概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインを構成できます。 ドメインの所有権が DNS トークンを使用して実証されると、そのドメインはユーザーが Creative Cloud にログインできるように構成できます。ユーザーは、ID プロバイダー(IdP)を介してそのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが Microsoft Active Directory 統合サービス(AD FS)です。 AD FS を使用するには、ユーザーがログインするワークステーションからアクセス可能で、企業ネットワーク内のディレクトリサービスにアクセスできるサーバーを構成する必要があります。この文書では、Adobe Admin Console と Microsoft AD FS サーバーで Adobe Creative Cloud アプリケーションに、およびシングルサインオン用の関連 Web サイトにログインできるように構成する際に必要なプロセスについて説明します。

IdP は企業ネットワーク外部からアクセスする必要はありませんが、企業ネットワーク外部からアクセスできない場合、そのセッションの非アクティブ化後にライセンス認証する、またはログインするには、ネットワーク内の(または VPN 経由で接続されている)ワークステーションでしか認証を行えません。

前提条件

Microsoft AD FS を使用してシングルサインオン向けにドメインを構成する前に、以下の要件を満たす必要があります。

  • Adobe Admin Console 上の承認されたディレクトリにある、設定を待機中の Federated ID、または以前に別の IdP 向けに設定された ID
  • 関連するドメインがフェデレーションディレクトリ内でクレームされている
  • Microsoft AD FS のアップデートと最新のオペレーティングシステムアップデートがインストールされた Microsoft Windows Server。
  • このサーバーは、ユーザーのワークステーションからアクセス可能でなければなりません(HTTPS 経由など)
  • セキュリティ証明書が AD FS サーバーから取得されている
  • Creative Cloud エンタープライズ版アカウントに関連付けられるすべての Active Directory アカウントは、電子メールアドレスが Active Directory 内にリストされている

Admin Console 上でディレクトリを設定して、そのディレクトリ内にドメインを申請するプロセスについては、ID の設定ページをご覧ください。追加されると、ドメインの申請前にシングルサインオン向けにディレクトリを構成できますが、Federated ID ユーザーを作成するには、これらのユーザーが存在するドメイン名を申請する必要があります。

ディレクトリの名前は任意ですが、ディレクトリにリンクするドメインは、「@」記号の後の電子メールアドレスの一部と完全に一致する必要があります。サブドメインも使用する場合は、別々に申請する必要があります。

注意:

この文書にある説明とスクリーンショットは AD FS バージョン 3.0 向けですが、同じメニューは AD FS 2.0 にもあります。

トークン署名証明書のダウンロード

  1. サーバー上の AD FS 管理アプリケーションを開き、AD FS /サービス/証明書フォルダー内で「トークン署名証明書」を選択します。証明書プロパティウィンドウを開くには、「証明書の表示」をクリックします。

    token_signing_certificate
  2. 詳細」タブで、「ファイルにコピー」をクリックし、ウィザードを使用して証明書を「Base-64 encoded X. 509 (.CER)」として保存します。この形式は、PEM 形式の証明書と同等です。

    02_-_certificateexportwizard

Adobe Admin Console 上のディレクトリの構成

ディレクトリのシングルサインオンを設定するには、Adobe Admin Console に必要な情報を入力し、Microsoft AD FS サーバーを設定するためのメタデータをダウンロードします。

  1. Adobe Admin Console にログインし、設定ID に移動します。

  2. ディレクトリ」タブに移動します。

  3. 設定するディレクトリの横にある「設定」をクリックします。

    03_-_configure_directory
  4. Microsoft AD FS サーバーから保存した証明書をアップロードします。

  5. IdP バインディングとして「HTTP-REDIRECT」を選択します。

  6. ユーザーログイン設定として「電子メール」を選択します。

  7. AD FS 管理アプリケーションの AD FS サーバーで、ツリーの上部にあるエントリと「AD FS」を選択し、「フェデレーションサービスプロパティの編集」をクリックします。ポップアップウィンドウの「全般」タブで、フェデレーションサービス ID をコピーします。

    例えば、http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. IdP 発行者」フィールドの Adobe Admin Console にコピーしたフェデレーションサービス ID を貼り付けます。

    注意:

    「IdP 発行者」フィールドはサーバーの識別に使用し、ユーザーがサーバーに接続するときにアクセスする URL ではありません。 セキュリティ上の理由から、AD FS サーバーは安全でない HTTP 経由ではなく、HTTPS 経由でのみアクセスできるようにする必要があります。

  9. IdP サーバーのホスト名(フェデレーションサービス名と同じ場合が多い)を取得し、プロトコル https://を追加し、パス /adfs/ls を追加して IdP ログイン URL を作成します。

    例えば、https://adfs.example/com/adfs/ls/

  10. Adobe Admin Console 上の IdP ログイン URL を入力します。

  11. 保存」をクリックします。

    admin_console_-_adfs-configuredirectory
  12. SAML XML メタデータファイルをコンピューターに保存するには、「メタデータのダウンロード」をクリックします。このファイルは、この文書の残りの部分で AD FS サーバーの証明書利用者の信頼の構成に使用します。

  13. ボックスにチェックマークを入れて、ID プロバイダーの設定を完了する必要があることを承知していることを示します。これは、AD FS サーバーの次の手順で実行します。

    configure_directoryanddownloadmetadata
  14. XML メタデータファイルを AD FS サーバーにコピーして、AD FS 管理アプリケーションにインポートできるようにします。

  15. 完了」をクリックして、ディレクトリの設定を完了します。

1 つ以上のドメインをディレクトリに追加する

  1. Adobe Admin Console で、設定ID に移動します。

  2. ドメイン」タブで、「ドメインの追加」をクリックします。

  3. ドメインの入力画面で、最大 15 のドメインのリストを入力し、「ドメインの追加」をクリックします。

  4. ドメインの追加画面で、ドメインのリストを確認し、「ドメインの追加」をクリックします。

  5. ドメインが Admin Console に追加されます。ただし、引き続きこれらのドメインの所有権を証明する必要があります。

  6. ドメインページで、検証が必要なドメインに対して「ドメインの検証」をクリックします。

  7. レコード値のコピー」をクリックして表示される DNS トークンをコピーし、DNS 設定で、検証するために追加したドメインごとに、このトークンを含む TXT レコードを設定に作成します。

    このトークンは、後で追加する他のドメインで再利用できるよう、Adobe Admin Console 内に追加してすべてのドメインで同じになります。

    ドメインの検証が行われると、トークンはそのまま残る必要はありません。

    validate_domain_ownership
  8. TXT レコードが MXToolbox など、Web サイトを使用して、オンラインで他の DNS サーバーに伝播したかどうかを確認できます。次のように、Windows、Linux または Mac OS システムでコマンド nslookup を使用してコマンドラインから確認できます。

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. ドメイン所有者の検証画面で「今すぐ検証」をクリックします。

    DNS トークンがドメインに対して TXT レコードとして正しく検出された場合、DNS トークンは検証され、すぐに使用できるようになります。最初に検証しないドメインはバックグラウンドで定期的にチェックされ、DNS トークンが正しく検証されると検証されます。

AD FS サーバーの構成

AD FS と SAML の統合を構成するには、以下の手順を実行します。

警告:

指定されたドメインについて Adobe Admin Console の値を変更した場合は、その後続の手順はすべて繰り返す必要があります。

  1. ADFS 管理アプリケーション内を AD FS信頼関係証明書利用者の信頼に移動し、「証明書利用者の信頼を追加」をクリックしてウィザードを開始します。

  2. 開始」をクリックし、「ファイルから信頼者のデータをインポート」を選択し、Adobe Admin Console からメタデータをコピーした場所に移動します。

    08_-_import_metadata
  3. 証明書利用者の信頼に名前を付け、必要に応じて追加の注釈を入力します。

    次へ」をクリックします。

    09_-_name_relyingpartytrust
  4. マルチファクタ認証が必要かどうかを判別し、関連するオプションを選択します。

    次へ」をクリックします。

  5. すべてのユーザーが AD FS 経由でログオンする権限を有するか、またはアクセスが拒否されるかを判別します。

    次へ」をクリックします。

  6. 設定を確認します。

    次へ」をクリックします。

  7. 証明書利用者の信頼が追加されました。

    要求規則の編集ダイアログを開いて次の手順に素早くアクセスするには、このオプションにチェックパークを入れたままにします。

    閉じる」をクリックします。

  8. 要求規則の編集ウィザードが自動的に開かない場合は、AD FS信頼関係証明書利用者の信頼を選択し、右側にある「要求規則の編集...」をクリックして AD FS 管理アプリケーションにアクセスできます。

  9. 規則の追加」をクリックし、属性ストアに応じた LDAP 属性を要求として送信テンプレートを使用し、LDAP 属性の出力方向の要求の種類への関連付けで「LDAP 属性」として「E-Mail-Addresses」を選択し、「出力方向の要求の種類」として「電子メールアドレス」を選択して、規則を設定します。

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    注意:

    上記のスクリーンショットに示すように、電子メールアドレスを主要な識別子として使用することをお勧めします。アサーションで電子メールアドレスとして送信された LDAP 属性として「ユーザープリンシパル名(UPN)」フィールドを使用することはお勧めしません。LDAP 属性として UPN を使用することは可能ですが、これは公式にサポートされる構成ではないため、自己責任で行ってください。

    多くの場合、UPN は電子メールアドレスにマップされず、多くの場合、様々に異なります。そのため、Creative Cloud 内のアセットの通知や共有に問題が発生する可能性があります。

  10. 完了」をクリックして、変換要求規則の追加を完了します。

  11. 再び、要求規則の編集ウィザードで、入力方向の要求の変換テンプレートを使用して規則を追加し、入力方向の要求の種類「電子メールアドレス」を出力方向の要求の種類「名前 ID」と出力方向の名前 ID の形式「電子メール」に変換して、すべての要求値を処理します。

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. 完了」をクリックして、変換要求規則の追加を完了します。

  13. 要求規則の編集ウィザードで、次の規則を含むカスタム規則を使用して要求を送信するテンプレートを使用して規則を追加します。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. 完了」をクリックして、カスタム規則ウィザードを完了します。

  15. 要求規則の編集ダイアログで「OK」をクリックして、これらの 3 つのルールを証明書利用者の信頼に追加します。

    16_-_edit_claim_rules

    注意:

    要求規則の順序は重要です。以下に示すようにしてください。

  16. 新しい証明書利用者の信頼が選択されていることを確認し、ウィンドウの右側にある「プロパティ」をクリックします。「詳細設定」タブを選択し、セキュアハッシュアルゴリズムが SHA-1 に設定されていることを確認します。

    17_-_relying_partytrustproperties

シングルサインオンをテストする

アクティブなディレクトリでテストユーザーを作成し、Admin Console でこのユーザーのエントリを作成してライセンスを割り当ててから、Adobe.com/jp にテストログインして関連ソフトウェアがダウンロードにリストされていることを確認します。

また、Creative Cloud デスクトップにログインしたり、Photoshop や Illustrator などのアプリケーションからログインしてテストすることもできます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー