개요

시스템 관리자는 Adobe Admin Console을 사용하여 단일 사인온(SSO)을 위해 Federated ID를 통해 로그인에 사용할 도메인을 구성할 수 있습니다.  DNS 토큰을 사용하여 도메인의 소유권을 표시하면 사용자가 Creative Cloud에 로그인할 수 있도록 도메인을 구성할 수 있습니다. 사용자는 ID 공급자(IdP)를 통해 해당 도메인 내의 전자 메일 주소를 사용하여 로그인할 수 있습니다. 프로세스는 회사 네트워크에서 실행되고 인터넷에서 액세스할 수 있는 소프트웨어 서비스로 프로비저닝되거나, SAML 프로토콜을 사용하여 보안 통신을 통해 사용자 로그인 세부사항을 확인할 수 있게 해 주는 타사에서 호스팅하는 클라우드 서비스로 프로비저닝됩니다.

그러한 단일 IdP가 Microsoft Active Directory Federation Services(AD FS)입니다. AD FS를 사용하려면 사용자가 로그인할 워크스테이션에서 액세스할 수 있고 회사 네트워크 내의 디렉토리 서비스에 액세스할 수 있는 서버를 구성해야 합니다. 이 문서는 Adobe Admin Console과 Microsoft AD FS 서버에서 단일 사인온으로 Adobe Creative Cloud 응용 프로그램 및 관련 웹 사이트에 로그인할 수 있도록 구성하는 데 필요한 프로세스를 설명합니다.

IdP는 회사 네트워크의 외부에서 액세스할 수 있을 필요가 없지만, 액세스할 수 없다면 해당 세션을 비활성화한 후 라이센스를 활성화하거나 로그인할 수 있도록 네트워크 내의(또는 VPN을 통해 연결된) 워크스테이션만 인증을 수행할 수 있게 됩니다.

사전 요구 사항

Microsoft AD FS를 사용하여 단일 사인온 도메인을 구성하려면 다음 요구 사항을 충족해야 합니다.

  • Adobe Admin Console의 승인된 디렉토리가 다른 IdP에 대해 이전에 구성되었거나 구성 대기 중인 Federated ID에 대해 설정함
  • 관련 도메인이 페더레이션된 디렉토리 내에서 승인됨
  • Microsoft Windows Server가 Microsoft AD FS 및 최신 운영 체제 업데이트와 함께 설치됨
  • 사용자의 워크스테이션에서 이 서버에 액세스할 수 있어야 함(예: HTTPS를 통해)
  • AD FS 서버에서 가져온 보안 인증서
  • Creative Cloud for Enterprise 계정과 연결될 모든 Active Directory 계정에는 Active Directory 내에 나열된 전자 메일 주소가 있어야 합니다.

Admin Console에서 디렉토리를 설정하고 디렉토리 내에서 도메인을 승인하는 프로세스는 모두 ID 설정 페이지에 설명되어 있습니다. 추가된 후에는 도메인이 승인되기 전에 디렉토리를 단일 사인온에 대해 구성할 수 있지만, Federated ID 사용자를 생성하려면 존재하는 도메인 이름을 승인해야 합니다.

디렉토리 이름은 임의로 지정할 수 있지만 디렉토리에 연결된 도메인은 '@' 기호 뒤에 있는 전자 메일 주소의 부분과 완전히 일치해야 합니다. 서브 도메인도 사용하려는 경우에는 해당 서브 도메인을 별도로 승인해야 합니다.

참고:

이 문서의 지침 및 스크린샷은 AD FS 버전 3.0에 대한 것이지만 동일한 메뉴가 AD FS 2.0에 있습니다.

토큰 서명 인증서 다운로드

  1. 서버에서 [AD FS 관리] 응용 프로그램을 열고 AD FS -> 서비스 -> 인증서 폴더에서 토큰 서명 인증서를 선택합니다. 인증서 속성 창을 열려면 인증서 보기를 클릭합니다.

    token_signing_certificate
  2. 세부 정보탭에서 파일에 복사를 클릭하고 마법사를 사용하여 인증서를 Base-64로 인코딩된 X. 509(.CER)로 저장합니다. 이 형식은 PEM 형식 인증서와 동일합니다.

    02_-_certificateexportwizard

Adobe Admin Console에서 디렉토리 구성

디렉토리에 대한 단일 사인온을 구성하려면 Adobe Admin Console에 필수 정보를 입력하고 Microsoft AD FS 서버를 구성할 메타데이터를 다운로드합니다.

  1. Admin Console에 로그인하고 설정 > ID로 이동합니다.

  2. 디렉토리 탭으로 이동합니다.

  3. 구성하려는 디렉토리 옆에 있는 구성을 클릭합니다.

    03_-_configure_directory
  4. Microsoft AD FS 서버에서 저장한 인증서를 업로드합니다.

  5. HTTP-REDIRECTIdP 바인딩으로 선택합니다.

  6. 사용자 로그인 설정전자 메일 로 선택합니다.

  7. AD FS 관리 응용 프로그램의 AD FS 서버에서 트리 맨 위에 있는 항목 AD FS를 선택하고 Federation Service 속성 편집을 클릭합니다. 팝업 창의 일반 탭에서 Federation Service ID를 복사합니다.

    예: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Adobe Admin Console에서 복사한 Federation Service IDIdP 발급자 필드에 붙여 넣습니다.

    참고:

    IdP 발급자 필드는 서버를 식별하는 데 사용되며 서버에 연결할 때 사용자가 액세스하는 URL이 아닙니다. 보안상의 이유로 AD FS 서버는 비보안 HTTP를 통해서가 아니라 HTTPS를 통해서만 액세스할 수 있어야 합니다.

  9. IdP 서버(주로 Federation Service 이름과 동일함)의 호스트 이름을 가져와서 프로토콜 https://를 앞에 추가하고, 경로 /adfs/ls를 덧붙여 IdP 로그인 URL을 구성합니다.

    예: https://adfs.example/com/adfs/ls/

  10. Adobe Admin Console에 IdP 로그인 URL을 입력합니다.

  11. 저장을 클릭합니다.

    admin_console_-_adfs-configuredirectory
  12. 컴퓨터에 SAML XML 메타데이터 파일을 저장하려면 메타데이터 다운로드를 클릭합니다. 이 파일은 이 문서의 나머지 부분에서 AD FS 서버에 신뢰하는 당사자 트러스트를 구성하는 데 사용됩니다.

  13. ID 공급자를 사용하여 구성을 완료해야 한다는 것을 이해했다면 상자를 선택합니다. 이 작업은 AD FS 서버의 다음 단계에서 수행됩니다.

    configure_directoryanddownloadmetadata
  14. AD FS 관리 응용 프로그램으로 가져올 수 있도록 AD FS 서버에 XML 메타데이터 파일을 복사합니다.

  15. 디렉토리 구성을 마치려면 완료를 클릭합니다.

디렉토리에 한 개 이상의 도메인 추가

  1. Adobe Admin Console에서 설정 > ID로 이동합니다.

  2. 도메인 탭에서 도메인 추가를 클릭합니다.

  3. 도메인 입력 화면에서 최대 15개의 도메인 목록을 입력하고 도메인 추가를 클릭합니다.

  4. 도메인 추가 화면에서 도메인 목록을 확인하고 도메인 추가를 클릭합니다.

  5. 이제 도메인이 Admin Console에 추가됩니다. 그러나 아직 이 도메인의 소유권을 보여주어야 합니다.

  6. 도메인 페이지에서 유효성 검사가 필요한 모든 도메인에 대해 도메인 유효성 검사를 클릭합니다.

  7. 레코드 값 복사를 클릭하여 표시된 DNS 토큰을 복사하고 DNS 구성에서 유효성을 검사하기 위해 추가한 각 도메인의 설정에 이 토큰을 포함하는 TXT 레코드를 작성합니다.

    이 토큰은 Adobe Admin Console 내에 추가된 모든 도메인에 대해 동일하므로 이후 단계에서 추가된 다른 도메인에 재사용할 수 있습니다.

    도메인의 유효성을 검사했으면 토큰이 제자리에 남아 있지 않아도 됩니다.

    validate_domain_ownership
  8. MXToolbox와 같이 웹 사이트를 사용하여 온라인으로 또는 Windows, Linux, Mac OS 시스템의 명령줄에서 다음과 같이 nslookup 명령을 사용하여 TXT 레코드가 다른 DNS 서버에 전파되었는지 확인할 수 있습니다.

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. 도메인 소유권 유효성 검사 화면에서 지금 유효성 검사를 클릭합니다.

    DNS 토큰이 도메인에 대한 TXT 레코드로 올바르게 감지되면 유효성 검사가 수행되므로 바로 사용할 수 있습니다. 처음에 유효성을 검사하지 않은 도메인은 백그라운드에서 주기적으로 확인되므로 DNS 토큰의 유효성 검사가 올바르게 수행되면 해당 도메인의 유효성 검사가 완료될 것입니다.

AD FS 서버 구성

AD FS와 SAML 통합을 구성하려면 아래 단계를 수행하십시오.

경고:

이후의 모든 단계는 제공된 도메인에 대해 Adobe Admin Console의 값으로 변경한 후에 반복해야 합니다.

  1. AD FS 관리 응용 프로그램에서 AD FS -> 신뢰 관계 -> 신뢰하는 당사자 트러스트로 이동한 다음 신뢰하는 당사자 트러스트 추가를 클릭하여 마법사를 시작합니다.

  2. 시작을 클릭하고 파일에서 신뢰하는 당사자의 데이터 가져오기를 선택한 다음 Adobe Admin Console에서 메타데이터를 복사한 위치를 찾습니다.

    08_-_import_metadata
  3. 신뢰하는 당사자 트러스트에 이름을 지정하고 필요에 따라 추가 메모를 입력합니다.

    [다음]을 클릭합니다.

    09_-_name_relyingpartytrust
  4. 다중 요소 인증이 필요한지 확인하고 관련 옵션을 선택합니다.

    다음을 클릭합니다.

  5. 모든 사용자가 AD FS를 통해 로그온할 수 있는지 아니면 액세스가 거부되었는지 확인합니다.

    다음을 클릭합니다.

  6. 설정을 검토합니다.

    [다음]을 클릭합니다.

  7. 신뢰하는 당사자 트러스트가 추가되었습니다.

    다음 단계에 빠르게 액세스하려면 옵션을 선택한 채로 클레임 규칙 편집 대화 상자를 엽니다.

    닫기를 클릭합니다.

  8. 클레임 규칙 편집 마법사가 자동으로 열리지 않은 경우 AD FS -> 신뢰 관계 -> 신뢰하는 당사자 트러스트에 있는 [AD FS 관리] 응용 프로그램에서 Adobe SSO 신뢰하는 당사자 트러스트를 선택하고 오른쪽에 있는 클레임 규칙 편집...을 클릭하여 액세스할 수 있습니다.

  9. 규칙 추가를 클릭하고 특성 스토어에 LDAP 특성을 클레임으로 보내기 템플릿을 사용하고 LDAP 특성 전자 메일 주소를 발신 클레임 유형 전자 메일 주소에 매핑하는 규칙을 구성합니다.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    참고:

    위 스크린샷에 표시된 대로 전자 메일 주소를 기본 ID로 사용하는 것이 좋습니다. UPN(User Principal Name) 필드를 확인에서 전자 메일 주소로써 보내지는 LDAP 특성으로 사용하는 것은 권장되지 않습니다. UPN을 LDAP 특성으로 사용할 수 있지만 공식적으로는 지원되는 구성이 아니므로 그에 따른 위험은 사용자가 부담합니다.

    종종 UPN이 전자 메일 주소에 매핑 되지 않으므로 대부분의 경우 UPN이 달라집니다. 이 경우 Creative Cloud 내의 자산 공유 및 알림에 문제가 발생할 수 있습니다.

  10. 변형 클레임 규칙 추가를 완료하려면 마침을 클릭합니다.

  11. 또한 클레임 규칙 편집 마법사에서 수신 클레임 변형 템플릿을 사용하여 수신 클레임 유형 전자 메일 주소를 발신 클레임 유형 이름 ID와 발신 이름 ID 형식 전자 메일로 변환하고 모든 클레임 값을 통해 전달하는 규칙을 추가합니다.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. 변형 클레임 규칙 추가를 완료하려면 마침을 클릭합니다.

  13. 클레임 규칙 편집 마법사를 사용하여 다음 규칙이 포함된 사용자 정의 규칙을 사용하여 클레임 보내기 템플릿을 사용하는 규칙을 추가합니다.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. 사용자 정의 규칙 마법사를 완료하려면 마침을 클릭합니다.

  15. 클레임 규칙 편집 대화 상자에서 확인을 클릭하여 이 세 가지 규칙을 신뢰하는 당사자 트러스트에 추가하는 작업을 완료합니다.

    16_-_edit_claim_rules

    참고:

    클레임 규칙의 순서가 중요합니다. 이 규칙은 여기에 표시된 대로 나타나야 합니다.

  16. [신뢰하는 당사자 트러스트]를 새로 선택했는지 확인하고 창 오른쪽에 있는 속성을 클릭합니다. 고급 탭을 선택하고, 보안 해시 알고리즘이 SHA-1로 설정되어 있는지 확인합니다.

    17_-_relying_partytrustproperties

단일 사인온 테스트

Active Directory가 있는 테스트 사용자를 만듭니다. Admin Console에서 이 사용자에 대한 항목을 만들어 라이선스를 할당한 다음, Adobe.com에 로그인하여 관련 소프트웨어가 다운로드할 수 있도록 나열되어 있는지 테스트합니다.

Creative Cloud 데스크탑에 로그인하여 테스트하거나 Photoshop 또는 Illustrator와 같은 응용 프로그램 내에서 테스트할 수도 있습니다.

문제가 발생하는 경우 문제 해결 문서를 참조하십시오.

시간 차이가 적은 서로 다른 시스템 간의 연결 문제를 방지하려면 기본 시간 차이를 2분으로 설정하십시오. 시간 차이에 대한 자세한 내용은 오류 문제 해결 문서를 확인하세요.

여전히 SSO(Single Sign-On) 구성에 대한 지원이 필요한 경우 Adobe Admin Console에서 지원으로 이동하여 티켓을 여십시오.

이 작업에는 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License의 라이센스가 부여되었습니다.  Twitter™ 및 Facebook 게시물은 Creative Commons 약관을 적용받지 않습니다.

법적 고지 사항   |   온라인 개인 정보 보호 정책