십에 따라 사용자가 접근하는 워크스페이스와 받는 역할을 제어할 수 있습니다. 동기화된 각 그룹에 대해 다음을 구성할 수 있습니다:
설정설명
자동 할당 워크스페이스이 그룹의 멤버가 자동으로 추가될 워크스페이스
자동 할당 조직 역할이 그룹 멤버의 조직 역할 — Viewer, Developer, 또는 Admin을 선택합니다. “연결 역할 사용”을 선택하면 SSO 연결 설정의 기본 역할을 사용합니다.
1

그룹이 나타날 때까지 기다리기

IdP에서 SCIM을 구성한 후 CloudThinker 애플리케이션에 그룹을 할당합니다. IdP가 그룹을 푸시하면 그룹 매핑 테이블에 표시됩니다 — IdP의 동기화 간격에 따라 몇 분이 걸릴 수 있습니다.
2

워크스페이스 선택

각 그룹에 대해 워크스페이스 드롭다운을 사용하여 멤버가 액세스해야 할 워크스페이스를 선택합니다.
3

역할 설정 (선택 사항)

선택적으로 각 그룹에 대한 특정 역할을 선택합니다. “연결 역할 사용”으로 두면 멤버는 SSO 연결 설정의 기본 역할을 받습니다.
4

저장

매핑을 적용하려면 각 그룹 행의 저장을 클릭합니다.
아직 동기화된 그룹이 없는 경우, 그룹 매핑 섹션에 “아직 동기화된 그룹이 없습니다. 아이덴티티 제공자가 SCIM을 통해 그룹을 푸시하면 여기에 자동으로 나타납니다.”라는 메시지가 표시됩니다.

SCIM 토큰 관리

토큰 교체

토큰이 손상되었거나 보안 정책에서 주기적인 교체를 요구하는 경우, 다운타임 없이 교체할 수 있습니다:
  1. 디렉터리 동기화(SCIM) 섹션에서 토큰 교체를 클릭합니다
  2. 교체를 확인합니다 — 이전 토큰은 24시간 동안 유효하게 유지되어 IdP를 업데이트할 시간을 줍니다
  3. 새 토큰을 복사하여 IdP의 SCIM 구성에서 업데이트합니다
이전 토큰과 새 토큰 모두 24시간 중복 기간 동안 작동하므로, 전환하는 동안 IdP에서 동기화 실패가 발생하지 않습니다.

토큰 취소

SCIM에서 벗어나는 경우(Manual 또는 JIT로 전환) SCIM 토큰이 자동으로 취소되고 모든 디렉터리 동기화가 중지됩니다. IdP는 더 이상 CloudThinker에서 사용자를 생성, 업데이트 또는 제거할 수 없습니다.

동기화 활동 모니터링

디렉터리 동기화 섹션에서 동기화 로그 보기를 클릭하여 모든 SCIM 작업의 기록을 확인합니다. IdP가 변경 사항을 올바르게 푸시하고 있는지 확인하고 프로비저닝 문제를 해결하는 데 유용합니다. 각 로그 항목은 다음을 표시합니다:
필드설명
타임스탬프작업이 발생한 시간
작업발생한 일 (예: CREATE, UPDATE, DELETE)
리소스영향을 받은 사용자 또는 그룹
상태성공(SUCCESS), 건너뜀(SKIPPED), 실패(FAILED) 여부

SCIM 비활성화

더 이상 디렉터리 동기화가 필요하지 않은 경우 SCIM을 비활성화할 수 있습니다:
  1. 프로비저닝 및 디렉터리 동기화 카드에서 수동 또는 Just-in-time을 선택합니다
  2. 작업을 확인합니다 — 이 작업은 즉시 SCIM 토큰을 취소하고 모든 디렉터리 동기화를 중지합니다
  3. 기존 사용자는 조직에 유지되지만, IdP는 더 이상 사용자를 자동으로 추가하거나 제거할 수 없습니다
SCIM 비활성화는 즉시 적용됩니다. 아이덴티티 제공자는 다음 동기화 주기에서 인증 오류를 수신하기 시작합니다. 불필요한 오류 알림을 방지하려면 IdP에서 SCIM 프로비저닝을 업데이트하거나 비활성화하세요.

문제 해결

CloudThinker에 그룹이 나타나지 않음

IdP의 프로비저닝 설정에서 그룹이 CloudThinker 애플리케이션에 할당되어 있는지 확인하세요. CloudThinker는 IdP에서 그룹을 가져오지 않습니다 — IdP가 그룹을 푸시해야 합니다. 동기화 로그 보기를 확인하여 그룹 동기화 시도가 있었는지 확인하세요.

사용자가 프로비저닝되지 않음

  1. IdP에서 사용자가 CloudThinker 애플리케이션에 할당되어 있는지 확인합니다
  2. SCIM 토큰이 교체되거나 취소되지 않았는지 확인합니다 — 확실하지 않은 경우 토큰을 교체하고 IdP를 업데이트합니다
  3. 동기화 로그 보기를 열고 FAILED 항목을 찾습니다 — 이 항목에는 종종 무엇이 잘못되었는지에 대한 세부 정보가 포함됩니다
  4. 사용자의 이메일 주소가 유효하고 다른 CloudThinker 조직과 이미 연결되어 있지 않은지 확인합니다

사용자가 프로비저닝 해제되지 않음

  1. IdP에서 사용자가 CloudThinker 애플리케이션에서 제거되었는지 확인합니다 (그룹에서만 제거하는 것으로는 충분하지 않습니다 — 애플리케이션 할당을 해제해야 합니다)
  2. 해당 사용자에 대한 DELETE 또는 DEACTIVATE 작업에 대한 동기화 로그를 확인합니다
  3. 일부 IdP는 변경 사항을 즉시 동기화하지 않습니다 — 예를 들어, Microsoft Entra는 약 40분마다 동기화합니다. 다음 주기를 기다리고 다시 확인합니다.

SCIM 토큰이 작동을 중지함

다른 관리자가 토큰을 교체하거나 취소했을 수 있습니다. CloudThinker에서 새 토큰을 생성하고 IdP의 SCIM 구성을 새 값으로 업데이트하세요.

”SCIM이 활성화된 동안에는 JIT 프로비저닝을 활성화할 수 없습니다”

JIT(Just-in-Time) 프로비저닝과 SCIM은 동시에 사용할 수 없습니다. JIT로 전환하려면 먼저 다른 프로비저닝 모드(수동 또는 JIT)를 선택하세요 — 이 작업으로 SCIM 토큰이 취소되고 디렉터리 동기화가 중지됩니다.

관련 항목

SSO 설정

SAML 또는 OIDC 싱글 사인온 구성 (SCIM의 사전 요구 사항)

보안 개요

MFA, RBAC, API 키, 데이터 보안

조직

조직 멤버 및 역할 관리

워크스페이스 사용자

워크스페이스 수준 액세스 제어