이 문서는 사용자 관리 프로세스를 자동화하기 위해 사용자 동기화 도구를 설치하고자 하는 사용자를 안내하기 위한 목적으로 작성되었습니다.

사용자 동기화 도구는 사용자 및 그룹 정보를 조직의 기업 디렉터리 시스템(Active Directory 또는 기타 LDAP 시스템)에서 Adobe Admin Console의 조직 디렉터리로 옮기는 명령줄 유틸리티입니다. 사용자 동기화 도구를 실행할 때마다 두 시스템에서 사용자와 그룹 정보 간의 차이점을 찾고 디렉터리의 정보와 일치하도록 Adobe 디렉터리를 업데이트합니다.

이 문서는 Active Directory 시스템을 Adobe Admin Console과 인터페이스하기 위한 단계별 지침을 제공합니다. 이는 당사의 고객이 K-12 및 SMB 부문에서 가장 많이 사용하는 조합 중 하나입니다. 사용자 동기화 도구는 유연하며 대부분의 LDAP 및 디렉터리 시스템과의 인터페이스에 사용할 수 있습니다. Active Directory 이외의 다른 디렉터리 시스템을 사용하는 경우에는 이 설명서의 지침이 직접 적용되지는 않으므로 필요에 따라 수정하십시오. 자세한 내용은 설정 및 성공 가이드를 참조하십시오.

시작하기에 앞서

Active Directory 정보 얻기

Active Directory(또는 LDAP) 시스템과 관련하여 다음 정보가 필요합니다. 해당 정보가 없는 경우 귀사의 IT 관리자에게 문의하십시오.

  • 시스템이 실행 중인 서버에 대한 호스트 및 포트 정보
  • 사용자 이름 및 암호
  • 서버가 사용자를 검색하는 지점인 베이스 DN
  • 또한 Adobe와 동기화할 사용자의 집합을 선택하는 LDAP 쿼리가 필요합니다.
Active Directory

디지털 인증서 받기

API 호출을 서명하려면 디지털 인증서가 필요합니다. 인증서가 없는 경우 귀사의 IT 관리자에게 문의하여 안내를 받으십시오.

인증서 팁:

  • 인증서에는 공개 키 인증서 파일과 비공개 키 파일이 포함되어야 합니다. 
  • CRT(64비트 기반으로 인코딩된 X.509) 포맷
  • .crt 파일 확장자(.pem, .cer 또는 .cert 아님)로 명명
  • SHA-2
  • 여러 줄 형식 (한 줄 형식 사용 시 실패)
  • 최소 3년 이상 지속 (이를 통해 해당 수명 동안 유지 관리 비용이 절감되며 보안이 위협당하지 않음)

자체 서명된 인증서 만들기

테스트 및 설정을 위해 자체 서명된 인증서를 사용할 수도 있습니다. Windows에서 OpenSSL을 포함하는 Cygwin으로 인증서를 만들 수 있습니다. Mac OS에서는 빌트인 명령줄 도구 OpenSSL을 사용할 수 있습니다. 인증서를 만들려면 다음 단계를 수행하십시오.

  1. Windows를 사용하는 경우 Cygwin을 설치하고 엽니다. macOS의 경우 터미널을 엽니다.
  2. 다음 명령을 실행합니다.

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    디지털 인증서
  3. 비공개 키 생성이 완료되면 공개 키의 고유 이름을 만들기 위해 추가 정보를 입력하라는 메시지가 표시됩니다. 기본 값을 사용하거나 관련 값을 입력할 수 있습니다. 필드를 비워 두려면 “.”를 입력합니다. (점 문자)

    디지털 인증서

공개 키 인증서 파일과 비공개 키 파일은 기본적으로 다음 위치에 저장됩니다.

Windows: C:\cygwin64\home\<사용자 이름>

macOS: /Users/<사용자 이름>

서버 식별

사용자 동기화 도구를 컴퓨터에 설치하려면 다음 요구 사항을 충족해야 합니다.

  • 인터넷 및 LDAP 또는 AD와 같은 디렉터리 서비스에 대한 액세스 권한을 가질 것
  • 보호되고 안전할 것 (관리 자격 증명이 여기에 저장되거나 액세스됨)
  • 안정적이고 신뢰할 수 있으며 백업 및 복구 기능이 제공될 것
  • 사용자 동기화 도구가 관리자에게 보고서를 보낼 수 있도록 이메일 기능이 제공될 것
  • Windows 시스템의 경우 64비트 프로세서를 사용할 것

위 조건을 충족하지 않는 경우에는 IT 부서에 문의하여 적합한 서버를 파악하고 액세스 권한을 받도록 하십시오.

Adobe Admin Console 구성

조직에 대해 요청된 도메인이 있어야 하며 Adobe Admin Console에서 제품 프로필 및 사용자 그룹이 생성되어야 합니다.

서버 설정

Adobe I/O와의 통합 만들기

Adobe I/O 통합을 설정하려면 다음을 수행하십시오.

  1. Adobe I/O 콘솔에 로그인하고 드롭다운 목록에서 해당 조직을 선택한 다음 통합 새로 만들기를 클릭합니다.

    통합 새로 만들기
  2. 통합 새로 만들기 마법사에서 API 액세스를 선택하고 계속을 클릭합니다.

    Screenshot_3
  3. Adobe 서비스에서 사용자 관리 API를 선택하고 계속을 클릭합니다. 표시되는 화면에서 계속을 다시 클릭합니다.

    Untitled-2
  4. 통합에 대한 이름과 설명을 입력하고 공개 키 인증서 파일을 업로드합니다. 통합 만들기를 클릭합니다.

    통합이 생성됩니다.

    통합 만들기
  5. 통합 세부 정보를 보려면 통합 세부 정보로 진행을 클릭합니다.

    통합 세부 정보

나중에 사용자 동기화 파일을 구성하려면 이러한 통합 세부 정보가 필요합니다.

사용자 동기화 도구 설치

  1. 컴퓨터 또는 서버의 다음 위치에 user_sync_tool 폴더를 만듭니다.

    Windows: C:\Users\<사용자 이름>\

    macOS: /home/<사용자 이름>/

  2. GitHub에 액세스하고 릴리스를 선택한 다음 아래 파일을 다운로드합니다.

    • example-configurations.tar.gz
    • 사용 중인 Python의 플랫폼 및 버전에 대한 사용자 동기화
  3. 아카이브에서 user-sync.pex 파일을 추출하고 위에서 만든 user_sync_tool 폴더에 저장합니다.

  4. example-configurations.tar.gz에서 config files - basic으로 이동하고 처음 세 개 파일을 추출한 다음 user_sync_tool 폴더에 저장합니다.

  5. 세 개 파일의 이름을 바꾸고 이름에서 번호를 삭제합니다. 이제 user_sync_tool 폴더에 다음과 같은 파일이 들어 있게 됩니다.

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Python 경로 설정 (Windows만 해당)

  1. Python 버전 3.6.2 이상(64비트)을 설치합니다.

  2. Python 3.6을 경로에 추가 확인란을 활성화하고 설치 경로를 메모한 다음 지금 설치를 클릭합니다.

    Python 설치
  3. 명령 프롬프트를 열고 다음 명령을 실행합니다.

    python

    이 명령은 설치된 Python 버전을 반환하게 됩니다.

사용자 동기화 구성

디렉터리 액세스 구성

  1. connector-ldap.yml 파일을 편집합니다. 이 파일에는 디렉터리 시스템에 대한 액세스 정보가 있습니다.

  2. 사용자 이름, 암호, 호스트 및 베이스 DN 값을 입력합니다.

    디렉터리 액세스 구성 파일
  3. search_page_size를 0으로 설정합니다.

    필요한 사용자 집합을 선택하기 위해 기본이 아닌 LDAP 쿼리가 필요한 경우 all_users_filter config 매개 변수의 일부로 이 파일에 설정됩니다.

Adobe UMAPI 자격 증명 구성

  1. connector-umapi.yml을 편집합니다. 이 파일에는 Adobe 조직에 대한 액세스 정보가 있습니다.

  2. 이전 단계에서 생성한 adobe.io 통합에서 다음 정보를 입력합니다.

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. 비공개 키 파일을 user_sync_tool 폴더에 저장합니다. priv_key_path 구성 파일 항목이 이 파일의 이름으로 설정됩니다.

    Adobe UMAPI 자격 증명

기본 국가 코드 정의

디렉터리에 각 사용자의 국가가 목록화되어 있는 않은 경우, 기본 국가를 설정할 수 있습니다.

  1. user-sync-config.yml 파일을 편집합니다.

  2. 기본 국가 코드 줄에서 #를 제거하고 적절한 국가 코드를 입력합니다. 예:

    default_country_code: US

    참고:

    국가 코드는 Federated ID의 경우 필수이며 Enterprise ID에 대해 권장됩니다. Enterprise ID에 대해 입력되지 않은 경우 사용자가 처음 로그인할 때 국가를 선택하라는 메시지가 표시됩니다.

그룹 매핑

Adobe Admin Console 대신 LDAP/AD 툴을 사용하여 기업 디렉터리 그룹에 사용자 계정을 추가하는 방식으로 프로비저닝할 수 있습니다. 이후 구성 파일은 디렉터리 그룹에서 Adobe 제품 프로필 또는 사용자 그룹으로의 매핑을 정의합니다.

사용자가 디렉터리 그룹의 멤버인 경우 사용자 동기화 도구는 Adobe Admin Console의 해당 사용자 그룹에 이 사용자를 추가합니다. 또한 사용자가 사용자 그룹의 멤버이지만 디렉터리 그룹의 멤버는 아닌 경우 사용자 동기화 도구는 사용자 그룹에서 이 사용자를 제거합니다.

  1. user-sync-config.yml 파일에서 그룹 매핑을 편집합니다. 

  2. Adobe 제품 프로필 또는 사용자 그룹에 매핑해야 하는 각 디렉터리 그룹에 대해 그룹 다음에 항목을 추가합니다. 예:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    참고:

    그룹 매핑은 제품 이름이 아닌 Adobe 사용자 그룹 또는 제품 프로필을 사용하여 수행할 수 있습니다. 또한 하나의 디렉터리 그룹을 두 개 이상의 Adobe 사용자 그룹 또는 제품 프로필에 매핑할 수 있습니다.

일치하지 않는 사용자 한도

잘못된 구성이나 다른 문제가 있을 때 실수로 계정이 삭제되는 것을 방지하기 위해 계정 삭제 시 미리 설정된 한도가 적용됩니다.

  1. 이 한도를 변경하려면 user-sync-config.yml 파일의 한도값을 편집합니다.

  2. 사용자 동기화 실행 간 디렉터리 사용자의 수가 200명을 초과할 것으로 예상되는 경우에는 max_adobe_only_users 값을 높이십시오.

    참고:

    삭제되는 계정의 수가 max_adobe_only_users 값에서 정의된 수를 초과하는 경우 업데이트는 중단됩니다.

삭제 보호

사용자 동기화 도구를 통해 계정을 생성하거나 제거하고 소수의 계정은 수동으로 생성하려는 경우 이 기능을 사용하여 사용자 동기화 도구가 수동으로 생성한 계정을 삭제하는 것을 방지할 수 있습니다.

  1.  user-sync-config.yml 파일에서 제외할 구성 항목을 입력합니다.

    exclude_groups:

    이는 Adobe 사용자 그룹, 제품 프로필 또는 두 가지 모두의 목록을 정의합니다. 목록에 있는 그룹의 멤버인 Adobe 사용자는 제거되거나 업데이트되지 않으며 해당 그룹 멤버십은 변경되지 않습니다.

    exclude_users:

    패턴의 목록을 제공합니다. 지정된 패턴과 일치하는 사용자 이름(패턴이 대소문자를 구분하지 않는 한 기본적으로 대소문자를 구별하지 않음)을 가진 Adobe 사용자는 제거되거나 업데이트되지 않으며 그룹 멤버십도 변경되지 않습니다.

    exclude_identity_types:

    ID 유형의 목록을 제공합니다. 이들 ID 유형 중 하나를 보유한 Adobe 사용자는 제거되거나 업데이트되지 않으며 해당 그룹 멤버십은 변경되지 않습니다.

  2. Admin Console의 사용자에게 업데이트가 적용되지 않도록 하려면 사용자 그룹을 만들고 보호되는 사용자를 그룹에 포함시킨 다음 이 그룹을 사용자 동기화 프로세스에서 제외된 그룹의 목록에 포함시킵니다. 또한 특정 사용자 또는 특정 사용자 이름과 일치하는 패턴을 목록화하여 해당 사용자를 보호할 수 있습니다. ID 유형을 기반으로 사용자를 보호할 수도 있습니다.

    예:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    위 예에서 관리자, 계약자 및 사용자 이름은 예로 든 것입니다. Adobe 사용자 그룹, 제품 프로필 또는 생성한 사용자의 이름을 사용합니다.

로그 만들기

사용자 동기화 도구는 표준 출력에 인쇄되고 로그 파일에 기록되는 로그 항목을 생성합니다. 구성 설정의 로깅 설정은 로그 정보가 출력되는 위치 및 양에 대한 세부 정보를 제어합니다.

  1. 파일 로그를 켜거나 끄려면 user-sync-config.yml 파일의 log_to_file 값을 편집합니다.

    메시지는 다섯 가지의 중요도 중 하나일 수 있으며 파일 로그 또는 콘솔에 대한 표준 출력 로그에 포함된 가장 낮은 수준의 중요도를 선택할 수 있습니다. 기본값은 파일 로그를 생성하고 권장되는 설정인 “info” 이상 수준의 메시지를 포함하는 것입니다.

  2. 로그 설정을 검토하고 필요한 사항을 변경합니다. 권장되는 로그 수준은 info(기본값)입니다.

사용자 동기화 도구 구성 마법사를 사용하여 구성 (Windows만 해당)

단, Windows Server를 보유하고 있는 경우 사용자 동기화 도구 구성 마법사를 사용하여 사용자 동기화를 구성할 수 있습니다.

사용자 동기화 도구 구성 마법사는 사용자 관리 API(Adobe.io), 기업 디렉터리(LDAP) 및 동기화 설정을 통해 사용자 동기화 도구를 쉽게 구성하는 데 유용한 GUI 툴입니다. 이는 상황에 맞는 도움말과 사용자 동기화 도구 설명서로의 링크를 제공합니다. 자세한 내용은 Adobe 사용자 동기화 도구 구성 마법사를 참조하십시오.

배포 및 자동화

구성 확인

이제 사용자 동기화 도구가 서버 또는 컴퓨터에서 설정되었으므로 예상대로 작동하는지 점검할 수 있습니다.

  1. 명령 프롬프트를 엽니다.
  2. 다음 명령을 사용하여 user_sync_tool 폴더로 이동합니다.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. 다음은 사용자 동기화 도구를 시작하기 위한 명령입니다.

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    예를 들어 구성이 완료되었는지 확인하려면 다음 명령을 실행합니다.

    Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX:

    ./user-sync –v
    ./user-sync –h

    -v는 버전을 보고하고 -h는 명령줄 인수에 대한 도움말을 제공합니다.

  4. 테스트 모드에서 디렉터리에 매핑된 그룹으로의 제한된 동기화를 실행합니다.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    위 명령은 user-sync-config.yml에서 지정된 매핑된 그룹의 사용자만 동기화합니다. 사용자가 Admin Console에 없는 경우에는 사용자를 생성하고 해당 디렉터리 그룹에서 매핑된 그룹으로의 사용자 추가를 시도하게 됩니다.

    테스트 모드(-t)에서 사용자 동기화를 실행하면 사용자 생성을 시도하기만 하고 실제로 생성하지는 않습니다. --adobe-only-user-action 제외 옵션은 Adobe 조직에 이미 존재하는 모든 사용자 계정에 대한 업데이트를 방지합니다.

  5. 테스트 모드 없이 동기화를 실행하면 사용자가 생성되고 매핑된 그룹에 추가됩니다.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Adobe Admin Console에서 사용자가 표시되고 그룹 멤버십이 추가되었는지 확인하십시오.

  7. 동일한 명령을 다시 실행합니다. 사용자 동기화가 사용자를 다시 생성하고 그룹에 추가하려고 시도하면 안 됩니다. 사용자가 존재하는지, 사용자 그룹 또는 제품 프로필의 멤버인지만 감지하고 다른 작업은 수행하지 않아야 합니다.

모든 테스트가 예상대로 실행되면 사용자 필터링 없이 전체 실행 준비가 완료된 것입니다.

참고:

디렉터리에 수백 명이 넘는 사용자가 있다면 Adobe Admin Console을 통해 사용자 동기화를 수행하는 데 몇 시간이 소요될 수 있습니다.

모니터링 및 일정 관리

사용자 동기화는 수동으로 실행할 수도 있고 하루에 몇 시간마다 한 번씩 자동으로 실행되도록 자동화 설정을 할 수도 있습니다.

참고:

로그 분석 및 경고 시스템을 사용할 수 있는 경우 사용자 동기화의 로그가 로그 분석 시스템으로 전송될 수 있도록 설정하십시오. 또한 로그에 나타나는 오류 또는 중요 메시지에 대한 경고를 설정합니다.

  1. 관련 로그 항목에 대한 요약을 가져오려면 스캔으로 연결되는 user-sync 호출로 user_sync_tool 폴더에 배치 파일을 만듭니다. 예를 들어 다음과 같은 내용으로 run_sync.bat 파일을 만듭니다.

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. 필요한 경우 이메일 명령줄 도구를 설정합니다.

    Windows에는 표준 이메일 명령줄 도구가 없지만 특정 명령줄 옵션에서 작성할 수 있는 몇 가지 상용 제품이 있습니다.

  3. Windows 작업 스케줄러를 설정하여 사용자 동기화 도구를 실행합니다.

    예를 들어 아래 코드는 매일 오후 4시에 시작하는 사용자 동기화 도구를 실행합니다.

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. 테스트 모드에서 명령을 실행하여 예약된 작업이 제대로 작동하는지 확인하십시오.

이 작업에는 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License의 라이센스가 부여되었습니다.  Twitter™ 및 Facebook 게시물은 Creative Commons 약관을 적용받지 않습니다.

법적 고지 사항   |   온라인 개인 정보 보호 정책