概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインとディレクトリを構成できます。 ドメインの所有権が DNS トークンを使用して実証され、Federated ID ディレクトリにリンクされると、要求したドメイン内の電子メールアドレスを有するユーザーは、関連する Adobe Admin Console で対応するアカウントが作成されると、ID プロバイダシステム(IdP)を介して Creative Cloud にログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが、安全な ID 管理を促進するクラウドベースサービスの Microsoft Azure です。

Azure AD では userPrincipalName 属性が使用されます。また、Azure AD のユーザープリンシパル名としてオンプレミスから使用する属性(カスタムインストール)を指定することもできます。userPrincipalName 属性の値が Azure AD の検証済みドメインに対応しない場合、Azure AD はその値をデフォルトの .onmicrosoft.com 値に置き換えます。

アプリケーションを認証すると、Azure AD は、ユーザーを一意に識別するユーザー情報(または要求)が含まれているアプリケーションに SAML トークンを発行します。この情報には、デフォルトでは、ユーザーのユーザー名、電子メールアドレス、名、姓が含まれます。SAML トークンでアプリケーションに送信される要求は「属性」タブで表示または編集し、ユーザー名属性をリリースできます。

前提条件

Microsoft Azure を IdP として使用してシングルサインオン向けにドメインを構成する前に、以下の要件を満たす必要があります。

  • Adobe Admin Console の既存のディレクトリ内の承認されたドメイン。Adobe Admin Console のディレクトリのステータスは、設定が必要であるか、または以前に設定した既存のディレクトリである必要があります。
  • Microsoft Azure ダッシュボードはアクセス可能で、新しいエンタープライズアプリケーションを作成できる管理者としてログインします

Azure for Adobe で SSO アプリを作成

Azure で SSO を構成するには、以下の手順を実行します。

  1. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動して、「新しいアプリケーション」をクリックします。

  2. ギャラリーから追加で、検索フィールドに「Adobe Creative Cloud」と入力します。

  3. Adobe Creative Cloud を選択し、コネクタの名前を選択し、「追加」をクリックして、プロセスが完了するのを待ちます。

    add_application
  4. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択します。

  5. Web ブラウザーの別のタブで、Adobe Admin Console にログインし、設定するドメインの設定ページにアクセスします。これは、ドメインの名前をクリックしてから「SSO の設定」ボタンを押して、設定ID の下に示されます。

  6. Azure ポータル内で、「シングルサインオン」をクリックし、このコネクタアプリケーションのモードを「SAML ベースのシングルサインオン」として選択します

  7. チェックボックスをクリックして、他のすべてのユーザー属性を表示して編集します

  8. エントリごとに名前空間を空白のままにして、SAML トークン属性を以下のように編集します。

    名前 名前空間
    FirstName user.givenname  
    LastName user.surname  
    電子メール user.mail  

    注意:

    上記のスクリーンショットに示すように、電子メールアドレスを主要な識別子として使用することをお勧めします。アサーションで電子メールアドレスとして送信された LDAP 属性として「ユーザープリンシパル名(UPN)」フィールドを使用することはお勧めしません。LDAP 属性として UPN を使用することは可能ですが、これは公式にサポートされる構成ではないため、自己責任で行ってください。

    多くの場合、UPN は電子メールアドレスにマップされず、多くの場合、様々に異なります。そのため、Creative Cloud 内のアセットの通知や共有に問題が発生する可能性があります。

  9. ページの下部にある Azure SSO コネクタの名前を含むリンクをクリックして、ページの左側にあるアドビシングルサインオンの Microsoft 文書を表示します。

    quick_reference
  10. Azure ポータルから Azure AD SAML エンティティ ID をコピーして、Adobe Admin Console のドメインの ID 設定ページの IdP 発行者フィールドに貼り付けます。

  11. Azure ポータルから Azure AD シングルサインオンサービス URL をコピーして、Adobe Admin Console のドメインの ID 設定ページの IdP ログイン URL フィールドに貼り付けます。

  12. 「X」をクリックして、Azure ポータルの文書ページを閉じ、Adobe SSO コネクタのエンタープライズアプリケーション設定ウィンドウに戻ります。

  13. 「SAML署名証明書」セクションの右側にある「証明書(ベース 64)」をクリックして、証明書ファイルをダウンロードします。

  14. 前の手順で取得した証明書を Adobe Admin Console に IdP 証明書としてアップロードし、「構成の完了」をクリックしてこれらの詳細を保存します。

    01_-_configure_saml
  15. 保存」をクリックします。

  16. ボックスにチェックマークを入れて、ID プロバイダーの設定を完了する必要があることを承知していることを示します。これは、Azure ポータルの次の手順で実行されます。

  17. メタデータのダウンロード」ボタンをクリックして、Adobe Admin Console からこのディレクトリの設定を保存します。

    このファイルを使用して、構成の特定の属性を取得します。

    configure_directoryanddownloadmetadata
  18. ディレクトリをアクティブにするには、「完了」をクリックします。

  19. テキストエディタまたは Web ブラウザーでメタデータを開き、以下のスクリーンショットの例に示すように、EntityID と AssertionConsumerService の値を「ID」フィールドと「ReplyURL」フィールドにそれぞれ Azure ポータルにコピーします。

    metadata_example
    • Azure 設定の「ID」フィールドのメタデータから EntityID の URL を使用します。
      このアドレスの形式は次のとおりです。https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Azure 設定の「返信 URL」に AssertionConsumerService の URL を使用します。
      このアドレスの形式は次のとおりです。https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  20. これらの設定は、ページの上部にある「保存」リンクを使用して Azure ポータルに保存します。

Azure を介したユーザーの割り当て

Microsoft Azure を使用してユーザーを割り当て、そのユーザーが Adobe Creative Cloud コネクタを使用してログインできるようにするには、以下の手順を実行します。 この手順でも Adobe Admin Console からライセンスを割り当てる必要があります。

  1. Azure Active Directoryエンタープライズアプリケーションすべてのアプリケーションに移動し、Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. ユーザーとグループ」をクリックします。

  3. ユーザーを追加」をクリックして、このコネクタに割り当てるユーザーを選択し、そのユーザーがシングルサインオンでログインできるようにします。

  4. ユーザー」または「グループ」をクリックし、Creative Cloud へのログインを許可するユーザーまたはグループを 1 つ以上選択し、「選択」をクリックしてから「割り当て」をクリックします。

ユーザーアクセスのテスト

ユーザーアクセスをテストするには、以下の手順を実行します。

  1. また、ユーザーを Adobe Admin Console 内で Federated ID として追加してグループに割り当てて使用権限を付与することを確認します。

  2. この時点で、ご使用の電子メールアドレス/upn を Adobe ログインフォームに入力し、タブを押します。Azure AD にフェデレーションします。

    • Web ブラウザー www.adobe.com/jp で、ウィンドウの右上にある「ログイン」をクリックします。
    • Creative Cloud デスクトップアプリケーションを閉じます。
    • メニューのヘルプログイン... から Photoshop や Illustrator など、Adobe Creative Cloud アプリケーションから

Azure シングルサインオン設定のサポートが必要な場合は、Adobe Admin Console に移動し、サポートセクションを開いてチケットを開くか、Adobe Web サイトの「サポート」をクリックしてください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー