ID 설정

Admin Console에서의 디렉터리는 사용자 및 인증과 같은 정책 등의 리소스를 보유하는 엔티티입니다. 이들 디렉터리는 LDAP 또는 활성 디렉터리와 유사합니다.

Active Directory, Azure, Ping, Okta, InCommon 또는 Shibboleth와 같은 조직 ID 공급자입니다.

최종 사용자가 만들고 보유하며 관리합니다. Adobe는 인증을 수행하며 최종 사용자가 ID를 관리합니다. 자신의 ID와 연계된 파일과 데이터에 대한 제어는 전적으로 사용자에게 달려 있습니다. 사용자는 Adobe로부터 추가 제품 및 서비스를 구매할 수 있습니다. 관리자는 사용자를 조직에 가입하도록 초대하거나 제거할 수 있습니다. 하지만 사용자는 자신의 Adobe ID 계정에서 탈퇴할 수 없습니다. 관리자는 계정을 삭제하거나 인수할 수 없습니다. Adobe ID를 사용하기 위해 필요한 별도 설정은 없습니다.

다음은 Adobe ID가 권장되는 일부 요구 사항 및 시나리오입니다.

• 사용자로 하여금 자신의 ID를 만들고 소유하고 관리할 수 있도록 하려는 경우
• 사용자가 다른 Adobe 제품 및 서비스를 구매하거나 등록하는 것을 허용하고자 하는 경우
• 사용자가 현재 Enterprise 또는 Federated ID가 지원되지 않는 기타 Adobe 서비스를 이용하도록 하려는 경우
• 사용자가 이미 Adobe ID와 이에 연관된 파일, 글꼴 또는 설정과 같은 데이터를 가지고 있는 경우 
• 학생들이 졸업 후에도 자신의 Adobe ID를 보유할 수 있는 교육용 설정의 경우
• 관리 중인 도메인의 이메일 주소를 사용하지 않는 계약자나 프리랜서가 있는 경우
• Adobe 팀 계약을 보유하고 있는 경우 이 ID 유형을 사용해야 합니다.

조직에서 만들고 보유하며 관리합니다. Adobe는 Enterprise ID를 호스팅하고 인증을 수행하지만 이 Enterprise ID를 유지 관리하는 것은 조직입니다. 최종 사용자는 Enterprise ID를 등록하거나 만들 수 없으며 Enterprise ID를 사용하여 Adobe로부터의 추가 제품 및 서비스에 대한 등록을 할 수 없습니다.

관리자가 Enterprise ID를 만들고 사용자에게 발급합니다. 관리자는 계정을 넘겨 받아 제품 및 서비스의 이용을 취소할 수 있으며 Enterprise ID를 삭제하여 관련 데이터로의 액세스를 영구적으로 차단할 수 있습니다.

다음은 Enterprise ID가 권장되는 일부 요구 사항 및 시나리오입니다.

• 사용자가 이용하는 앱 및 서비스를 엄격하게 제어할 필요가 있는 경우
• ID와 연계된 파일 및 데이터에 긴급하게 액세스할 필요가 있는 경우
• 사용자 계정을 완전히 차단하거나 삭제할 수 있는 기능이 필요한 경우

조직이 만들고 보유하며 연합을 통해 기업 디렉터리로 연결됩니다. 조직은 자격 증명을 관리하며 SAML2 ID 공급자(IdP)를 통해 Single Sign-On을 처리합니다.

다음은 Federated ID가 권장되는 일부 요구 사항 및 시나리오입니다.

• 조직의 엔터프라이즈 디렉터리에 기반한 사용자를 프로비저닝하려는 경우
• 사용자 인증을 관리하고자 하는 경우
• 사용자가 이용하는 앱 및 서비스를 엄격하게 제어할 필요가 있는 경우
• 사용자로 하여금 Adobe ID를 등록하는 데 동일한 이메일 주소를 사용하도록 허용하려는 경우

이메일 주소에서 @ 기호 다음에 오는 부분입니다. Enterprise 또는 Federated ID로 도메인을 사용하려면 우선 해당 도메인의 소유권을 확인해야 합니다.

예를 들어 조직이 여러 도메인(geometrixx.com, support.geometrixx.com, contact.geometrixx.com)을 소유하고 있지만 이 조직의 직원들은 geometrixx.com을 통해 인증된다고 가정해 봅시다. 이 경우 조직은 Admin Console에서 geometrixx.com 도메인을 사용하여 ID를 설정하게 됩니다.

• IdP 디렉터리 관리자 및 DNS 관리자와 함께 Admin Console에서 ID 설정 작업을 수행합니다. 이 문서는 Admin Console에 대한 액세스 권한을 보유하게 되는 시스템 관리자를 대상으로 합니다. 이 담당자는 일반적으로 Admin Console에 대한 액세스 권한을 보유하지 않은 다른 담당자와 작업하게 됩니다.

• 도메인 소유권 확인을 위한 DNS 토큰 업데이트

• IdP에서 커넥터 생성

사용자 ID는 인증 소스를 통해 확인됩니다. Enterprise ID 또는 Federated ID를 사용하려면 도메인을 추가하여 자신의 인증 소스를 설정합니다. 예를 들어 이메일 주소가 john@example.com인 경우 여기서 example.com이 도메인입니다. 도메인을 추가하면 해당 도메인의 이메일 주소로 Enterprise ID 또는 Federated ID를 만들 수 있습니다. 도메인은 Enterprise ID 또는 Federated ID 중 하나로만 사용할 수 있습니다. 단, 도메인은 여러 개 추가할 수 있습니다.

조직은 도메인을 관리할 수 있음을 입증해야 합니다. 조직은 또한 다수의 도메인을 추가할 수 있습니다. 단, 도메인은 한 번만 추가할 수 있습니다. gmail.com이나 yahoo.com과 같은 알려진 공개 또는 일반 도메인은 추가할 수 없습니다.

ID 유형에 대한 자세한 내용은 ID 유형 관리를 참조하십시오.

디렉터리가 생성됩니다.

Enterprise ID 유형 디렉터리를 만들기로 한 경우에는 이 단계에서 작업이 완료됩니다. Admin Console에서 도메인 설정으로 진행합니다.

Federated ID 유형 디렉터리를 만들기로 한 경우, Adobe에서 이 디렉터리를 제공해야 이후 추가적인 작업을 수행할 수 있습니다. 그러나 Adobe가 디렉터리를 제공할 때까지 기다릴 필요는 없습니다. Admin Console에서 도메인 설정으로 바로 진행할 수 있습니다.

Adobe로부터 디렉터리가 제공되었음을 알리는 이메일을 수신하고 나면 해당 디렉터리에 대한 SAML 설정을 구성합니다.

조직이 Single Sign-On(SSO)을 구성하고 활성화하면 해당 조직의 사용자는 회사의 자격 증명을 통해 Adobe 소프트웨어를 이용할 수 있습니다. 이를 통해 사용자는 단일 자격 증명을 사용하여 Adobe 데스크탑 앱, 서비스 및 모바일 앱을 이용할 수 있습니다.

Adobe Admin Console은 기업 사용자가 자신의 기존 회사 ID를 통해 인증할 수 있는 방법을 제공합니다. Adobe Federated ID를 사용하여 Single Sign-On(SSO) ID 관리 시스템을 통합할 수 있습니다. Single Sign-On을 통해 Enterprise ID 관리 시스템을 Adobe와 같은 클라우드 서비스 제공자에게 연결하는 산업 표준 프로토콜인 SAML을 사용할 수 있습니다.

SSO를 통해 서비스 제공자(Adobe)와 ID 공급자(IdP) 간 인증 정보가 안전하게 교환됩니다. 서비스 제공자는 사용자의 IdP로 요청을 전송하여 해당 사용자에 대한 인증을 시도합니다. 인증이 완료되면 IdP는 응답 메시지를 전송하여 해당 사용자가 로그인할 수 있도록 합니다.

IT 관리자가 Adobe 소프트웨어에 대한 SSO를 설정하려면 다음 사항이 필요합니다.

• SAML 2.0에 대한 이해
• SAML 2.0을 지원하는 ID 공급자(IdP) 및 아래의 최소 요구 사항 필요:
  • IDP 인증서
  • IDP 로그인 URL
  • IDP 바인딩: HTTP-POST 또는 HTTP-Redirect
  • Assertion Consumer 서비스 URL
  • TLS 1.2 활성화
• 도메인 요청 프로세스에 대한 DNS 구성 액세스

IdP의 로그인 URL의 경우 사용자가 로그인할 수 있도록 하기 위해 외부 액세스를 허용할 필요는 없습니다. 단, 조직의 내부 네트워크 내에서만 접근 가능한 경우 사용자는 직접 또는 WiFi나 VPN을 통해 조직의 내부 네트워크에 연결할 때 Adobe 제품에만 로그인할 수 있습니다. 로그인 페이지를 반드시 HTTPS를 통해서만 접근 가능하도록 할 필요는 없지만, 보안상의 이유로 이렇게 하는 것이 권장됩니다.

Adobe 클라우드 서비스는 Okta가 제공하는 SaaS SAML 2.0 커넥터를 사용하는 SSO를 제공합니다. 커넥터는 ID 공급자와 통신하여 인증 서비스를 제공하는 데 사용됩니다. Okta는 대다수의 SAML 2.0 ID 서비스 제공자와 연결되므로 ID 공급자로 반드시 Okta를 사용할 필요는 없습니다. 자세한 내용은 SSO / 일반 질문을 참조하십시오.

귀사에서 SSO 통합에 대한 테스트를 진행하고자 하는 경우, 관련 테스트 도메인에 설정된 ID를 보유한 ID 공급자가 있으면 보유하고 있는 테스트 도메인을 요청하는 것이 좋습니다. 이렇게 하면 주 도메인을 요청하기에 앞서 도메인 요청 및 구성 과정에 충분히 익숙해질 때까지 통합에 대한 테스트를 진행할 수 있습니다.

ID 공급자(IdP)가 이미 있는 경우 Okta에서 제공하는 SaaS SAML 2.0 커넥터를 사용하여 SSO 구성을 간편하게 설정할 수 있습니다.

이제 디렉터리가 Single Sign-On에 대해 구성됩니다.

아직 수행하지 않았다면 도메인을 Admin Console에 추가할 수 있습니다. 이미 Admin Console에 도메인을 추가한 경우에는 이 디렉터리에 필요한 도메인을 연결할 수 있습니다.

Admin Console에 추가하는 도메인을 동일한 IdP로 등록할 필요는 없습니다. 그러나 이들 도메인을 디렉터리에 연결할 때 다른 IdP에서 다른 디렉터리로 연결해야 합니다.

이미 다른 조직의 Admin Console에 추가된 경우에는 도메인을 Admin Console에 추가할 수 없습니다. 단, 해당 도메인에 대한 액세스 권한을 요청할 수는 있습니다.

이제 도메인이 Admin Console에 추가되었습니다. 그러나 여전히 이들 도메인의 소유권을 입증해야 하는 작업이 남아 있습니다.

조직은 도메인의 소유권을 입증해야 합니다. 조직은 도메인을 필요한 만큼 Admin Console에 추가할 수 있습니다.

Admin Console을 통해 하나의 조직이 단일 DNS 토큰을 사용하여 모든 도메인의 소유권을 입증할 수 있습니다. 또한 Admin Console은 서브도메인에 대한 DNS 확인을 요구하지 않습니다. 이는 DNS 토큰을 사용하여 도메인의 소유권을 입증할 때 해당 도메인의 모든 서브도메인은 Admin Console에 추가되는 즉시 입증된다는 것을 의미합니다.

Admin Console은 추가된 도메인에 대한 확인을 하루에 여러 번씩 시도하므로, DNS 레코드를 제대로 구성하고 나면 도메인 확인을 위한 별도의 조치를 취할 필요가 없습니다.

도메인을 즉시 확인해야 하는 경우에는 Admin Console에서 이를 수행할 수 있습니다. 수동으로 도메인을 확인하려면 다음 단계를 따르십시오.

이제 Admin Console에서 필요한 디렉터리에 확인된 도메인을 연결할 수 있습니다.

Admin Console에 기존 도메인을 추가하는 경우 다음과 같은 메시지가 표시됩니다.

이 도메인에 대한 액세스 권한을 요청하면 내 이름, 이메일, 조직 이름이 소유 조직의 모든 시스템 관리자에게 공유됩니다.

디렉터리의 유형(Enterprise 또는 Federated)은 소유 조직이 이를 설정한 방식에 따라 달라집니다. 이는 소유 조직이 선택한 디렉터리 유형을 반드시 사용해야 한다는 것을 의미합니다.

소유자가 해당 도메인을 이미 설정했으므로(자세한 내용은 도메인 설정 섹션에서 도메인의 소유권 입증 참조) 위임자가 추가로 조치를 취해야 할 사항은 없습니다. 액세스 권한 요청이 소유자에 의해 수락되면 조직은 소유 조직에 의해 구성된 대로 해당 디렉터리와 여기에 포함된 모든 도메인에 대한 액세스 권한을 보유하게 됩니다.

소유 조직에서 디렉터리에 대한 액세스 권한 요청을 수락하면 이메일 알림을 수신하게 됩니다. 디렉터리 및 도메인 목록에서 위임 요청은 사라지고 위임된 디렉터리와 해당 도메인이 활성(위임) 상태로 표시됩니다.

계속 진행하여 최종 사용자 및 사용자 그룹을 추가하고 이를 제품 프로필에 할당합니다.

위임자 조직에서 더 이상 위임된 디렉터리에 액세스할 필요가 없는 경우에는 언제든지 위임자 상태를 해지할 수 있습니다.

위임 디렉터리에 대한 액세스 권한을 해지하면 해당 디렉터리의 도메인에 속한 모든 Enterprise ID 또는 Federated ID 사용자(도메인 자격 증명을 사용하여 로그인하는 사용자)는 조직에서 제거됩니다. 또한 이들 사용자는 내 조직에서 부여한 모든 소프트웨어 이용 권한을 잃게 됩니다.

이메일 알림이 위임 조직의 시스템 관리자에게 전송됩니다.

소유하고 있는 디렉터리에 대한 액세스 권한 요청을 거부할 수도 있습니다.

입력한 사유는 이메일을 통해 요청 조직과 공유됩니다. 단, 내 이메일과 이름, 조직 관련 정보는 공개되지 않습니다.

이전에 액세스 권한을 부여한 위임 조직의 액세스 권한을 해지할 수 있습니다.

위임자 조직의 액세스 권한을 해지하면 해당 디렉터리에 포함된 모든 도메인의 Enterprise ID 또는 Federated ID 계정을 사용하는 사용자는 이 위임자 조직에서 제거됩니다. 또한 이들 사용자는 위임 조직에서 부여한 모든 소프트웨어 또는 서비스 이용 권한을 잃게 됩니다.

필요한 경우 디렉터리에 대한 전용 암호화 키를 해지할 수 있습니다.