Admin Console에서 설정 > ID로 이동합니다.
ID 페이지에 조직의 도메인이 나열됩니다.
시스템 관리자는 Admin Console을 사용하여 SSO(Single Sign-On)용 Federated ID를 통한 로그인에 사용되는 도메인을 구성할 수 있습니다. DNS 토큰을 통해 도메인의 소유권이 입증되고 나면 사용자가 Creative Cloud에 로그인할 수 있도록 해당 도메인을 구성할 수 있습니다. 사용자는 ID 공급자(IdP)를 통해 해당 도메인 내에서 이메일 주소를 사용하여 로그인할 수 있습니다. 이 프로세스는 회사 네트워크 내에서 실행되고 인터넷을 통해 액세스할 수 있는 소프트웨어 서비스나 SAML 프로토콜을 사용하는 보안 커뮤니케이션을 통해 사용자 로그인 세부 정보를 확인할 수 있는 서드 파티에서 호스팅하는 클라우드 서비스로 제공됩니다.
이와 같은 IdP 중 하나는 Shibboleth입니다. Shibboleth를 사용하려면 인터넷을 통해 액세스할 수 있고 회사 네트워크 내에서 디렉터리 서비스에 대한 액세스 권한을 갖는 서버가 필요합니다. 이 문서에서는 Single Sign-On에 대해 Adobe Creative Cloud 애플리케이션 및 관련 웹 사이트에 로그인할 수 있도록 Admin Console과 Shibboleth 서버를 구성하기 위한 프로세스를 설명합니다.
일반적으로 IdP에 대한 액세스 권한은 서버와 DMZ(Demilitarized Zone)로 불리는 내부 및 외부 네트워크 간 특정 유형의 커뮤니케이션만 허용하도록 특정 규칙으로 구성된 별도의 네트워크를 통해 부여됩니다. 이 서버의 운영 체제에 대한 구성과 이러한 네트워크의 구조는 이 문서에서 다루지 않습니다.
Shibboleth IDP를 사용하는 Single Sign-On에 대한 도메인을 구성하기에 앞서 다음과 같은 요구 조건이 충족되어야 합니다.
이 문서에서 설명하는 Adobe SSO와의 Shibboleth IDP 구성을 위한 단계는 버전 3을 사용하여 테스트되었습니다.
Admin Console에서 Shibboleth IdP를 구성하려면 아래 단계를 따르십시오.
Admin Console에서 설정 > ID로 이동합니다.
ID 페이지에 조직의 도메인이 나열됩니다.
설정하려는 도메인의 이름을 클릭합니다.
SSO 구성을 클릭합니다.
도메인 설정 마법사가 열립니다.
IdP 인증서를 업로드하려면 업로드를 클릭하고 다음 경로에서 인증서 파일을 탐색합니다.
%{idp.home}/credentials/idp-signing.crt
IdP 바인딩을 리디렉션으로 설정합니다.
사용자 로그인 설정에 대해 이메일 주소를 선택합니다.
IDP 발급자 필드에 다음 URL을 입력합니다.
https://<요청된 도메인 서버 이름:포트>/idp/shibboleth
IDP 로그인 URL 필드에 다음 URL을 입력합니다.
https://<요청된 도메인 서버 이름:포트>/idp/profile/SAML2/Redirect/SSO
구성 완료를 클릭합니다.
SAML XML 메타데이터 파일을 다운로드하려면 메타데이터 다운로드를 클릭합니다.
도메인 활성화를 클릭합니다.
이제 도메인이 활성화됩니다.
Adobe Admin Console에서 SAML XML 메타데이터 파일을 다운로드한 후 아래 단계에 따라 Shibboleth 구성 파일을 업데이트합니다.
다운로드한 메타데이터 파일을 다음 위치에 복사하고 파일 이름을 adobe-sp-metadata.xml로 변경합니다.
%{idp.home}/metadata/
attribute-filter.xml 파일을 편집합니다.
Adobe 서비스 제공자는 SAML 응답에 있는 사용자의 이름, 성 및 이메일을 필요로 합니다.
아래와 같이 AttributeFilterPolicy 노드를 삽입하여 %{idp.home}/conf/attribute-filter.xml 파일에 FirstName, LastName 및 Email 속성이 포함되도록 편집합니다.
metadata-providers.xml 파일을 편집합니다.
위의 단계 1에서 생성한 adobe-sp-metadata.xml 메타데이터 파일의 위치로 %{idp.home}/conf/metadata-providers.xml을 업데이트합니다.
adobe.com에 로그인할 수 없는 경우에는 아래의 Shibboleth 구성 파일을 통해 발생 가능한 모든 문제를 점검해 보십시오.
Shibboleth를 구성하는 동안 업데이트한 이 속성 필터 파일은 Adobe 서비스 제공자에게 제공해야 하는 속성을 정의합니다. 단, 이들 속성을 조직의 LDAP / 액티브 디렉터리에서 정의된 대로 적절한 속성에 매핑해야 합니다.
다음 위치에서 attribute-resolver.xml 파일을 편집합니다.
%{idp.home}/conf/attribute-resolver.xml
다음 각각의 속성에 대해 조직에서 정의된 대로 소스 속성 ID를 지정합니다.
다음 위치에서 relying-party.xml 파일을 업데이트하여 Adobe 서비스 제공자에게 필요한 saml-nameid 포맷을 지원하도록 합니다.
%{idp.home}/conf/relying-party.xml
p:nameIDFormatPrecedence 속성을 업데이트하여 emailAddress를 포함시킵니다.
다음 위치에서 saml-nameid.xml을 업데이트합니다.
%{idp.home}/conf/saml-nameid.xml
p:attributeSourceIds 속성을 "#{ {'Email'} }"로 업데이트합니다.
액티브 디렉터리를 사용하여 테스트 사용자를 생성합니다. Admin Console에서 이 사용자에 대한 항목을 만들고 라이선스를 할당합니다. 그런 다음 Adobe.com에 테스트 로그인하여 관련 소프트웨어가 다운로드할 수 있도록 나열되는지 확인합니다.