> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cloudthinker.io/llms.txt
> Use this file to discover all available pages before exploring further.

# SCIM 프로비저닝 설정

> SCIM 2.0으로 아이덴티티 제공자에서 사용자 및 그룹 프로비저닝 자동화

SCIM 프로비저닝은 **Scale**, **Scale +**, **Enterprise** 플랜에서 사용할 수 있습니다. 활성 SSO 연결이 필요합니다.

이 가이드는 SCIM 디렉터리 동기화 활성화, 그룹-워크스페이스 매핑 구성, 토큰 관리, 동기화 활동 모니터링 방법을 다룹니다.

**시작하기 전에:** 먼저 [싱글 사인온(SSO) 설정](/ko/guide/security/sso) 단계를 완료하세요. SCIM은 활성 SSO 연결을 기반으로 구축됩니다 — 계속하기 전에 아이덴티티 제공자로 도메인 인증 및 SSO를 구성해야 합니다.

***

## CloudThinker에서 SCIM의 작동 방식

SCIM(System for Cross-domain Identity Management)은 아이덴티티 제공자가 CloudThinker를 회사 디렉터리와 자동으로 동기화할 수 있게 하는 업계 표준입니다. 사용자를 수동으로 초대하고 제거하는 대신, IdP가 자동으로 처리합니다.

SCIM이 활성화된 경우:

* IdP의 CloudThinker 애플리케이션에 **할당된 사용자**는 자동으로 조직에 추가됩니다
* IdP 애플리케이션에서 **제거된 사용자**는 CloudThinker에서 자동으로 비활성화됩니다
* IdP에서 **푸시된 그룹**은 CloudThinker에 나타나며 특정 워크스페이스 및 역할에 매핑할 수 있습니다
* IdP의 **그룹 멤버십 변경**은 CloudThinker의 워크스페이스 액세스를 자동으로 업데이트합니다

내부적으로, IdP는 사용자 및 그룹을 생성, 업데이트 또는 제거해야 할 때마다 베어러 토큰을 사용하여 CloudThinker의 SCIM 2.0 API를 호출합니다.

***

## 1단계: CloudThinker에서 SCIM 활성화

<Steps>
  <Step title="아이덴티티 및 액세스 설정으로 이동">
    **관리자 설정 → 아이덴티티 및 액세스**로 이동합니다. SSO 연결이 활성화된 경우 SSO 카드 아래에 **프로비저닝 및 디렉터리 동기화** 카드가 나타납니다.
  </Step>

  <Step title="SCIM 선택">
    프로비저닝 모드 선택기에서 **SCIM** 옵션을 클릭합니다. CloudThinker가 베어러 토큰과 SCIM 엔드포인트 URL을 생성합니다.
  </Step>

  <Step title="자격 증명 복사">
    아이덴티티 제공자에 붙여넣어야 할 두 가지 값이 포함된 대화 상자가 나타납니다:

    * **베어러 토큰** — IdP가 CloudThinker의 SCIM API에 인증하는 데 사용하는 시크릿 토큰
    * **SCIM 기본 URL** — IdP가 요청을 보낼 엔드포인트 (형식: `https://<your-domain>/api/v1/scim/{org_id}/v2`)

    지금 두 값을 모두 복사하세요 — 베어러 토큰은 한 번만 표시됩니다.
  </Step>
</Steps>

<Warning>
  베어러 토큰을 즉시 복사하세요 — 대화 상자를 닫은 후에는 검색할 수 없습니다. 분실한 경우 토큰을 교체해야 합니다.
</Warning>

***

## 2단계: 아이덴티티 제공자에서 SCIM 구성

이제 아이덴티티 제공자의 관리 콘솔로 전환하여 CloudThinker 애플리케이션에 대한 SCIM 프로비저닝을 설정합니다. 정확한 단계는 제공자(Okta, Azure AD / Microsoft Entra, OneLogin 등)에 따라 다르지만, 필요한 값은 동일합니다.

### 일반 구성

IdP의 CloudThinker 애플리케이션에 대한 SCIM 또는 프로비저닝 설정에서 다음을 입력합니다:

| 필드                  | 값                            |
| ------------------- | ---------------------------- |
| **SCIM 커넥터 기본 URL** | 1단계의 SCIM 기본 URL             |
| **인증 모드**           | HTTP 헤더 / 베어러 토큰             |
| **베어러 토큰**          | 1단계의 토큰                      |
| **고유 식별자 필드**       | `userName` (사용자의 이메일 주소에 매핑) |

### IdP에서 동기화할 수 있는 항목

| 작업          | 지원 여부 | 수행 내용                                  |
| ----------- | ----- | -------------------------------------- |
| 사용자 생성      | 예     | CloudThinker 조직에 새 사용자 계정 추가           |
| 사용자 속성 업데이트 | 예     | 이름, 이메일, 활성 상태를 동기화 상태로 유지             |
| 사용자 비활성화    | 예     | IdP에서 사용자가 비활성화될 때 액세스 비활성화            |
| 사용자 삭제      | 예     | 조직에서 사용자 제거                            |
| 그룹 푸시       | 예     | IdP 그룹을 CloudThinker에 동기화하여 워크스페이스 매핑  |
| 그룹 멤버십      | 예     | IdP와 CloudThinker 간에 그룹 멤버를 동기화 상태로 유지 |

<Info>
  CloudThinker는 사용자 조회에 `userName`으로, 그룹 조회에 `displayName`으로 필터링을 지원합니다. 일괄 작업은 현재 지원되지 않습니다.
</Info>

***

## 3단계: 그룹을 워크스페이스 및 역할에 매핑

IdP가 SCIM을 통해 그룹을 푸시하기 시작하면, 아이덴티티 및 액세스 페이지의 **그룹 매핑** 섹션에 자동으로 나타납니다. 그룹 매핑을 사용하면 IdP의 그룹 멤버십에 따라 사용자가 접근하는 워크스페이스와 받는 역할을 제어할 수 있습니다.

동기화된 각 그룹에 대해 다음을 구성할 수 있습니다:

| 설정               | 설명                                                                                             |
| ---------------- | ---------------------------------------------------------------------------------------------- |
| **자동 할당 워크스페이스** | 이 그룹의 멤버가 자동으로 추가될 워크스페이스                                                                      |
| **자동 할당 조직 역할**  | 이 그룹 멤버의 조직 역할 — Viewer, Developer, 또는 Admin을 선택합니다. "연결 역할 사용"을 선택하면 SSO 연결 설정의 기본 역할을 사용합니다. |

<Steps>
  <Step title="그룹이 나타날 때까지 기다리기">
    IdP에서 SCIM을 구성한 후 CloudThinker 애플리케이션에 그룹을 할당합니다. IdP가 그룹을 푸시하면 **그룹 매핑** 테이블에 표시됩니다 — IdP의 동기화 간격에 따라 몇 분이 걸릴 수 있습니다.
  </Step>

  <Step title="워크스페이스 선택">
    각 그룹에 대해 워크스페이스 드롭다운을 사용하여 멤버가 액세스해야 할 워크스페이스를 선택합니다.
  </Step>

  <Step title="역할 설정 (선택 사항)">
    선택적으로 각 그룹에 대한 특정 역할을 선택합니다. "연결 역할 사용"으로 두면 멤버는 SSO 연결 설정의 기본 역할을 받습니다.
  </Step>

  <Step title="저장">
    매핑을 적용하려면 각 그룹 행의 **저장**을 클릭합니다.
  </Step>
</Steps>

<Info>
  아직 동기화된 그룹이 없는 경우, 그룹 매핑 섹션에 "아직 동기화된 그룹이 없습니다. 아이덴티티 제공자가 SCIM을 통해 그룹을 푸시하면 여기에 자동으로 나타납니다."라는 메시지가 표시됩니다.
</Info>

***

## SCIM 토큰 관리

### 토큰 교체

토큰이 손상되었거나 보안 정책에서 주기적인 교체를 요구하는 경우, 다운타임 없이 교체할 수 있습니다:

1. **디렉터리 동기화(SCIM)** 섹션에서 **토큰 교체**를 클릭합니다
2. 교체를 확인합니다 — 이전 토큰은 24시간 동안 유효하게 유지되어 IdP를 업데이트할 시간을 줍니다
3. 새 토큰을 복사하여 IdP의 SCIM 구성에서 업데이트합니다

이전 토큰과 새 토큰 모두 24시간 중복 기간 동안 작동하므로, 전환하는 동안 IdP에서 동기화 실패가 발생하지 않습니다.

### 토큰 취소

SCIM에서 벗어나는 경우(Manual 또는 JIT로 전환) SCIM 토큰이 자동으로 취소되고 모든 디렉터리 동기화가 중지됩니다. IdP는 더 이상 CloudThinker에서 사용자를 생성, 업데이트 또는 제거할 수 없습니다.

***

## 동기화 활동 모니터링

디렉터리 동기화 섹션에서 **동기화 로그 보기**를 클릭하여 모든 SCIM 작업의 기록을 확인합니다. IdP가 변경 사항을 올바르게 푸시하고 있는지 확인하고 프로비저닝 문제를 해결하는 데 유용합니다.

각 로그 항목은 다음을 표시합니다:

| 필드        | 설명                                       |
| --------- | ---------------------------------------- |
| **타임스탬프** | 작업이 발생한 시간                               |
| **작업**    | 발생한 일 (예: CREATE, UPDATE, DELETE)        |
| **리소스**   | 영향을 받은 사용자 또는 그룹                         |
| **상태**    | 성공(SUCCESS), 건너뜀(SKIPPED), 실패(FAILED) 여부 |

***

## SCIM 비활성화

더 이상 디렉터리 동기화가 필요하지 않은 경우 SCIM을 비활성화할 수 있습니다:

1. **프로비저닝 및 디렉터리 동기화** 카드에서 **수동** 또는 **Just-in-time**을 선택합니다
2. 작업을 확인합니다 — 이 작업은 즉시 SCIM 토큰을 취소하고 모든 디렉터리 동기화를 중지합니다
3. 기존 사용자는 조직에 유지되지만, IdP는 더 이상 사용자를 자동으로 추가하거나 제거할 수 없습니다

<Warning>
  SCIM 비활성화는 즉시 적용됩니다. 아이덴티티 제공자는 다음 동기화 주기에서 인증 오류를 수신하기 시작합니다. 불필요한 오류 알림을 방지하려면 IdP에서 SCIM 프로비저닝을 업데이트하거나 비활성화하세요.
</Warning>

***

## 문제 해결

### CloudThinker에 그룹이 나타나지 않음

IdP의 프로비저닝 설정에서 그룹이 CloudThinker 애플리케이션에 할당되어 있는지 확인하세요. CloudThinker는 IdP에서 그룹을 가져오지 않습니다 — IdP가 그룹을 푸시해야 합니다. **동기화 로그 보기**를 확인하여 그룹 동기화 시도가 있었는지 확인하세요.

### 사용자가 프로비저닝되지 않음

1. IdP에서 사용자가 CloudThinker 애플리케이션에 할당되어 있는지 확인합니다
2. SCIM 토큰이 교체되거나 취소되지 않았는지 확인합니다 — 확실하지 않은 경우 토큰을 교체하고 IdP를 업데이트합니다
3. **동기화 로그 보기**를 열고 FAILED 항목을 찾습니다 — 이 항목에는 종종 무엇이 잘못되었는지에 대한 세부 정보가 포함됩니다
4. 사용자의 이메일 주소가 유효하고 다른 CloudThinker 조직과 이미 연결되어 있지 않은지 확인합니다

### 사용자가 프로비저닝 해제되지 않음

1. IdP에서 사용자가 CloudThinker 애플리케이션에서 제거되었는지 확인합니다 (그룹에서만 제거하는 것으로는 충분하지 않습니다 — 애플리케이션 할당을 해제해야 합니다)
2. 해당 사용자에 대한 DELETE 또는 DEACTIVATE 작업에 대한 동기화 로그를 확인합니다
3. 일부 IdP는 변경 사항을 즉시 동기화하지 않습니다 — 예를 들어, Microsoft Entra는 약 40분마다 동기화합니다. 다음 주기를 기다리고 다시 확인합니다.

### SCIM 토큰이 작동을 중지함

다른 관리자가 토큰을 교체하거나 취소했을 수 있습니다. CloudThinker에서 새 토큰을 생성하고 IdP의 SCIM 구성을 새 값으로 업데이트하세요.

### "SCIM이 활성화된 동안에는 JIT 프로비저닝을 활성화할 수 없습니다"

JIT(Just-in-Time) 프로비저닝과 SCIM은 동시에 사용할 수 없습니다. JIT로 전환하려면 먼저 다른 프로비저닝 모드(수동 또는 JIT)를 선택하세요 — 이 작업으로 SCIM 토큰이 취소되고 디렉터리 동기화가 중지됩니다.

***

## 관련 항목

<CardGroup cols={2}>
  <Card title="SSO 설정" icon="key" href="/ko/guide/security/sso">
    SAML 또는 OIDC 싱글 사인온 구성 (SCIM의 사전 요구 사항)
  </Card>

  <Card title="보안 개요" icon="shield-halved" href="/ko/guide/security/overview">
    MFA, RBAC, API 키, 데이터 보안
  </Card>

  <Card title="조직" icon="building-columns" href="/ko/guide/organization">
    조직 멤버 및 역할 관리
  </Card>

  <Card title="워크스페이스 사용자" icon="users" href="/ko/guide/workspace-users">
    워크스페이스 수준 액세스 제어
  </Card>
</CardGroup>
