組織がシングルサインオン(SSO)を構成して有効化すると、その組織のユーザーは企業の資格情報を使用してアドビのソフトウェアにアクセスできるようになります。ここでは、ユーザーは単一の資格情報を使用して、アドビのデスクトップアプリケーション、サービスおよびモバイルアプリにアクセスできます。

Adobe Admin Console を使用すると、企業ユーザーは既存の企業 ID を使用して認証をおこなえます。アドビの Federated ID は、シングルサインオン(SSO)ID 管理システムと連携します。シングルサインオンは、エンタープライズ ID 管理システムとアドビのようなクラウドサービスプロバイダーを結び付ける業界標準プロトコルである SAML を使用して有効化されます。

SSO により、サービスプロバイダー(アドビ)と貴社の ID プロバイダー(IdP)の間で認証情報を安全に交換することが可能になります。サービスプロバイダーがユーザー認証のため、IdP にリクエストを送信します。認証が完了したら、ユーザーログインのため IdP によってレスポンスメッセージが返されます。

SSO の要件

アドビソフトウェアに SSO をセットアップするには、IT 管理者は以下の要件を満たす必要があります。

  • SAML 2.0 の理解
  • ID プロバイダー(IdP)が SAML 2.0 をサポートし、少なくとも以下を備えている必要があります。
    • IDP 証明書
    • IDP ログイン URL
    • IDP バインディング:HTTP-POST または HTTP-Redirect
    • Assertion Consumer Service URL
  • ドメインのクレーム処理のための DNS 構成へのアクセス

(ユーザーがログインするために)IdP のログイン URL に、外部からアクセスできるようにする必要はありません。ただし、アクセスを組織の内部ネットワーク内に限定した場合、ユーザーが Creative Cloud にログインできるのは、組織の内部ネットワークに直接接続しているか、WiFi や VPN 経由で接続しているときのみとなります。ログインページへのアクセスを HTTPS 経由に限定することは必須ではありませんが、セキュリティ上の理由からは推奨しています。

注意:

現時点で、アドビは IdP-Initiated SSO をサポートしていません。

アドビのクラウドサービスでは、SSO サービスを主導する Okta が提供する SaaS SAML 2.0 コネクタを使用して SSO を提供します。アドビは Okta と提携して SSO を有効化し、アドビエンタープライズライセンスに含まれる Okta の SAML コネクタを使用しています。このコネクタを使用して、ID プロバイダーと通信し、認証サービスを提供します。Okta は多くの SAML 2.0 ID サービスプロバイダーに繋がっているため、お客様の ID プロバイダーサービスとして Okta を使用する必要はありません。詳しくは、シングルサインオン/一般的な質問を参照してください。

SSO 統合をテストする必要がある場合は、組織で所有するテストドメインをクレームすることをお勧めします。これは、ID がそのテストドメインで設定されている ID プロバイダーを組織が所有していれば実行できます。これによって、ドメインのクレームや構成プロセスに慣れるまで、統合をテストした後で、メインのドメインをクレームできます。

ワークフローの概要

Federated ID を構成して SSO を有効にするには、複数のステップが必要です。複数のドメインで SSO を設定するには、ドメインごとに次の手順に従う必要があります。

  1. ドメインのクレーム

    a.     Federated ID のドメインクレームを開始します。

    b.     DNS トークンを検証します。

    c.     DNS の確認が正常に完了したことを確認します。

    ドメインのクレームを開始し、DNS の確認が正常に完了すると、リクエストのステータスが「アドビの認証が必要です」に変わります。リクエストが承認されると、電子メールが届きます。

  2. Federated ID をライセンス認証します。

  3. 製品構成にユーザーを追加して割り当てます。ユーザーの管理および役割別の管理者権限(ロール)を参照してください。

SAML 設定の構成

既に ID プロバイダー(IdP)をお持ちの場合は、アドビのパートナーである Okta が提供する SaaS SAML 2.0 コネクタを使用して SSO を簡単に構成できます。Okta はユーザー認証システムにおけるリーディングベンダーで、アドビは Okta と提携して、SSO を有効化しています。アドビエンタープライズライセンスでは、Okta の SAML コネクタの使用がサポートされています。

注意:

Okta は、1 つの ID プロバイダーとして、多くのベンダーの中から選択できます。

  1. 必要な構成」をクリックします。ドメインの詳細ページが開きます。

    「必要な構成」をクリックします。
  2. IDP 証明書:参照」をクリックし、IdP が SAML レスポンスまたはアサーションの署名に使用する証明書(.cer)をアップロードします。

    証明書がない場合は、証明書ファイルをダウンロードする手順について ID プロバイダーにお問い合わせください。例えば、IdP として Okta を使用している場合は、Okta の管理者のダッシュボードにログインし、セキュリティ/認証/インバウンド SAML を選択してから、「Okta 証明書をダウンロード」をクリックします。

    証明書のヒント:

    • PEM(Base 64 encoded X.509)形式
    • .cer ファイル拡張子(.pem または .cert ではない)で指定
    • 暗号化されていない
    • SHA-1
    • 複数行形式(単一行は失敗する)
    • 少なくとも 3 年の継続が必要(有効期間中のメンテナンスの手間を省き、セキュリティが確保される)

    注意:

    Federated ID ハンドシェイクのアドビ側で使用されている Okta 証明書は 20 年の証明書です。これにより、Adobe/Okta によって強制的に行われるのではなく、ユーザーの都合で証明書のローテーションができます。   

    ID 構成パネル
  3. IDP 発行者:SAML リクエストを発行する ID プロバイダーのエンティティ ID を入力します。SAML アサーションはこの文字列を正確に参照する必要があることに注意してください。スペル、文字または書式のいずれかが相違していると、エラーが発生します。

  4. IDP ログイン URL:IDP ログイン URL / SSO アドレスを入力します。この URL は、ユーザーが認証時にリダイレクトされる場所です。

  5. IDP バインディング:SAML プロトコルメッセージの送信方法を選択します。

    • HTTP-Post を使用して、XHTML フォームを使い、ブラウザー経由で認証リクエストを送信します。IdP が、XHTML フォームを含むドキュメントにより応答します。
    • HTTP-Redirect を使用して、HTTP GET リクエストのクエリ文字列にある SAMLRequest 文字列パラメーターを通じて承認リクエストを送信します。IdP が、URL の SAMLResponse 文字列パラメーターにより応答します。
  6. ユーザーログイン設定:このドメインのユーザーが自身を識別するのに、電子メールアドレスまたはユーザー名のいずれを使用するかを選択します。

  7. 保存」をクリックします。

  8. メタデータをダウンロード」をクリックし、SAML XML メタデータファイルをコンピューターに保存します。このファイルを使用して、ID プロバイダーとの SAML 統合を構成します。ID プロバイダーは、シングルサインオンを有効にするためにこのファイルが必要です。

    ID プロバイダーで、属性(大文字小文字が区別されます)FirstNameLastName および Email が渡されることを確認します。これらの属性が、SAML 2.0 コネクタ構成の一部として送信されるように IDP で構成されていない場合、認証は機能しません。

  9. 設定を確認し、「Federated ID をライセンス認証」をクリックします。戻って SAML 設定を変更するには、「構成を編集」をクリックします。

    注意:

    Federated ID がアクティブになった後に構成に変更を追加すると、SSO が壊れる恐れがあります。変更された構成により新しいメタデータファイルが生成されます。このファイルは、IdP で再構成する必要があります。

    「Federated ID をライセンス認証」をクリックします。

    注意:

    認証したドメインを元に戻すことはできません。認証前であればリクエストを取り下げることができますが、認証後は取り下げることができません。

SSO の構成では、自動的にユーザーを作成したり、ソフトウェアの使用権限を付与することはありません。SSO の構成が正常に完了したら、ユーザーと製品構成の追加に進みます。詳しくは、ユーザーの管理および役割別の管理者権限(ロール)を参照してください。

一般的な SAML ID プロバイダー(OpenAthens、Shibboleth など)は、ユーザー名(通常、電子メールアドレス)を「指定なし」の形式の NameID として送信します。また、次の 3 つの属性も送信します(名前は大文字小文字が区別されます)。

  • '電子メール'
  • '名'
  • '姓'

これらは、Admin Console を使用して設定されたエントリに一致する必要があります。

InCommon Federation メンバーの SSO の構成

このヘルプ記事を参照してください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー