Microsoft Azure の SAML ベース SSO の管理

Microsoft Azure の SAML ベース SSO の管理

検索
Enterprise & Teams マニュアル

目次

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

New feature alert

ここでは、Microsoft Azure AD 用の古い SAML ベースのセットアップについて説明します。

新しい構成の場合は、Azure AD Connector の使用をおすすめします。このセットアップは数分で完了するため、ドメインの申請、SSO の設定、ユーザーの同期にかかる時間を短縮できます。


概要

システム管理者は、Adobe Admin Console を使用して、シングルサインオン(SSO)用の Federated ID でログインするためのドメインを構成できます。ドメインの検証が完了すると、ユーザーが Creative Cloud にログインできるように、そのドメインを含むディレクトリが構成されます。ユーザーは ID プロバイダー(IdP)を介し、そのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行されるソフトウェアサービスとしてプロビジョニングされるか、サードパーティによってホストされるクラウドサービスとしてプロビジョニングされます。前者の場合、プロセスにはインターネットからアクセスできます。後者の場合は、SAML プロトコルを使用したセキュアな通信を通じてユーザーログインの詳細を検証することができます。

そのような IdP の 1 つとして、安全な ID 管理を行うクラウドベースのサービスである Microsoft Azure があります。

Azure AD では、userPrincipalName 属性を使用するか、オンプレミスから Azure AD 内でユーザープリンシパル名として使用される属性を(カスタムインストールで)指定することができます。userPrincipalName 属性の値が Azure AD の検証済みのドメインに対応していない場合は、デフォルト値である .onmicrosoft.com に置き換えられます。

ユーザーがアプリケーションで認証されると、ユーザーを一意に識別する情報(クレーム)を含む SAML トークンが Azure AD によってアプリに発行されます。デフォルトでは、この情報には、ユーザーのユーザー名、電子メールアドレス、姓名が含まれています。「属性」タブでアプリケーションに SAML トークンで送信されるクレームを表示または編集でき、ユーザー名属性の使用を解除できます。

Azure を使用したシングルサインオンの構成

ドメインにシングルサインオンを設定するには、次の操作をおこないます。

  1. Admin Console にログインします。まず Federated ID ディレクトリを作成し、ID プロバイダーとして他の SAML プロバイダーを選択します。SAML プロファイルを追加画面で、ACS の URLエンティティ ID の値をコピーします。
  2. ACS の URLエンティティ ID を指定して Azure を設定し、IdP メタデータファイルをダウンロードします。
  3. Adobe Admin Console に戻り、SAML プロファイルを追加画面で IdP メタデータファイルをアップロードして「完了」をクリックします。

Azure での Adobe SSO アプリケーションの作成

Microsoft Azure ダッシュボードにアクセスでき、管理者としてログインして新しいエンタープライズアプリケーションを作成できることを確認します。

Azure で SSO を設定するには、次の手順を実行します。

  1. Azure Active Directory/エンタープライズアプリケーション/すべてのアプリケーションに移動し、「新しいアプリケーション」をクリックします。

  2. ギャラリーから追加」で、検索フィールドに「Adobe Creative Cloud」と入力します。

  3. Adobe Creative Cloud を選択し、コネクタの名前を変更します。「追加」をクリックして処理が完了するのを待ちます。

    add_application

  4. Azure Active Directory/エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択して、概要ページに移動します。

  5. シングルサインオンSAML を選択します。

    SAML

  6. SAML の基本設定」で、Adobe Admin Console からコピーしたエンティティ ID と ACS の URL を入力します。その後、「保存」をクリックします。

    SAML の基本設定

  7. SAML トークン属性をフォーマットするには、「編集」ボタンをクリックして、ユーザー属性ダイアログを開きます。次に、「新規クレームの追加」をクリックします。ユーザー属性とクレームページで、「名前空間」エントリを空白のままにして属性を以下のように編集します。

    名前 名前空間
    FirstName user.givenname  
    LastName user.surname  
    電子メール user.mail  

  8. 以下の値と一致するようにすべての属性を設定したら、ユーザー属性とクレームページを閉じます。

    ユーザー属性

    注意:

    • メールアドレスでユーザーを認証するには、「 UserIdentifier」を user.mail に設定します。UserPrincipalName によってユーザーを認証するには、「UserIdentifier」を user.userprincipalname に設定します。
    • SAML 応答にメールクレーム値を追加するには、ユーザーが有効な Office 365 ExO ライセンスを持っている必要があります。

  9. SAML 署名証明書」セクションから、証明書(Base64)ファイルをダウンロードしてコンピューターに保存します。

    SAML 署名証明書

  10. その後、必要に応じて、「<名前> のセットアップ」セクションから適切な URL をコピーします。

    セットアップ

  11. 「X」をクリックして Azure ポータルのドキュメントページを閉じ、Adobe SSO コネクタのエンタープライズアプリケーション設定ウィンドウに戻ります。

  12. 「SAML 署名証明書」セクション内で、右側の証明書(base 64)をクリックして証明書ファイルをダウンロードします。

Adobe Admin Console への IdP メタデータのアップロード

Adobe Admin Console にある証明書を最新に更新するため、Adobe Admin Console に戻ります。Azure からダウンロードした証明書を SAML プロファイルを追加画面にアップロードし、「完了」をクリックします。

Azure を介したユーザーの割り当て

Microsoft Azure 経由でユーザーを割り当てて、Adobe Creative Cloud コネクタを使用したログインを許可するには、以下の手順を実行します。この場合も Adobe Admin Console からライセンスを割り当てる必要があります。

  1. Azure Active Directoryエンタープライズアプリケーションすべてのアプリケーションに移動し、使用する Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. ユーザーとグループ」をクリックします。

  3. ユーザーを追加」をクリックして、このコネクタに割り当てるユーザーを選択します。これにより、ユーザーにシングルサインオンを介したログインが許可されます。

  4. ユーザー」または「グループ」をクリックし、Creative Cloud へのログインを許可する 1 つ以上のユーザーまたはグループを選択します。次に、「選択」、「割り当て」の順にクリックします。

ユーザーアクセスのテスト

独自の ID 管理システムと Adobe Admin Console で定義したユーザーのアクセス権を Adobe web サイトまたは Creative Cloud Desktop アプリケーションにログインして確認します。

問題が発生する場合は、トラブルシューティングに関するドキュメントを参照してください。

シングルサインオンの設定に関してヘルプが必要な場合は、Adobe Admin Console の「サポート」に移動して、アドビまでお問い合わせください。