概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインを構成できます。 ドメインの所有権が DNS トークンを使用して実証されると、そのドメインはユーザーが Creative Cloud にログインできるように構成できます。ユーザーは、ID プロバイダー(IdP)を介してそのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが Microsoft Active Directory 統合サービス(AD FS)です。 AD FS を使用するには、ユーザーがログインするワークステーションからアクセス可能で、企業ネットワーク内のディレクトリサービスにアクセスできるサーバーを構成する必要があります。この文書では、Adobe Admin Console と Microsoft AD FS サーバーで Adobe Creative Cloud アプリケーションに、およびシングルサインオン用の関連 Web サイトにログインできるように構成する際に必要なプロセスについて説明します。

IdP は企業ネットワーク外部からアクセスする必要はありませんが、企業ネットワーク外部からアクセスできない場合、そのセッションの非アクティブ化後にライセンス認証する、またはログインするには、ネットワーク内の(または VPN 経由で接続されている)ワークステーションでしか認証を行えません。

前提条件

Microsoft AD FS を使用してシングルサインオン向けにドメインを構成する前に、以下の要件を満たす必要があります。

  • アドビ組織アカウントの承認済みドメイン。Adobe Admin Console 内のドメインのステータスは、「構成が必要」でなければなりません。
  • 互換性のあるバージョンの Microsoft Windows サーバーと最新のオペレーティングシステムの最新のアップデートがインストールされ、ユーザーのワークステーションからアクセス可能な AD FS サーバー(HTTPS 経由など)
  • セキュリティ証明書が AD FS サーバーから取得されている
  • Creative Cloud エンタープライズ版アカウントに関連付けられるすべての Active Directory アカウントは、電子メールアドレスが Active Directory 内にリストされている

署名証明書のダウンロード

AD FS 2.0 管理アプリケーションから署名証明書をダウンロードするには、以下の手順を実行します。

  1. AD FS 2.0 管理アプリケーションの証明書ビューで、「トークン署名証明書」を選択します。証明書プロパティウィンドウを開くには、「証明書の表示」をクリックします。

  2. 詳細」タブで、「ファイルにコピー」をクリックし、ウィザードを使用して証明書を「Base-64 encoded X. 509 (.CER)」として保存します。この形式は、PEM 形式の証明書と同等です。

    AD FS certificate export wizard

Adobe Admin Console の構成

ドメインに対してシングルサインオンを構成するには、Adobe Admin Consoleドメインのセットアップウィザードを使用して必要な情報を入力します。

  1. 前の手順で保存した証明書をアップロードします。

  2. IDP バインディングとして「HTTP-REDIRECT」を選択します。

  3. ユーザーログイン設定は「電子メールアドレス」のままにします。

  4. フェデレーションサービス ID の下にある AD FS サーバーのフェデレーションサービスプロパティウィンドウから IDP 発行者 URL をコピーします。フィールドは正確に一致させます。

    例えば、http://adfs.example.com/adfs/services/trust

    このアドレスは、外部からアクセス可能である必要はありません。

  5. IDP ログイン URL を決定します。デフォルトでは、Microsoft AD FS の場合、このアドレスは次の形式をとります。

    https://adfs.example.com/adfs/ls/

  6. 構成の完了」をクリックします。

  7. SAML XML メタデータファイルをコンピューターに保存するには、「メタデータのダウンロード」をクリックします。このファイルを使用して、AD FS と SAML の統合を構成します。

  8. ドメインを有効にする」をクリックします。

    これでドメインはアクティブになります。

AD FS サーバーの構成

AD FS と SAML の統合を構成するには、以下の手順を実行します。

警告:

指定されたドメインについて Adobe Admin Console の値を変更した場合は、その後続の手順はすべて繰り返す必要があります。

  1. AD FS サーバーにメタデータファイルをコピーします。

  2. Admin Console から取得したメタデータファイルを使用して、AD FS サーバー上に新しい証明書利用者の信頼を作成します。

    データソースを選択する
  3. 要求規則の編集ウィザードを使用して、属性ストアに応じた LDAP 属性を要求として送信テンプレートを使用し、LDAP 属性の出力方向の要求の種類への関連付けで「LDAP 属性」として「E-Mail-Addresses」を選択し、「出力方向の要求の種類」として「電子メールアドレス」を選択して、規則を追加します。

    規則テンプレートを選択
    規則の構成
  4. 再び、要求規則の編集ウィザードで、入力方向の要求の変換テンプレートを使用して規則を追加し、入力方向の要求の種類「電子メールアドレス」を出力方向の要求の種類「名前 ID」と出力方向の名前 ID の形式「電子メール」に変換して、すべての要求値を処理します。

    AD FS Transform incoming claim 1
    AD FS Transform incoming claim 2 copy
  5. 要求規則の編集ウィザードで、次の規則を含むカスタム規則を使用して要求を送信するテンプレートを使用して規則を追加します。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    規則テンプレートを選択
    規則の構成
  6. Adobe Admin Console および「詳細設定」タブで使用しているドメインの「証明書利用者の信頼」エントリのプロパティを変更し、セキュリティで保護されたハッシュアルゴリズムとして「SHA-1」を選択します。

    Adobe SSO プロパティ

シングルサインオンをテストする

アクティブなディレクトリでテストユーザーを作成し、Admin Console でこのユーザーのエントリを作成してライセンスを割り当ててから、Adobe.com にテストログインして関連ソフトウェアがダウンロードにリストされていることを確認します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー