macOS/Linux의 경우 터미널을 엽니다.
Windows 경우 openssl 지원(설치되어 있는 경우 Cygwin 또는 cmd)을 제공하는 프로그램을 엽니다. 그렇지 않으면 버전 2.6.0부터 사용자 동기화 도구를 사용하여 공개 인증서 및 비공개 키를 생성할 수 있습니다. 도구를 로컬로 다운로드하고 user-sync.exe 파일이 포함된 폴더 내에서 명령 프롬프트에 이 명령줄을 실행해야 합니다.
마지막 업데이트 날짜
2022년 11월 28일
|
다음에도 적용됨 Creative Cloud for enterprise
- Adobe 기업 및 팀: 관리 안내서
- 배포 계획 수립
- 기본 개념
- 배포 안내서
- Creative Cloud for education 배포
- 조직 설정
- ID 유형 | 개요
- ID 설정 | 개요
- Enterprise ID로 조직 설정
- Azure AD 페더레이션 및 동기화 설정
- Google Federation 및 동기화 설정
- Microsoft ADFS로 조직 설정
- 학군 포털 및 LMS에 대한 조직 설정
- 기타 ID 공급자로 조직 설정
- SSO 일반적인 질문 및 문제 해결
- 조직 설정 관리
- 사용자 관리
- 제품 및 권한 관리
- 제품 및 제품 프로필 관리
- 공유 디바이스 라이선스 관리
- 제품 및 제품 프로필 관리
- Global Admin Console 시작하기
- 스토리지 및 자산 관리
- 스토리지
- 자산 마이그레이션
- 사용자로부터 자산 회수
- 학생 자산 마이그레이션 | EDU 전용
- 서비스 관리
- Adobe Stock
- 맞춤형 글꼴
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud for enterprise - 무료 멤버십
- 앱 및 업데이트 배포
- 개요
- 패키지 제작
- 패키지 맞춤화
- 패키지 배포
- 업데이트 관리
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager(RUM)
- 문제 해결
- 팀 계정 관리
- 갱신
- 계약 관리
- 보고서 및 로그
- 지원 요청
이 문서는 사용자 관리 프로세스를 자동화하기 위해 사용자 동기화 도구를 설치하고자 하는 사용자를 안내하기 위한 목적으로 작성되었습니다.
사용자 동기화 도구는 사용자 및 그룹 정보를 조직의 기업 디렉터리 시스템(Active Directory 또는 기타 LDAP 시스템)에서 Adobe Admin Console의 조직 디렉터리로 옮기는 명령줄 유틸리티입니다. 사용자 동기화 도구를 실행할 때마다 두 시스템에서 사용자와 그룹 정보 간의 차이점을 찾고 디렉터리의 정보와 일치하도록 Adobe 디렉터리를 업데이트합니다.
이 문서는 Active Directory 시스템을 Adobe Admin Console과 인터페이스하기 위한 단계별 지침을 제공합니다. 이는 당사의 고객이 K-12 및 SMB 부문에서 가장 많이 사용하는 조합 중 하나입니다. 사용자 동기화 도구는 유연하며 대부분의 LDAP 및 디렉터리 시스템과의 인터페이스에 사용할 수 있습니다. Active Directory 이외의 다른 디렉터리 시스템을 사용하는 경우에는 이 설명서의 지침이 직접 적용되지 않으므로 필요에 따라 수정합니다. 자세한 내용은 설정 및 성공 가이드를 참조하십시오.
시작하기에 앞서
LDAP 시스템에 대한 다음 정보가 필요합니다. 해당 정보가 없는 경우 귀사의 IT 관리자에게 문의하십시오.
- 도메인 컨트롤러 이름(또는 고정된 경우 IP) 및 포트
- 툴이 LDAP(읽기 전용 액세스)에서 사용자를 추출하는 데 사용할 수 있는 서비스 계정의 사용자 이름 및 암호
- 서버가 사용자를 검색하는 지점인 베이스 DN. 이는 동기화해야 하는 모든 사용자 및 그룹을 발견할 수 있을 정도로 넓어야 합니다.
- 동기화의 일부인 그룹 이름
- Admin Console에서 작성해야 하는 모든 사용자의 메일/사용자 이름에 가장 적합한 LDAP 속성
- (선택 사항) 기본 필터가 요구 사항을 충족하지 않는 경우 Adobe와 동기화할 사용자 집합을 선택하는 사용자 정의 LDAP 쿼리가 필요할 수도 있습니다.
키 페어는 JWT에 서명하고 access_token 프로세스를 획득할 때 정당성을 검증하는 데 사용됩니다. 이 프로세스를 지원하려면 필요한 경우 보안 팀에 문의하십시오.
인증서 팁:
- 공개 인증서는 자체 CA에서 서명할 수 있습니다(필요한 경우 CSR을 올리십시오). 자체 서명된 인증서도 허용됩니다.
- 비공개 키는 RSA여야 합니다(최소 2048비트).
- 공개 인증서의 확장자는 .crt여야 합니다.
- SHA-256을 사용하여 서명합니다.
- 공개 키 유효성: 3년을 권장하지만 내부 보안 정책에 따라 다릅니다.
자체 서명된 인증서 만들기
임의화된 값 및 유효성이 1년인 공개 인증서를 자체 서명된 인증서로 사용하는 경우 adobe.io 포털의 프로젝트 생성 단계 또는 기존 프로젝트의 서비스 계정 (JWT) 메뉴 내에서 자체 서명된 인증서를 생성할 수 있습니다. 자세한 내용은 Adobe I/O와의 통합 만들기를 참조하십시오.
직접 설정한 데이터와 유효성과 함께 자체 서명된 인증서의 경우 다음 단계를 따르십시오.
-
user-sync.exe certgen
-
다음 명령을 실행합니다.
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
비공개 키 생성이 완료되면 공개 키의 고유 이름을 만들기 위해 추가 정보를 입력하라는 메시지가 표시됩니다. 기본 값을 사용하거나 관련 값을 입력할 수 있습니다. 필드를 비워 두려면 “.”를 입력합니다. (점 문자)
공개 키 인증서 파일과 비공개 키 파일은 기본적으로 다음 위치에 저장됩니다.
Windows: C:\cygwin64\home\<사용자 이름>
(user-sync.exe를 사용한 경우 파일은 스크립트와 동일한 폴더 내에 있어야 합니다.)
macOS: /Users/<사용자 이름>
사용자 동기화 도구를 컴퓨터에 설치하려면 다음 요구 사항을 충족해야 합니다.
- 인터넷 및 LDAP 또는 AD와 같은 디렉터리 서비스에 대한 액세스 권한을 가질 것
- 보호되고 안전할 것 (관리 자격 증명이 여기에 저장되거나 액세스됨)
- 안정적이고 신뢰할 수 있으며 백업 및 복구 기능이 제공될 것
- 사용자 동기화 도구가 관리자에게 보고서를 보낼 수 있도록 이메일 기능이 제공될 것
- Windows 시스템의 경우 64비트 프로세서를 사용할 것
위 조건을 충족하지 않는 경우에는 IT 부서에 문의하여 적합한 서버를 파악하고 액세스 권한을 받도록 하십시오.
조직에 대해 도메인을 생성해야 하며 Adobe Admin Console에서 제품 프로필 및 사용자 그룹이 생성되어야 합니다.
서버 설정
Adobe I/O 통합을 설정하려면 다음을 수행합니다.
-
시스템 관리자는 Adobe I/O Console에로그인하고 오른쪽 상단에 있는 드롭다운 목록에서 조직을 선택합니다. 새 프로젝트 만들기를 클릭합니다.
-
오른쪽 상단에 있는 프로젝트 편집을 클릭하고 프로젝트의 제목 및 설명을 입력합니다. 저장을 클릭합니다.
-
API 추가를 클릭합니다.
-
[APi 추가] 창에서 Adobe Services로 필터링하고 사용자 관리 API를 선택합니다. 다음을 클릭합니다.
-
- 키 페어 생성:
유효 기간이 1년인 adobe.io에서 임의로 생성된 값이 포함된 자체 서명된 인증서를 사용하려는 경우 키 페어 생성을 선택합니다. 그런 다음 키 페어 생성을 클릭합니다.
config.zip 파일이 certificate_pub.crt 파일과 private.key가 포함된 로컬 컴퓨터에 다운로드됩니다. 공개 인증서는 통합에 자동으로 추가되고, private.key는 구성 프로세스 후반부에서 사용됩니다.
- 공개 키 업로드:
공개 인증서가 있거나 공개 및 비공개 키 얻기 섹션의 단계를 사용하여 생성한 경우 공개 키 업로드를 선택합니다. 아래로 스크롤하여 공개 키 인증서 파일을 업로드합니다. 다음을 클릭합니다.
-
구성된 API 저장을 클릭합니다.
-
자격 증명 세부 정보를 조회하려면 서비스 계정(JWT)으로 이동합니다.
이 페이지의 정보는 나중에 사용자 동기화 도구의 구성 파일 중 하나에 사용됩니다.
-
필요한 권한을 가진 사용자가 콘텐츠에 액세스할 수 있는 드라이브의 한 장소에 user_sync_tool이라는 폴더를 만듭니다.
-
GitHub에 액세스하여 최신 릴리스 태그를 찾습니다.
이 릴리스 내에서 Assets를 찾아 확장합니다. 이후 다음 항목을 찾아 다운로드합니다.
- examples.zip 파일
- OS 유형과 일치하는 목록의 사용자 동기화 툴의 .zip
-
examples.zip의 압축을 풀고 config 파일 - basic으로 이동한 다음 파일을 user_sync_tool 폴더(connector-ldap.yml, connector-umapi.yml 및 user-sync-config.yml)에 복사합니다.
-
그 밖의 zip 파일에서 user-sync.exe 파일을 추출하고 이를 동일한 user_sync_tool 폴더에 배치합니다.
-
공개 인증서와 함께 제공된 private.key를 찾아 동일한 user_sync_tool 폴더로 옮깁니다. 이제 이 폴더에는 다음이 포함됩니다.
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
사용자 동기화 구성
-
전문 텍스트 편집기로 connector-ldap.yml 파일을 편집합니다.
-
사용자 이름, 암호, 호스트 및 베이스 DN 값을 입력합니다.
-
search_page_size를 200으로 설정합니다.
-
대부분의 경우 기본 필터가 이를 수행합니다. 일련의 사용자를 추출하기 위해 사용자 정의 LDAP 쿼리가 필요한 경우 all_users_filter 구성 매개 변수를 수정합니다.
-
주석 처리를 제거한 나머지 설정과 이들이 가리키는 LDAP 속성을 확인하십시오. 필요에 따라 변경합니다.
일부 배포에는 사용자 이름 기반 로그인이 설정되어 있습니다(지정된 사용자용 Admin Console의 사용자 이름 필드는 이메일 유형의 값이 아님).
이 경우 다음 줄도 활성화합니다(# char 제거).
user_username_format: {sAMAccountName}sAMAccountName이 사용해야 하는 속성이 아닌 경우 올바른 속성으로 바꾸십시오.
-
connector-umapi.yml을 편집합니다. 이 파일에는 Adobe 조직에 대한 액세스 정보가 있습니다.
-
이전 단계에서 생성한 adobe.io 통합에서 다음 정보를 입력합니다.
- org_id
- api_key
- client_secret
- tech_acct
-
priv_key_path에 user_sync_tool 폴더 내의 비공개 키의 정확한 이름이 포함되어 있는지 확인하십시오.
비공개 키가 UST 파일의 나머지와 동일한 폴더 내에 있으면 priv_key_path에는 파일 이름만 포함할 수 있습니다. 이는 상대 경로로 작동합니다.
디렉터리에 각 사용자의 국가가 목록화되어 있는 않은 경우, 기본 국가를 설정할 수 있습니다.
-
user-sync-config.yml 파일을 편집합니다.
-
기본 국가 코드 줄에서 #를 제거하고 적절한 국가 코드를 입력합니다. 예:
default_country_code: 미국
참고:국가 코드는 Federated ID의 경우 필수이며 Enterprise ID에 대해 권장됩니다. Enterprise ID에 대해 입력되지 않은 경우 사용자가 처음 로그인할 때 국가를 선택하라는 메시지가 표시됩니다.
그룹 매핑은 LDAP의 그룹 중 Admin Console에 해당 사용자 그룹 또는 PLC가 있어야 하는 그룹을 정의합니다.
여기서 목표는 툴에 그룹/사용자 소스를 제공하여 Admin Console 사이드 그룹 / PLC의 동일한 멤버와 일치시킬 수 있도록 하는 것입니다.
-
user-sync-config.yml 파일에서 그룹 매핑을 편집합니다.
-
Adobe 제품 프로필 또는 사용자 그룹에 매핑해야 하는 각 디렉터리 그룹에 대해 그룹 섹션 내에 항목을 추가합니다. 예:
그룹: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
참고:그룹 매핑은 제품 이름이 아닌 Adobe 사용자 그룹 또는 제품 프로필을 사용하여 수행할 수 있습니다. 또한 하나의 디렉터리 그룹을 두 개 이상의 Adobe 사용자 그룹 또는 제품 프로필에 매핑할 수 있습니다.
잘못 구성되었거나 다른 문제가 있는 경우 우발적인 계정 제거를 방지하기 위해 매일 동기화에서 예상되는 최대 계정 제거 수 한도를 결정할 수 있습니다.
-
이 한도를 변경하려면 user-sync-config.yml 파일에서 max_adobe_only_users를 찾습니다.
-
계정 제거 수가 사용자 동기화 실행 사이에서 설정된 max_adobe_only_users 값보다 많은 경우 값을 올려 모든 계정 제거를 포함하도록 합니다.
참고:제거할 계정 수가 max_adobe_only_users 값보다 많은 경우 툴은 계정 제거를 처리하지 않습니다. 해당 한도에 도달했음을 알리는 중요 항목이 로그에 나타납니다.
이 한도는 조치 생성에 영향을 미치지 않습니다.
동기화에서 일부 계정을 제외해야 하는 상황이 있습니다. 이는 user-sync-config.yml 파일을 편집하면 됩니다.
툴은 ID 유형, 그룹 이름 및 정규 표현식에 따라 세 가지 제외 기능을 제공합니다.
언급된 기준 중 하나 이상에 해당하는 Admin Console에 있는 모든 계정은 제거 조치(그룹에서, 조직에서)로부터 보호됩니다.
시스템 관리자를 위한 Adobe ID를 Admin Console에 두고 exclude_identity_types: adobeID에 의한 제외를 통해 이를 제외하는 것이 좋습니다.
예:
adobe_users:
exclude_identity_types:
- Adobe ID # Adobe ID, Enterprise ID 또는 Federated ID
exclude_adobe_groups:
- adobe_group_name # 해당 구성원은 사용자 동기화에 의해 제거되지 않습니다.
- other_group_name # 여러 그룹을 제외할 수 있습니다.
exclude_users:
- ".*@example.com"
- important_user@domain.com
사용자 동기화 도구는 표준 출력에 인쇄되고 로그 파일에 기록되는 로그 항목을 생성합니다. 구성 설정의 로깅 설정은 로그 정보가 출력되는 위치 및 양에 대한 세부 정보를 제어합니다.
-
파일 로그를 켜거나 끄려면 user-sync-config.yml 파일의 log_to_file 값을 편집합니다.
-
로그 설정을 검토하고 필요한 사항을 변경합니다. 초기 설정의 경우
log_to_file: True
file_log_level: debug를 사용하는 것이 좋습니다.
또는 Windows Server를 보유하고 있는 경우 사용자 동기화 도구 구성 마법사를 사용하여 사용자 동기화를 구성할 수 있습니다.
사용자 동기화 도구 구성 마법사는 사용자 관리 API(Adobe.io), 기업 디렉터리(LDAP) 및 동기화 설정을 통해 사용자 동기화 도구를 쉽게 구성하는 데 유용한 GUI 툴입니다. 이는 상황에 맞는 도움말과 사용자 동기화 도구 설명서로의 링크를 제공합니다. 자세한 내용은 Adobe 사용자 동기화 도구 구성 마법사를 참조하십시오.
배포 및 자동화
이제 사용자 동기화 도구가 서버 또는 컴퓨터에서 설정되었으므로 예상대로 작동하는지 점검할 수 있습니다. 사용자 동기화 도구를 실행하는 동안 일반적인 문제를 해결하려면 일반적인 오류 해결에 대한 팁을 참조하십시오.
-
명령 프롬프트를 엽니다.
-
다음 명령을 사용하여 user_sync_tool 폴더로 이동합니다.
cd path/to/user_sync_tool
-
구성이 완료되었는지 확인하려면 다음 명령을 실행합니다.
Windows:
user-sync.exe -v user-sync.exe -h
UNIX:
./user-sync –v ./user-sync –h
-v는 버전을 보고하고 -h는 명령줄 인수에 대한 도움말을 제공합니다.
-
테스트 모드에서 기존 Adobe 측 계정을 제외하고 구성 파일에 이름이 지정된 매핑된 그룹으로 제한된 동기화를 실행합니다.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
위 명령은 user-sync-config.yml에서 지정된 매핑된 그룹의 사용자만 동기화합니다. 사용자가 Admin Console에 없는 경우에는 사용자를 생성하고 해당 디렉터리 그룹에서 매핑된 그룹으로의 사용자 추가를 시도하게 됩니다.
테스트 모드(-t)에서 사용자 동기화를 실행하면 사용자 생성을 시도하기만 하고 실제로 생성하지는 않습니다. The --adobe-only-user-action exclude 옵션은 Adobe 조직에 있는 기존 사용자 계정의 제거를 방지합니다.
-
invocation_defaults는 툴과 함께 실행되는 기본 인수를 설정하지만 명령줄에서 이를 언급하여 무시할 수 있습니다. 테스트 모드에서 구성 파일에 이름이 지정된 매핑된 그룹으로 제한된 동기화를 실행하여 Adobe 측에는 있고 LDAP 추출에서는 찾을 수 없는 추가 계정을 제거합니다.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
실제 동기화가 아닌 시뮬레이션을 실행하고 어떤 결과가 발생하는지 확인하십시오.
--users-mapped
구성 파일에서 제공된 directory_group 이름의 all_user_filter 및 멤버의 결과인 LDAP에서 사용자를 추출합니다.
--process-groups
LDAP 매핑된 그룹의 멤버이거나 멤버가 아닌 계정에 따라 Adobe 측 사용자 그룹 또는 PLC에 사용자를 추가/제거합니다.
--adobe-only-user-action remove
Adobe 측에 있는 모든 계정은 사용자 메뉴에서 제거되며 LDAP 추출에서 찾을 수 없고 동기화에서 제외되지 않으면 자격이 제거됩니다.
모든 테스트가 예상대로 실행되면 테스트 모드 플래그 없이 전체 실행 준비가 완료된 것입니다.
참고:
- 제공된 명령줄은 예시일 뿐이며 전체 사용 사례를 다루지 않을 수도 있습니다.
- 동기화에 대한 계정 수에 따라 초기 동기화는 몇 초에서 몇 시간이 걸릴 수 있습니다. 1.5-2분마다 약 250 명의 사용자가 생성됩니다(시간 초과 포함).
- UMAPI 시간 초과 경고 코드 429개 메시지가 예상됩니다. 툴은 재시도 메커니즘을 처리합니다.
사용자 동기화는 수동으로 실행할 수도 있고 하루에 몇 시간마다 한 번씩 자동으로 실행되도록 자동화 설정을 할 수도 있습니다.
참고:
로그 분석 및 경고 시스템을 사용할 수 있는 경우 사용자 동기화의 로그가 로그 분석 시스템으로 전송될 수 있도록 설정하십시오. 또한 로그에 나타나는 오류 또는 중요 메시지에 대한 경고를 설정합니다.
-
관련 로그 항목에 대한 요약을 가져오려면 스캔으로 연결되는 user-sync 호출로 user_sync_tool 폴더에 배치 파일을 만듭니다. 예를 들어 다음과 같은 내용으로 run_sync.bat 파일을 만듭니다.
cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I “==== ----- WARNING ERROR CRITICAL Number” > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
-
필요한 경우 이메일 명령줄 도구를 설정합니다.
Windows에는 표준 이메일 명령줄 도구가 없지만 특정 명령줄 옵션에서 작성할 수 있는 몇 가지 상용 제품이 있습니다.
-
Windows 작업 스케줄러를 설정하여 사용자 동기화 도구를 실행합니다.
예를 들어 아래 코드는 매일 오후 4시에 시작하는 사용자 동기화 도구를 실행합니다.
C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
