페더레이션된 게스트 액세스

개요

Adobe의 페더레이션된 게스트 액세스 기능을 통해 기업 고객은 외부 에이전시, 벤더 또는 컨설팅 업체 직원을 내부 직원과 동일한 보안 및 인증 표준으로 Adobe 생태계에 온보딩할 수 있습니다.

이전에는 페더레이션된 ID 사용자를 만들려면 도메인 소유권이 필요했습니다. 이 요구 사항으로 인해 조직에서는 gmail.com과 같은 클레임할 수 없는 도메인과 다른 조직이 소유한 클레임 가능한 도메인을 포함하여 외부 도메인을 가진 사용자를 추가할 수 없었습니다.

페더레이션된 게스트 액세스 기능을 통해 기업 고객은 모든 이메일 주소를 가진 사용자를 자체 페더레이션된 사용자로 추가할 수 있습니다.내부 직원과 외부 파트너 모두에게 일관된 SSO 적용을 보장합니다.

이 기능은 현재 Workfront와 AEM Assets as a Cloud Service를 지원하며, 다른 제품에 대한 지원 확장이 계획되어 있습니다.

페더레이션된 게스트 액세스의 이점

페더레이션된 게스트 액세스 기능의 이점은 다음과 같습니다.

• 원활한 협업: 외부 파트너가 마찰 없이 Adobe 도구에 액세스할 수 있습니다.
• 통합된 보안: 기업은 모든 사용자에게 일관된 SSO 및 인증 정책을 적용할 수 있습니다.
• 운영 효율성: 이전에 벤더를 온보딩하기 위해 사용했던 해결 방법이 필요하지 않습니다.
• 제어된 액세스: 페더레이션된 게스트 계정은 내부 계정과 분리되어 권한과 에셋이 별도로 유지됩니다.

비즈니스 시나리오 및 사용 사례

페더레이션된 게스트 액세스는 기업이 외부 전문 지식에 의존하는 시나리오에서 특히 유용합니다.에이전시와 작업하는 마케팅 팀, 컨설턴트를 고용하는 IT 부서, 또는 여러 기업 간 협업하는 대규모 조직은 보안을 손상시키지 않고 외부 참여자를 통합할 수 있습니다.

예를 들어, 단기 프로젝트를 위해 vendor.com의 Mary를 고용하는 기업을 상상해 보세요.Mary는 이미 고용주와 페더레이션된 계정을 가지고 있을 수 있습니다. 이전에는 채용 회사가 Mary의 기존 페더레이션된 계정을 통해서만 Adobe 환경에 온보딩할 수 있었으며, 이 계정의 인증은 그녀의 고용주가 제어했습니다.

페더레이션된 게스트 액세스를 통해 채용 회사는 Mary를 페더레이션된 게스트로 자사 디렉터리에 추가할 수 있습니다. 이 경우 그녀는 채용 회사의 SSO를 사용하여 로그인하고 Workfront 또는 AEM Assets와 같은 도구에 액세스할 수 있습니다. 그녀는 채용 회사 도메인의 별도 이메일이 필요하지 않습니다.

Mary의 페더레이션된 게스트 계정은 고용주 소유 계정과 완전히 독립적이며, 별도의 권한과 에셋을 가지고 있어 조직 데이터의 명확한 분리를 보장합니다. 그녀는 계정 전환기를 사용하여 계정 간에 전환할 수 있습니다. 계정을 전환할 때마다 Mary는 로그아웃한 후 다른 계정의 로그인 방법을 사용하여 다시 인증해야 합니다. 이 과정은 계정 간의 분리가 유지되도록 보장합니다.

채용 회사의 경우, Mary와 같은 외부 파트너를 내부 직원에게 사용되는 것과 동일한 인증 및 액세스 제어를 통해 온보딩하고 관리할 수 있습니다. Mary의 고용주에게는 페더레이션된 게스트 액세스가 변경을 요구하지 않습니다. 그녀의 계정, 권한, 에셋은 영향을 받지 않으며, 어느 조직도 상대방의 계정에 대한 가시성을 갖지 않습니다.

페더레이션된 게스트 계정

페더레이션된 게스트 액세스는 페더레이션된 게스트라는 새로운 계정 개념을 도입합니다. 페더레이션된 게스트는 기존 페더레이션된 ID 계정 유형의 새로운 베리에이션으로, 기업이 소유하거나 주장하지 않는 이메일 도메인을 지원하도록 확장되었습니다.

기업이 외부 파트너를 페더레이션된 디렉터리에 온보딩하고 페더레이션된 게스트의 이메일 도메인 소유권을 요구하지 않고도 조직의 IdP를 통해 인증할 수 있습니다. 모든 페더레이션된 ID 계정과 마찬가지로, 각 페더레이션된 게스트 계정은 이를 생성한 조직에 범위가 지정되며, 고유한 독립적인 권한, 에셋, 페더레이션을 가집니다. 다른 조직에서 동일한 이메일 주소를 사용하는 다른 계정과는 완전히 분리되어 있습니다.

도메인 관리

채용 기업 관리자는 Admin Console의 새로운 게스트 도메인 탭을 통해 외부 도메인을 추가할 수 있습니다.외부 이메일 도메인을 가진 사용자를 조직이 소유한 별도의 Federated ID 계정으로 추가할 수 있습니다.

주장된 도메인과 달리, 게스트 도메인은 소유권 증명이 필요하지 않습니다. 주장 가능한 도메인과 주장할 수 없는 도메인을 모두 추가할 수 있습니다. 다른 Adobe 조직이 주장한 도메인의 경우, 도메인 소유자가 자신의 도메인을 게스트 도메인으로 사용할 수 있는지 제어할 수 있습니다.

도메인 소유자가 주장된 도메인을 게스트 도메인 사용에서 차단하도록 요청한 경우, 해당 도메인을 게스트 도메인으로 추가할 수 없습니다. 이미 해당 게스트 도메인을 추가한 경우, 해당 도메인으로 새로운 페더레이션된 게스트를 추가할 수 없습니다. 게스트 도메인이 있는 기존 페더레이션된 게스트는 도메인 소유자가 게스트 도메인을 다시 사용할 수 있도록 허용할 때까지 로그인할 수 없습니다.

Admin Console 디렉터리에 게스트 도메인을 직접 추가하려면 다음 단계를 수행하십시오.

기본적으로 모든 주장된 도메인은 페더레이션된 게스트 액세스를 위한 게스트 도메인 사용을 허용하도록 구성되어 있습니다.

도메인 소유자로서 다른 조직이 주장된 도메인을 게스트 도메인으로 사용하는 것을 원하지 않을 수 있습니다.게스트 도메인 사용이 도메인 소유권과 사용자에게 영향을 주지 않지만, 주장된 도메인이 어떻게 사용되고 있는지 검토하고 그러한 사용을 정지할지 결정할 수 있습니다.

Adobe의 다른 조직이 클레임된 도메인을 게스트 도메인으로 사용하는지 검토하기

모든 조직이 주장된 도메인을 게스트 도메인으로 사용하는 것을 차단하거나 허용하려면 Adobe 지원팀에 문의하여 요청하십시오.이 변경 사항은 도메인별로 적용됩니다.

게스트 도메인 사용을 차단하면 Adobe의 다른 조직은 해당 도메인을 게스트 도메인으로 추가할 수 없습니다.게스트 도메인을 이미 추가한 조직은 해당 도메인에 대한 액세스가 차단된 것을 확인할 수 있습니다. 또한 해당 도메인으로 새로운 페더레이션된 게스트를 만들 수 없습니다. 게스트 도메인을 사용하는 기존 페더레이션된 게스트 계정은 해당 계정으로 로그인할 수 없습니다.

보안 및 보호 조치

IdP는 항상 신뢰할 수 있는 소스입니다. 외부 파트너가 페더레이션된 게스트로 온보딩되려면 IdP에 이미 계정이 있어야 합니다. 이는 일반적으로 내부 직원을 Federated ID 사용자로 온보딩하는 방식과 동일합니다.

모든 페더레이션된 게스트는 최초 로그인 전에 일회성 확인 흐름을 완료해야 합니다. Adobe는 페더레이션된 게스트의 이메일로 인증 코드를 전송하며, 페더레이션된 게스트는 초대 조직에 페더레이션된 게스트로 참여하는 것을 검토하고 동의해야 합니다.흐름이 완료되지 않으면 페더레이션된 게스트는 처음 로그인하기 전에 이를 완료하라는 요청을 받습니다.

관리자 경험

관리자 관점에서 페더레이션된 게스트 온보딩은 일반 페더레이션된 사용자를 위한 프로세스와 동일합니다.

• 설정: 관리자가 Admin Console에서 게스트 도메인을 구성합니다.
• 프로비전: 페더레이션된 게스트는 일반 페더레이션된 사용자와 동일한 방식으로 추가됩니다.
• 제품 할당: 제품은 일반 페더레이션된 사용자와 동일한 방식으로 할당됩니다. 현재 Workfront와 AEM Assets as a Cloud Service로 제한됩니다.지원되지 않는 제품(예: Photoshop) 할당은 라이선스를 소비하지 않고 실패합니다.
• 공동 작업 초대: 이메일에 에셋 또는 인스턴스를 소유한 조직의 이름이 포함되어 프로필이나 계정을 전환할 때 혼동을 줄입니다.

최종 사용자 경험

최종 사용자의 경우 경험이 간단하면서도 안전하도록 설계되었습니다. 최초 로그인 시 Adobe는 최종 사용자에게 일회성 확인 흐름을 완료하도록 요청합니다. 페더레이션된 게스트는 이메일을 확인하고 초대하는 조직에 가입하는 데 동의해야 합니다.완료되면 페더레이션된 게스트는 내부 직원과 마찬가지로 고용 기업의 IdP를 통해 계정에 로그인할 수 있습니다. 페더레이션된 게스트는 IdP 개시 로그인을 통해서도 페더레이션된 게스트 계정에 로그인할 수 있습니다.

로그인 페이지에서 이메일을 입력하여 페더레이션된 게스트 계정에 직접 로그인하는 것은 불가능합니다. 대신 IdP 개시 로그인 또는 관리자가 제공할 수 있는 로그인 링크를 사용해야 합니다. 로그인 링크는 디렉터리별로 제공되며 Admin Console에서 액세스할 수 있습니다:

로그인 링크는 페더레이션된 게스트 여부에 관계없이 동일한 디렉터리의 모든 사용자가 사용할 수 있습니다.

이메일이 Adobe의 여러 계정에 연결된 경우 계정 전환기를 사용하여 동일한 이메일을 공유하는 모든 계정을 찾을 수 있습니다. 계정에 로그인한 후 전환할 수 있는 계정 목록이 표시됩니다. 

새로운 계정 전환기를 통해 사용자는 동일한 이메일 주소에 연결된 페더레이션된 계정 간에 토글할 수 있습니다. 프로필 전환과 달리 계정 전환은 각 계정마다 고유한 페더레이션 및/또는 인증 방법이 있으므로 재인증이 필요합니다. 관리자는 특정 디렉터리에 연결된 특별한 로그인 링크를 제공하여 사용자가 올바른 IdP로 연결되도록 할 수도 있습니다.

Global Admin Console 계층

Global Admin Console 계층은 게스트 도메인이 조직 전체에서 어떻게 관리되고 공유되는지를 설정합니다. 페더레이션된 게스트 액세스 기능이 활성화된 조직만 게스트 도메인을 추가할 수 있습니다. 상위 조직이 게스트 도메인을 추가하면 계층의 모든 하위 조직과 전체 콘솔에서 볼 수 있게 되어 외부 사용자와 페더레이션된 게스트의 일관된 온보딩을 보장합니다.

소유 조직은 계층의 다른 조직과 신뢰 관계를 형성하여 해당 도메인을 다른 주장된 도메인처럼 사용할 수 있습니다. 모든 조직에 페더레이션된 게스트 액세스가 활성화될 필요가 없으므로 중앙 집중식 Identity Management를 루트 레벨에서 유지할 수 있습니다. 게스트 도메인은 계층 내의 한 디렉터리에서만 추가할 수 있으며, 계층 외부의 조직은 신뢰 관계가 있더라도 게스트 도메인을 보거나 사용할 수 없어 제어된 가시성을 보장합니다. 이러한 경우 사용자는 Adobe 또는 도메인 소유자가 관리하는 비즈니스 ID로 추가됩니다. 동일한 이메일 주소가 여러 조직에 등록된 경우 별도의 페더레이션된 게스트 계정이 생성되어 사용자가 계정 간에 전환해야 합니다.

자주 묻는 질문