Nested groups(중첩 그룹) flattening with Azure AD sync
- Kwang Seob Jeong
It’s will be release on June 2023
What is it?
여러 해 동안 Cloud 고객들이 중첩 그룹(nested groups)을 지원해 달라고 요청했지만 여러 이유로 이 기능은 가까운 시일내에 구현되기가 어렵습니다.
더불어 Azure AD 를 사용할 때 중첩 그룹으로 사용자 관리를 했을 경우 Atlassian Cloud 에서 User provisioning 을 하면 다음과 같은 문제가 있었습니다.
위의 그림에서 보듯이 Engineering 그룹에 속한 사용자들은 상위 그룹인 Atlassian 그룹에도 속해야 하며 Grads 그룹 사용자들은 Design 과 Atlassian 그룹에도 속해야 하지만 Provisioning 시 상위 그룹 정보는 사라지고 속한 그룹 정보만 동기화가 됩니다.
이로 인해 상위 그룹에 접근 권한을 부여한 contents 가 있을 경우 접근을 못하는 문제가 발생합니다. 예로 Atlassian 그룹이 접속할 수 있게 Confluence Space 나 Jira Project 설정을 했을 경우 상위 그룹이 Atlassian 인 “Aaron West” 나 “Carl Hines” 를 빼고는 접속을 못하는 문제가 발생합니다.
Nested groups flattening 이란?
2022년 7월 11일부터 EAP 로 제공되는 기능으로 Azure AD 에서 User provisining 을 할때 상위 그룹 정보도 펼쳐서 동기화하여 사용자 권한 문제가 발생하지 않게 하는 기능입니다.
Groups: 모든 그룹은 별도 그룹으로 분리되고 같은 레벨로 생성됨
Group memberships: 사용자는 permission 상속없이 각각의 그룹에 별도로 추가됨. 예로 nested group 이 있다면 모든 그룹을 펼쳐서 생성하고 중첩 사용자들은 개별 그룹에 직접 포함되도록 생성되므로 위에서 설명한 권한 문제가 해결됨. 새로운 사용자가 그룹을 생성해서 반영됨.
