Azure AD 커넥터는 Microsoft Azure Active Directory(AD)와 Adobe Admin Console을 통합하여 Azure ID 사용자를 위한 SSO 설정 프로세스를 간소화합니다. Azure AD 커넥터를 사용하면 몇 분 안에 사용자 관리 및 라이선스 프로비저닝 워크플로를 자동화하여 SSO를 설정할 수 있습니다.

참고:

Microsoft Azure ID로 구성된 기능 SAML 기반 SSO가 있는 경우에는 현재 설정을 유지하는 것이 좋습니다. 향후 출시 예정인 기능을 통해 사용자 및 SSO 구성을 자동으로 마이그레이션할 수 있습니다.

개요

Microsoft Azure Active Directory(Azure AD)로 Single Sign-On(SSO)을 구성하여 Adobe 앱 및 서비스에 대한 사용자 및 권한을 관리할 수 있습니다. Adobe Admin Console은 Azure AD를 ID 공급자(IdP)로 사용합니다. 

Azure AD 커넥터는 디렉터리 생성, 도메인 요청, SSO 설정 및 제품 기획 과정을 Adobe Admin Console의 간단한 워크플로에 결합합니다. 이 커넥터에는 두 시스템 사이의 사용자 및 사용자 그룹을 동기화하기 위한 빌트인 메커니즘도 포함되어 수동 구성에 요구되는 다단계 프로세스의 필요성을 제거해 줍니다. Adobe Admin Console과 동기화된 Azure AD 사용자는 고유하며 하나 이상의 제품 프로필에 할당될 수 있습니다. 커넥터는 여러 Azure AD 테넌트와 Adobe Admin Console 간의 관계를 관리할 수 있습니다.

커넥터 설정이 완료되면 모든 사용자와 그룹이 Azure AD에서 동기화됩니다. 그런 다음 정기적으로 동기화를 수행하여 Adobe Admin Console의 사용자를 최신 상태로 유지합니다. Admin Console의 시스템 관리자는 Adobe Admin Console의 설정 섹션에서 동기화된 도메인, 사용자 및 사용자 그룹을 볼 수 있습니다.

참고:

초기 설정이 완료되고 나면 동기화 주기가 Azure Portal 및 Admin Console의 변경 사항을 지속적으로 관리합니다. 동기화를 수동으로 트리거하거나 주기적으로 실행할 수 있습니다. Azure Portal에서만 사용자/사용자 그룹/도메인을 관리하는 것이 좋습니다.

사용자와 이들의 제품 권한은 해당 Azure AD 사용자 그룹에 사용자를 추가하거나 그룹에서 제거함으로써 관리됩니다. 동기화가 진행되는 동안 동기화된 Adobe 그룹에서 사용자가 추가되거나 제거되며 관련 권한이 프로비저닝되거나 해지됩니다. Azure AD 커넥터와 동기화된 페더레이션 사용자는 Adobe Admin Console 내에서 디렉터리 사용자로 존재하므로 해당 Azure AD 그룹을 통해 사용자를 제거하면 사용자 권한이 디프로비저닝되고 로그인할 수 없게 되지만 이들의 계정이 영구적으로 삭제되지는 않습니다. Adobe Admin Console 내의 디렉터리 사용자 베이스에서 사용자 계정을 영구적으로 삭제하면 해당 사용자의 계정과 연계된 모든 에셋 또는 콘텐츠가 영구적으로 제거됩니다.

Azure AD 통합의 이점

Adobe Admin Console과 Azure AD의 통합으로 전환 시 주요 이점은 다음과 같습니다.

  • 두 시스템이 직접 연결되므로 도메인 요청, 그룹 생성 등과 같은 단계 복제가 없음
  • 원활한 작업 과정을 통한 동기화의 빠른 설정 및 초기화
  • Microsoft Azure AD는 사용자 관리 및 라이선스 프로비저닝을 포함한 모든 작업을 수행할 수 있는 하나의 장소가 됨
  • Azure AD의 관련 그룹에서 직접 사용자를 손쉽게 온보드 및 오프보드할 수 있음
  • 두 시스템을 관리하는 데 필요한 인력이 적음
  • 사용자 및 디렉터리를 관리하기 위한 직접 승인이 Azure AD 시스템에서 이미 정의되므로 Adobe Admin Console에 동기화하기 위한 추가 서비스 또는 API 설정이 필요 없음

사전 요구 사항

Adobe Admin Console 사용자 관리와 Azure AD의 사용자 관리 통합 기능을 활용하려면 다음과 같은 항목이 필요합니다.

  • ID 공급자(IdP)로 Microsoft Azure AD
  • 다음 제품 중 하나 이상: Creative Cloud for enterprise, Document Cloud for enterprise 또는 Experience Cloud 
  • Azure AD와 관련된 도메인은 Adobe Admin Console에서 요청이 취소되었거나 보류 중인 도메인 요청을 쉽게 철회할 수 있어야 함

맞춤형 SAML 커넥터를 사용하여 Azure AD로 SSO를 이미 구성한 경우 다음 사항을 확인하십시오.

  • Azure AD와 관련된 사용자, 도메인 및 디렉터리 제거
  • 사용자 동기화를 위한 모든 사용자 동기화 도구 또는 UMAPI 통합 제거

아래 표에서 Azure AD 커넥터의 현재 및 향후 기능을 살펴볼 수 있습니다. 이 표를 사용하여 지금 시점에 전환하는 것이 귀사에 적합한지 판단해 보십시오.

구성 요소 기능 Azure AD 커넥터 (현재 버전) Azure AD 커넥터 (향후 릴리스)
디렉터리 만들기 확인된 도메인 동기화
사용자 그룹을 Federated ID 사용자와 동기화
디렉터리 마이그레이션 Adobe로 요청된 도메인을 Azure AD 통합 설정으로 마이그레이션
수동으로 구성된 SSO 설정을 Azure AD 통합 설정으로 이동

경고:

사용자를 제거하면 제품, 서비스 및 스토리지에 대한 액세스 권한도 제거됩니다. Azure AD 커넥터 동기화를 준비할 때 페더레이션 사용자에게 Admin Console에서 영구적으로 삭제하기 전에 필요한 파일을 다운로드하고 백업하도록 요청하십시오. 조직에 이미 디렉터리 내에서 다수의 활성 페더레이션 사용자가 있거나 사용자 동기화 도구와 같은 별도의 사용자 관리 프로세스를 사용하는 경우에는 현재 시점에서 커넥터를 채택하지 않는 것이 좋습니다.

지원되는 통합 시나리오

Azure AD 커넥터는 다중 Azure AD 테넌트 및 다중 Admin Console 시나리오를 지원합니다. 지원되는 시나리오의 일부는 다음과 같습니다.

일대일

조직은 Azure AD 커넥터를 통해 수립된 동기화를 사용하여 단일 Azure 테넌트와 단일 Adobe Admin Console 사이에 일대일 관계를 맺어 사용자를 관리하고 라이선스를 프로비저닝합니다.

일대다 (트러스트됨)

조직은 기본 또는 트러스티 관계에서 다수의 Adobe Admin Console을 보유하며, 트러스티 Admin Console이 기본 Admin Console에서 수립된 SSO 구성을 활용할 수 있습니다. 이 경우 Azure AD 커넥터는 기본 Admin Console의 사용자만 관리합니다.

트러스티 Adobe Admin Console은 SSO 구성을 활용할 수 있습니다. 단, 사용자를 트러스티 Admin Console에 수동으로 추가하거나 사용자 관리 서비스(예: CSV 수동 업로드, 사용자 동기화 도구 또는 사용자 관리 API)를 통해 추가하기에 앞서 이들 사용자를 기본 Admin Console에 동기화해야 합니다.

다대일

조직은 사용자 관리 및 라이선스 프로비저닝을 위한 단일 Adobe Admin Console을 제공하는 다수의 Azure AD 테넌트를 갖습니다. Azure AD 커넥터는 단일 Admin Console에 멀티 테넌트 동기화를 수립하여 연결된 모든 테넌트에 대한 Single Sign-On 및 사용자 관리를 활성화합니다.

일대다

조직은 다수의 Adobe Admin Console을 제공하는 단일 Azure AD 테넌트를 갖습니다. 단일 디렉터리 소스의 사용자를 동일한 조직의 다른 Adobe Admin Console에 동기화하는 데 Azure AD 커넥터를 활용할 수 있습니다.

Azure AD 커넥터 설정

사전 요구 사항 섹션에서 설명한 기준을 충족한다면 이제 통합을 설정하고 사용자에게 권한을 부여할 수 있습니다.

Azure Portal을 사용하여 사용자 및 그룹 설정
  • 도메인 요청 및 Azure AD 설정
  • Adobe Admin Console에서 원하는 분류를 기준으로 그룹사용자를 추가합니다. 사용자의 제품 요구 사항에 따라 그룹을 만드는 것이 좋습니다.
  • 그룹의 사용자 수가 Admin Console에서 해당 제품 프로필에 사용할 수 있는 라이선스의 수와 일치해야 합니다. 단, 이 부분은 나중에 관리해도 됩니다.

Azure Portal이 설정되고 준비되면 다음 작업을 수행하십시오.

  1. Adobe Admin Console에 로그인하고 설정을 클릭합니다. ID 페이지에서 디렉터리 만들기를 클릭합니다. 

  2. 디렉터리 만들기 화면에서 다음 작업을 수행하고 시작을 클릭합니다.

    • 디렉터리의 이름 입력
    • Federated ID 카드 선택
    Federated ID
  3. Microsoft Azure를 선택하고 다음 클릭한 후 이어지는 화면에서 Azure에 로그인을 클릭합니다.

    Microsoft Azure
  4. Microsoft 계정 로그인 페이지로 리디렉션됩니다. Microsoft 전역 관리자 역할로 관리자 자격 증명을 입력하고 로그인을 클릭합니다. 동의 확인 메시지를 검토한 다음 수락을 클릭하여 Adobe Azure AD 커넥터에 Azure AD 테넌트에 대한 읽기 전용 액세스 권한을 부여합니다.

    Azure 로그인 권한

    참고:

    Microsoft 전역 관리자 로그인은 다음 경우에만 필요합니다.

    • Azure AD Connector의 초기 설정
    • Microsoft Azure AD에서 새 Azure AD 보안 사용자 그룹 또는 도메인이 추가되는 중입니다.

    Adobe Admin Console 시스템 관리자는 설정 후 해당 디렉터리 내의 Azure AD에서 동기화된 그룹 및 도메인을 편집할 수 있습니다.

  5. Adobe Admin Console로 돌아가 Azure AD 정보를 검토하고 확인을 클릭합니다.

    디렉터리 확인
  6. Adobe Admin Console에 동기화할 Azure AD 기본 도메인(예: AdobeTestDir.omnimicrosoft.com) 및 Azure AD에서 확인된 기타 도메인을 선택하고 다음을 클릭합니다.

    도메인 요청

    참고:

    소유권 확인됨 상태인 도메인만 선택하고 동기화할 수 있습니다. 소유권이 확인되지 않음 및 다른 조직에서 소유 상태인 도메인은 Azure Portal에서의 확인 없이 동기화할 수 없습니다.

  7. 그룹 목록에서 검색하고 그룹을 선택하여 Adobe Admin Console에 동기화합니다. 그런 다음 설정을 저장하고 마침을 클릭합니다.

    동기화 그룹

    확인된 도메인 및 디렉터리가 Azure AD에서 동기화를 시작합니다. 동기화된 사용자와 같은 세부 정보가 설정 탭의 세부 정보 섹션에 표시됩니다.

    동기화 화면

    참고:


    Connector는 ID 유형에 관계없이 Adobe Admin Console에 존재하는 지원되는 모든 ID 유형(Federated ID 제외)을 동기화하여 해당 Federated ID를 생성합니다. 나중에 기존 사용자 계정 관리 문서를 사용하여 이들 사용자를 Federated ID로 마이그레이션할 수 있습니다.

동기화할 때마다 모든 사용자와 사용자 그룹을 Adobe Admin Console로 가져오게 됩니다. 적절한 제품 프로필을 만들고 이를 사용자 그룹과 연계하여 사용자 간 제품 할당을 세부적으로 조정합니다. 자세한 내용은 제품 및 프로필 관리를 참조하십시오.

참고:

사용자에게 지정된 제품이 할당되면 이들 사용자는 이메일 알림을 받게 됩니다. 사용자는 직접 Creative Cloud 데스크탑 앱을 다운로드하고 설치할 수 있습니다. 이들에게 관리자 권한이 없다면 다음 단계에 따라 패키지를 만들고 배포하십시오.

최종 사용자에게 앱에 대한 액세스 권한을 제공하려면 앱 패키지를 만들고 이들 사용자의 컴퓨터에 배포하십시오. 사용자는 자신의 SSO 자격 증명을 사용하여 로그인해야 앱과 서비스를 사용할 수 있습니다.

 자세한 내용은 지정된 사용자 라이선싱 패키지 제작을 참조하십시오.

기존 사용자 계정 관리


기존의 비-Federated ID 사용자를 Federated ID 유형으로 전환하고, Admin Console에 이미 수립된 경우 커넥터를 통해 Azure AD로 SSO를 다시 구성하려면 추가적인 단계가 필요합니다.

경고:

ID 전환 작업을 수행할 때 동기화된 페더레이션 사용자를 어떠한 제품에도 할당해서는 안 됩니다. 이는 동기화 직후 제품 할당 전에 수행해야 합니다.

Admin Console에 기존의 비-Federated ID 계정을 보유한 사용자는 Azure AD 커넥터가 수립되고 나면 Federated ID 계정으로 마이그레이션할 수 있습니다. 변환이 완료되면 커넥터는 이들 계정 동기화를 정상적으로 수행합니다.

클라우드에 저장된 에셋이 사용자의 새로운 ID 유형으로 마이그레이션되도록 하려면 아래 절차를 따르십시오.

  1. Azure AD 커넥터를 설정하고 Adobe Admin Console에서 기존의 비-Federated ID 사용자를 포함하여 사용자를 동기화합니다. 기존의 모든 비-Federated ID 사용자는 이제 Adobe Admin Console에서 비-Federated ID와 Federated ID를 모두 보유하게 됩니다.

  2. CSV로 ID 유형 편집에 설명된 단계에 따라 비-Federated ID 사용자를 Federated ID 유형으로 변경합니다. 다음 세부 사항과 일치하는지 확인하십시오.

    • 사용자 이름이메일 필드가 Azure AD의 사용자 이름(UserPrincipalName) 필드와 일치합니다.
    • 이름 이 Azure AD의 해당 필드와 일치합니다.

사용자가 새 Federated ID로 로그인하면 클라우드에 저장된 에셋을 새 계정으로 자동 마이그레이션할 수 있는 옵션이 포함된 알림이 표시됩니다.

Azure AD로 실행 중인 SSO 설정이 있고 Azure AD 커넥터 기반 설정으로 전환하고자 하는 경우에는 우선 기존 디렉터리와 연계된 모든 사용자 및 도메인을 완전히 삭제해야 합니다. 그런 다음 Azure AD 커넥터 설정과 동기화하여 이를 다시 수립합니다.

참고:

향후 업데이트에서는 Azure AD 커넥터가 셀프서비스 마이그레이션 기능을 제공하고 디렉터리 사용자, 도메인 및 디렉터리를 삭제하지 않고 커넥터를 통해 Azure AD에서 동기화할 수 있도록 모든 관련 도메인 및 디렉터리 사용자를 포함하여 수립된 페더레이션 디렉터리의 마이그레이션을 허용할 예정입니다.

  1. 활성 Federated ID 사용자에게 수동으로 클라우드에 보관된 에셋을 백업하도록 요청하십시오.

    경고:

    자신의 에셋을 백업하지 않은 사용자는 해당 데이터를 영구적으로 잃게 됩니다.

  2. 사용자 섹션으로 이동하고 왼쪽 창에서 디렉터리 사용자를 엽니다. 제거할 페더레이션 디렉터리를 선택합니다. 디렉터리에서 모든 Federated ID 사용자를 삭제합니다.

  3. 설정 > ID > 도메인으로 이동하고 기존 디렉터리와 연계된 도메인을 선택합니다. 도메인 제거를 선택합니다. 그런 다음 이와 유사한 단계에 따라 연계된 디렉터리를 삭제합니다.

  4. 페더레이션 디렉터리, 관련 도메인 및 각 Federated ID 사용자가 삭제되고 나면 Azure AD 커넥터 구현을 시작합니다.

디렉터리 삭제 및 도메인 제거

참고:

  • 디렉터리를 제거하려면 먼저 해당 디렉터리와 관련된 모든 사용자, 도메인 및 위임자를 제거해야 합니다.
  • 디렉터리 사용자에서 사용자를 삭제하면 해당 사용자는 연계된 모든 Creative Cloud 에셋과 함께 삭제됩니다. 이후 해당 사용자와 에셋은 복구할 수 없습니다.

  1. Admin Console의 설정 탭을 통해 Azure Sync 디렉터리로 이동합니다. 모든 사용자 그룹과 도메인을 동기화 대상에서 선택 해제합니다.

    디렉터리 세부 정보에서 사용자의 수가 감소하기 시작합니다.

    경고:

    동기화 전환 기능을 끄지 마십시오.

  2. 사용자 탭에서 선택 해제된 그룹과 도메인으로부터 모든 사용자가 제거될 때까지 기다립니다. 그런 다음 디렉터리 사용자 섹션으로 이동하여 적절한 디렉터리를 선택하고 모든 사용자를 제거합니다.

    사용자 표의 아래쪽에서 한 번에 최대 100명의 사용자를 선택하여 선택 시간을 단축할 수 있습니다.

  3. 사용자가 디렉터리 사용자 섹션에서 제거되고 나면 연계된 도메인을 제거합니다. 설정 > ID > 도메인으로 이동하고, 목록에서 Azure 디렉터리와 연계된 도메인을 제거합니다.

  4. 이제 디렉터리를 삭제할 준비가 되었습니다. 설정 탭에서 빈 디렉터리를 선택하여 삭제합니다.

참고:

제거할 도메인에 설정된 도메인 트러스트가 없는지 확인합니다.

트러스트 관계를 유지하려면 나머지 단계를 완료하는 동안 일시적으로 관계를 끊으십시오. 도메인이 Adobe Admin Console에서 재설정되고 나면 도메인 트러스트를 연결할 수 있습니다. 디렉터리 트러스트에 대해 자세히 알아보십시오.