Admin Console を使用すると、エンタープライズユーザーは、既存の ID 管理システムとシングルサインオン(SSO)対応管理システムを組み合わせて、アドビエンタープライズ製品の認証を実行できます。シングルサインオンは、エンタープライズ ID 管理システムとアドビのようなクラウドサービスプロバイダーを結び付ける業界標準プロトコルである SAML を使用して有効化されます。SSO により、サービスプロバイダー(アドビ)と貴社の ID プロバイダー(IdP)の間で認証情報を安全に交換することが可能になります。サービスプロバイダーがユーザー認証のため、IdP にリクエストを送信します。認証後、IdP はユーザーログインのためレスポンスメッセージを返します。詳しくは、シングルサインオンの構成を参照してください。

計画

ユーザー指定ライセンスのデプロイ時に使用できる ID タイプを教えてください。

次の 3 種類の ID タイプが用意されています。

  • Adobe ID:ユーザーがアカウントを作成、所有し、アドビが資格情報を管理し、ログインを処理します。
  • Enterprise ID:組織がアカウントを作成、所有し、アドビが資格情報を管理し、ログインを処理します。
  • Federated ID:組織がアカウントを作成、所有し、フェデレーションを通じてエンタープライズディレクトリにリンクし、企業または教育機関が資格情報を管理し、シングルサインオンを通じてログインを処理します。

詳しくは、こちらをご覧ください。

デプロイメントで複数の ID タイプを使用することはできますか?

はい、Adobe ID、Enterprise ID、Federated ID を組み合わせて使用できます。ただし、同じクレームしたドメイン内では使用できません。

Enterprise ID と Federated ID はドメインレベルで排他的です。そのため、いずれか一方しか選択できません。Adobe ID は、Federated ID または Enterprise ID とともに使用できます。

例えば、エンタープライズで 1 つのドメインのみをクレームした場合、IT 管理者は、Enterprise ID または Federated ID のいずれかを選択できます。エンタープライズ内で組織が複数のドメインをクレームした場合、IT 管理者は 1 つのドメインで Adobe ID と Enterprise ID を使用し、別のドメインで Adobe ID と Federated ID を使用する、といったことが可能です。つまり、各ドメインについて、Adobe ID と Enterprise ID の組み合わせ、または Adobe ID と Federated ID の組み合わせを使用できることになります。

Federated ID のメリットについて教えてください。

Federated ID でのアドビライセンスの管理は、より高速かつ簡単で、安全性に優れています。

  • IT 管理者が、認証とユーザーライフサイクルを管理します。
  • ユーザーをエンタープライズディレクトリから削除すると、ユーザーは、デスクトップアプリケーション、サービスまたはモバイルアプリケーションにアクセスできなくなります。
  • Federated ID を使用すると、組織は既存のユーザー ID 管理システムを活用できます。
  • ユーザーが組織の標準の ID システムを使用できるため、IT 管理者は別途パスワード管理プロセスを管理する必要がありません。

ログイン時に、ユーザーは、組織の一般的な使い慣れたシングルサインオンの操作にリダイレクトされます。

Enterprise ID で使用するドメインをクレームしましたが、同じドメインを使用して Federated ID に切り替えることはできますか?

既にクレームされたドメインの ID タイプを切り替える機能はまだ利用できません。1 つ以上のドメインをクレームして Enterprise ID として設定している場合で、同じドメインを Federated ID として再設定したい場合は、Admin Console からオンラインサポートケースを提出してください。機能が利用可能になり次第お知らせします。

Adobe で SAML 2.0 に準拠した ID プロバイダーを利用して、エンタープライズディレクトリをフェデレーションすることはできますか?

はい。Adobe で SAML 2.0 に準拠した ID プロバイダーを利用してエンタープライズディレクトリとそのログインおよび認証インフラストラクチャをフェデレーションすることができます。

アドビは、貴社の ID プロバイダーと通称 Okta テナントとの提携に参加しています。アドビはエンタープライズディレクトリを直接扱うのではなく、ID プロバイダーとやり取りをおこないます。

ドメインをクレームした場合、そのドメイン内のすべての Adobe ID は Federated ID に移行されますか?

いいえ。Federated ID でドメインをクレームした場合、そのドメイン内の電子メールアドレスを含む既存の Adobe ID が変更されることはありません。Admin Console 内の既存の Adobe ID はそのまま保持されます。

アドビでは、認証、承認、またはその両方をサポートする予定ですか?

アドビの Federated ID の実装では承認をサポートしています。認証は ID プロバイダー(IdP)が対応します。

エンタープライズ組織であれば、(Active Directory などの企業 ID 構造を利用する)認証サービスとアドビ製品との関連付けを作成できます。これにより、エンタープライズ組織は認証を提供できます。アドビでパスワードが保存されることはありません。また、IT 管理者は Admin Console を通じて Federated ID のパスワードのリセットや、ユーザー名の編集を実行することはできません。

Admin Console に一括でユーザーを追加する機能はありますか?

はい、Admin Console 内からユーザーの読み込み機能を使用できます。詳しくは、複数ユーザーの追加を参照してください。

Admin Console でユーザー/グループ関連エンタープライズディレクトリの同期を実行できますか?

いいえ。アドビは ID プロバイダーとやり取りしますが、エンタープライズディレクトリを直接扱いません。ただし、エンタープライズディレクトリから Admin Console へのユーザー/グループ情報の読み込みはサポートしています。詳しくは、複数ユーザーの追加を参照してください。

Adobe ID を Federated ID に移行するにはどうすればよいですか?

Adobe ID を持つすべてのユーザーを削除してから、Federated ID として再インポートします。Adobe ID を本番環境で使用している場合は、企業のポリシーでやむを得ない場合にのみ移行してください。

アドビがサポートする ID プロバイダーを教えてください。

アドビは一般的に採用されている安全な業界標準である Security Assertion Markup Language(SAML)を使用しています。これにより、アドビの SSO の実装は、SAML 2.0 をサポートする ID プロバイダーと簡単に統合します。

SAML 2.0 に準拠している IdP は次のとおりです。

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • 外部の署名された証明書を使用した Salesforce IdP
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

独自の SAML ベースフェデレーション認証プロセスを構築した場合、そこで統合をおこなうことはできますか?

はい、SAML 2.0 プロトコルに準拠している限り統合は可能です。

シングルサインオンで Federated ID を設定する前に、SAML 2.0 ID プロバイダーを配備する必要はありますか?

はい、また ID プロバイダーは SAML 2.0 に準拠している必要があります。

SAML ID プロバイダーに必要な最小要件は、次のとおりです。

  1. IDP 証明書
  2. IDP ログイン URL
  3. IDP バインディング:HTTP-POST または HTTP-Redirect
  4. IDP の Assertion Consumer Service URL。AML リクエストと中継状態を受け入れることができる必要があります。

詳細については、ID プロバイダーにお問い合わせください。

証明書の有効期間が長いと、脆弱になりますか?

いいえ。2048 ビットの証明書が破損したことはありません。また、唯一 768 ビットの証明書のクラッキングにも成功した人でさえ(Lenstra のグループ)、同じハードウェアで 1024 ビットの証明書をクラッキングするには(2048 ビットの証明書をクラッキングするよりは、およそ 32,000,000 倍も簡単ですが)、1000 年以上かかると言われています。

様々な長さの証明書をクラッキングするのにかかる時間の最新の見積もりデータについては、この Web サイトを参照してください。これらの証明書がどのくらい安全かを示す(正確ですが、マーケティング指向の)図を見るには、この Web サイト(または後援している数学の Web サイト)を参照してください。

有効期間が 3 年よりも長いサーバー証明書が多くのブラウザーで拒否されますが、有効期間が長い証明書はブラウザーで受け入れられますか?

いいえ。この制限は、ブラウザーとサーバーの間の通信のパイプをエンコードするために使用される証明書に設定されています。これらの IdP/Okta 証明書は、そのエンコードされたパイプを経由したデータに署名する(エンコードしない)ために使用されます。ブラウザーではこれらの証明書が認知されません。これらは Adobe/Okta とお客様の IdP 間でのみ使用されます。

堅牢かつ有効期間の長い証明書は高価ですか?

商用の 2048 ビットの証明書は、年間 10 ドルで入手できます。また、IdP で使用する証明書は、自己署名できます。これは、オープンソースソフトウェアで無料で生成できることを意味します。

IdP の証明書をクラッキングできる場合、第三者になりすまされる可能性はありますか?

いいえ。2 つのレイヤーで強力に暗号化され、IdP の ID がチェックされるため、IdP を偽装する前にクラッキングする必要があります。また、どちらのレイヤーでも、自己署名できません。つまり、暗号化を強制する証明書だけでなく、証明書を生成した署名者の証明書もクラッキングする必要があるということです。

SSO 問題をトラブルシューティングする際の問い合わせ先を教えてください。

Admin Console にログインしアドビテクニカルサポートでケースを開くか、1 対 1 エキスパートサービスセッションを依頼してください。

プレミアムサポート用の電話番号と電子メールアドレスについては、アカウント管理者に送信された案内メールと添付の PDF を参照してください。

方法

アドビのソフトウェアでシングルサインオン(SSO)を設定する方法を教えてください。

アドビのデスクトップアプリケーション、サービスおよびモバイルアプリケーションでの SSO の設定の詳しい手順について、シングルサインオンの構成をご覧ください。

Admin Console からユーザーに通知を送信することはできますか?

いいえ。Admin Console を通じてユーザーに通知を送信することはできません。企業のお客様の場合、アドビのソフトウェアおよびサービスで SSO を開始できるようになった後で、ユーザーに独自の通知を配信する必要があります。

エンタープライズディレクトリからユーザーまたは ID を無効にした場合、Admin Console から自動的に無効化されますか?

いいえ。エンタープライズディレクトリからユーザー/ID を削除するか無効にした場合、ユーザー/ID は Admin Console から自動的に削除または無効化されません。ただし、ユーザーは Adobe Creative Cloud デスクトップアプリケーション、サービス、モバイルアプリケーション、または Acrobat DC アプリにログインすることができなくなります。ユーザー/ID は Admin Console から手動で削除する必要があります。

権限とグループを管理する必要はありますか? また、Federated ID のユーザーをグループに割り当てる必要はありますか?

はい、Admin Console を使用して、ユーザー、グループおよび権限を管理する必要があります。ただし、Admin Console にグループを一度作成したら、ユーザーおよびグループの両方の情報を含む CSV ファイルをアップロードできます。これにより、ユーザーアカウントが作成され、指定されたグループに配置されます。

IT 管理者またはユーザーは、Federated ID のパスワードをリセットできますか?

いいえ、Admin Console を使用して Federated ID のパスワードをリセットすることはできません。アドビではユーザーの資格情報を保存しません。ユーザーを管理するには ID プロバイダーを使用してください。

関連ドキュメント