マニュアル キャンセル

Adobe SSO で使用する Microsoft AD FS の構成

概要

ここでは、Microsoft AD FS サーバーで Adobe Admin Console を設定するプロセスを説明します。

ID プロバイダーは、企業ネットワークの外部からアクセス可能である必要はありませんが、アクセスできない場合は、ネットワーク内(または VPN 経由で接続されている)ワークステーションのみが、ライセンスを有効にするための認証やセッション終了後のログインを実行することができます。

Microsoft AD FS で SSO を設定する(視聴時間:17 分)
注意:

ここで示す手順とスクリーンショットは AD FS バージョン 3.0 のものですが、同じメニューが AD FS 2.0 にもあります。

前提条件

Microsoft AD FS を使用してシングルサインオン用のディレクトリを作成するには、以下の要件を満たす必要があります。

  • Microsoft AD FS と最新のオペレーティングシステムのアップデートがインストールされた Microsoft Windows Server。macOS でアドビ製品を使用する場合は、サーバーが TLS バージョン 1.2 と前方秘匿性(FS)がサポートされている。AD FS について詳しくは、Microsoft ID およびアクセスに関するドキュメントを参照してください
  • サーバーは、ユーザーのワークステーションから(例えば、HTTPS 経由で)アクセスできる。
  • セキュリティ証明書が AD FS サーバーから取得される。
  • Creative Cloud エンタープライズ版のアカウントと関連付けるすべての Active Directory アカウントに、Active Directory 内に登録されたメールアドレスがある。

Adobe Admin Console でディレクトリを作成する

ドメインにシングルサインオンを設定するには、次の操作を行う必要があります。

  1. Admin Console にログインします。まず Federated ID ディレクトリを作成し、ID プロバイダーとして他の SAML プロバイダーを選択します。ディレクトリの作成ウィザードからアドビメタデータファイルをダウンロードします。
  2. ACS の URLエンティティ ID を指定して AD FS を設定し、IdP メタデータファイルをダウンロードします。
  3. Adobe Admin Console に戻り、ディレクトリの作成ウィザードで IdP メタデータファイルをアップロードします。次に、「次へ」を選択し、アカウントの自動作成を設定して、「完了」を選択します。

各手順について詳しくは、リンクをクリックしてください。

AD FS サーバーの構成

AD FS との SAML 統合を設定するには、次の手順を実行します。

警告:

以降のすべての手順は、Adobe Admin Console でドメインの値に変更があるたびに繰り返す必要があります。

  1. AD FS 管理アプリケーション内で、AD FS信頼関係証明書利用者信頼に移動し、「証明書利用者信頼を追加」をクリックしてウィザードを開始します。

  2. 開始」をクリックして、「ファイルから証明書利用者のデータを読み込む」を選択し、Adobe Admin Console からメタデータをコピーした場所を参照します。

  3. 証明書利用者信頼に名前を付け、必要に応じて追加のメモを入力します。

    次へ」をクリックします。

  4. 多要素認証が必要かどうかを判断し、該当するオプションを選択します。

    次へ」をクリックします。

  5. すべてのユーザーが AD FS 経由でログオンできるかどうかを確認します。

    次へ」をクリックします。

  6. 設定を確認します。

    次へ」をクリックします。

  7. 証明書利用者信頼が追加されました。

    オプションをオンにしたままにしておくと、「クレーム規則の編集」ダイアログが開き、次のステップに素早くアクセスできます。

    閉じる」をクリックします。

  8. クレーム規則の編集ウィザードが自動的に開かない場合は、AD FS信頼関係証明書利用者信頼の下にある AD FS 管理アプリケーションで、アドビ SSO 証明書利用者信頼を選択し、右側の「クレーム規則の編集...」をクリックしてアクセスできます。

  9. 規則の追加」をクリックし、属性ストアに応じた LDAP 属性をクレームとして送信テンプレートを使用して規則を設定します。「LDAP 属性の出力方向のクレームの種類への関連付け」で「LDAP 属性」として「E-Mail-Addresses」を選択し、「出力方向のクレームの種類」として「メールアドレス」を選択します。

    注意:

    上記のスクリーンショットにあるように、主な識別子としてメールアドレスを使用することをお勧めします。また、アサーションで送信される LDAP 属性として、ユーザープリンシパル名(UPN)フィールドをメールアドレスとして使用することもできます。ただし、クレーム規則を設定するためにこれを行うことはお勧めしません。

    多くの場合、UPN はメールアドレスにマッピングされておらず、またメールアドレスと異なるのが普通ですこれにより、Creative Cloud 内での通知とアセットの共有に問題が発生する可能性があります。

  10. 完了」をクリックして、変換クレーム規則の追加を完了します。

  11. 再びクレーム規則の編集ウィザードで、入力方向の要求の変換テンプレートを使用して規則を追加し、入力方向のクレームの種類「メールアドレス」を出力方向のクレームの種類「名前 ID」と出力方向の名前 ID の形式「メール」に変換して、すべてのクレーム値を処理します。

  12. 完了」をクリックして、変換クレーム規則の追加を完了します。

  13. クレーム規則の編集ウィザードで、次の規則を含むカスタム規則を使用してクレームを送信するテンプレートを使用して規則を追加します。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. 完了」をクリックして、カスタム規則ウィザードを完了します。

  15. クレーム規則の編集ダイアログで「OK」をクリックして、これら 3 つのルールを証明書利用者信頼に追加します。

    注意:

    クレーム規則の順序は重要です。ここに示すように表示される必要があります。

クロックのわずかなずれによるシステム間の接続の問題を回避するには、デフォルトのタイムスキューを 2 分に設定します。タイムスキューについて詳しくは、エラーのトラブルシューティングのドキュメントを参照してください。

AD FS のメタデータファイルをダウンロード

  1. サーバー上で AD FS 管理アプリケーションを開き、AD FS/サービス/エンドピントフォルダー内で、フェデレーションメタデータを選択します。

    メタデータの場所

  2. ブラウザーを使用して、フェデレーションメタデータに対して提供された URL に移動し、ファイルをダウンロードします。ファイルは例えば、https://<お使いの AD FS ホスト名>/FederationMetadata/2007-06/FederationMetadata.xml のような形式です。

    注意:
    • プロンプトが表示されたら、警告に同意します。
    • Windows オペレーティングシステム上で Microrsoft AD FS のホスト名を確認するには、
      Windows PowerShell を開いて、管理者として実行した後、「Get-AdfsProperties」と入力し、Enter を押します。詳細リストでホスト名を確認します。

Adobe Admin Console への IdP メタデータのアップロード

最新の証明書に更新するため、Adobe Admin Console ウィンドウに戻ります。AD FS からダウンロードしたメタデータファイルを SAML プロファイルを追加画面にアップロードし、「完了」をクリックします。

次のステップ:ユーザーにアプリを割り当てるための完全なセットアップ

ディレクトリを設定したら、次の手順を実行して、組織のユーザーがアドビのアプリとサービスを使用できるように設定します。

  1. Admin Console 内でドメインを追加してセットアップします。
  2. AD FS ディレクトリにドメインを関連付けます。
  3. (オプション)別のディレクトリの Admin Console 内に既にドメインが確立されている場合は、新しく作成された AD FS ディレクトリに直接転送します。
  4. 製品プロファイルを追加して、購入したプランの使用法を微調整します。
  5. テストユーザーを追加して、SSO セットアップをテストします。
  6. 要件に基づいてユーザー管理戦略とツールを選択します。次に、Admin Console にユーザーを追加し、製品プロファイルにユーザーを割り当てます。ユーザーがアドビアプリを使用できるようになります。

その他の ID 関連のツールや技術について詳しくは、「ID の設定」を参照してください。

シングルサインオンのテスト

アクティブなディレクトリでテストユーザーを作成します。Admin Console でこのユーザーのエントリを作成してライセンスを割り当てます。次に、Adobe.com にログインして、関連するソフトウェアがダウンロードリストに表示されることを確認します。

Creative Cloud デスクトップにログインして、Photoshop や Illustrator などのアプリケーション内からテストすることもできます。

問題が発生する場合は、トラブルシューティングに関するドキュメントを参照してください。シングルサインオンの設定に関してさらにサポートが必要な場合は、Adobe Admin Console の「サポート」に移動し、カスタマーサポートでチケットを開いてください。

ヘルプをすばやく簡単に入手

新規ユーザーの場合