概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインとディレクトリを構成できます。 ドメインの所有権が DNS トークンを使用して実証され、Federated ID ディレクトリにリンクされると、要求したドメイン内の電子メールアドレスを有するユーザーは、関連する Adobe Admin Console で対応するアカウントが作成されると、ID プロバイダシステム(IdP)を介して Creative Cloud にログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが、安全な ID 管理を促進するクラウドベースサービスの Microsoft Azure です。

Azure AD では userPrincipalName 属性が使用されます。また、Azure AD のユーザープリンシパル名としてオンプレミスから使用する属性(カスタムインストール)を指定することもできます。userPrincipalName 属性の値が Azure AD の検証済みドメインに対応しない場合、Azure AD はその値をデフォルトの .onmicrosoft.com 値に置き換えます。

アプリケーションを認証すると、Azure AD は、ユーザーを一意に識別するユーザー情報(または要求)が含まれているアプリケーションに SAML トークンを発行します。この情報には、デフォルトでは、ユーザーのユーザー名、電子メールアドレス、名、姓が含まれます。SAML トークンでアプリケーションに送信される要求は「属性」タブで表示または編集し、ユーザー名属性をリリースできます。

前提条件

Microsoft Azure を IdP として使用してシングルサインオン向けにドメインを構成する前に、以下の要件を満たす必要があります:

  • ユーザーが常駐する DNS ドメインに対応する承認済みのドメインで、Adobe Admin Console のフェデレーションディレクトリにリンクされています。詳細については、ID の設定に関する当社のドキュメント一般を参照してください。
  • Microsoft Azure ダッシュボードはアクセス可能で、新しいエンタープライズアプリケーションを作成できる管理者としてログインします

Azure for Adobe で SSO アプリを作成

Azure で SSO を構成するには、以下の手順を実行します:

  1. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動して、「新しいアプリケーション」をクリックします。

  2. ギャラリーから追加で、検索フィールドに「Adobe Creative Cloud」と入力します。

  3. Adobe Creative Cloud を選択し、コネクタの名前を選択し、「追加」をクリックして、プロセスが完了するのを待ちます。

    add_application
  4. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択します。

  5. Web ブラウザーの別のタブで、Adobe Admin Console にログインし、設定するドメインの設定ページにアクセスします。これは、ドメインの名前をクリックしてから「SSO の設定」ボタンを押して、設定ID の下に示されます。

  6. Azure ポータル内で、「シングルサインオン」をクリックし、このコネクタアプリケーションのモードを「SAML ベースのシングルサインオン」として選択します

  7. チェックボックスをクリックして、他のすべてのユーザー属性を表示して編集します

  8. エントリごとに名前空間を空白のままにして、SAML トークン属性を以下のように編集します。

    名前 名前空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    注意:

    電子メールでユーザーを認証するには、UserIdentifieruser.mail に設定します。UserPrincipalName でユーザーを認証するには、UserIdentifieruser.userprincipalname に設定します。

  9. ページの下部にある Azure SSO コネクタの名前を含む矢印をクリックして、ページの左側にあるアドビシングルサインオンの Microsoft 文書を表示します。

    screen_shot_2018-05-08at085804
  10. 次に表示されるペインでは文書の下に「クイック参照」セクションがあり、各種エンドポイントと署名する証明書へのリンクが表示されます。この情報は次のセクションで使用されます。

    screen_shot_2018-05-08at144856
  11. Azure ポータルから Azure AD SAML エンティティ ID をコピーして、Adobe Admin Console のドメインの ID 設定ページの IdP 発行者フィールドに貼り付けます。

  12. Azure ポータルから Azure AD シングルサインオンサービス URL をコピーして、Adobe Admin Console のドメインの ID 設定ページの IdP ログイン URL フィールドに貼り付けます。

  13. 「X」をクリックして、Azure ポータルの文書ページを閉じ、Adobe SSO コネクタのエンタープライズアプリケーション設定ウィンドウに戻ります。

  14. 「SAML署名証明書」セクションの右側にある「証明書(ベース 64)」をクリックして、証明書ファイルをダウンロードします。

  15. 前の手順で取得した証明書を Adobe Admin Console に IdP 証明書としてアップロードし、「構成の完了」をクリックしてこれらの詳細を保存します。

    01_-_configure_saml
  16. 保存」をクリックします。

  17. ボックスにチェックマークを入れて、ID プロバイダーの設定を完了する必要があることを承知していることを示します。これは、Azure ポータルの次の手順で実行されます。

  18. メタデータのダウンロード」ボタンをクリックして、Adobe Admin Console からこのディレクトリの設定を保存します。

    このファイルを使用して、構成の特定の属性を取得します。

    configure_directoryanddownloadmetadata
  19. ディレクトリをアクティブにするには、「完了」をクリックします。

  20. テキストエディタまたは Web ブラウザーでメタデータを開き、以下のスクリーンショットの例に示すように、EntityID と AssertionConsumerService の値を「ID」フィールドと「ReplyURL」フィールドにそれぞれ Azure ポータルにコピーします。

    metadata_example
    • Azure 設定の「ID」フィールドのメタデータから EntityID の URL を使用します:
      このアドレスの形式は次のとおりです。https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Azure 設定の「返信 URL」に AssertionConsumerService の URL を使用します。
      このアドレスの形式は次のとおりです。https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. これらの設定は、ページの上部にある「保存」リンクを使用して Azure ポータルに保存します。

Azure を介したユーザーの割り当て

Microsoft Azure を使用してユーザーを割り当て、そのユーザーが Adobe Creative Cloud コネクタを使用してログインできるようにするには、以下の手順を実行します。 この手順でも Adobe Admin Console からライセンスを割り当てる必要があります。

  1. Azure Active Directoryエンタープライズアプリケーションすべてのアプリケーションに移動し、Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. ユーザーとグループ」をクリックします。

  3. ユーザーを追加」をクリックして、このコネクタに割り当てるユーザーを選択し、そのユーザーがシングルサインオンでログインできるようにします。

  4. ユーザー」または「グループ」をクリックし、Creative Cloud へのログインを許可するユーザーまたはグループを 1 つ以上選択し、「選択」をクリックしてから「割り当て」をクリックします。

ユーザーアクセスのテスト

ユーザーアクセスをテストするには、以下の手順を実行します。

  1. また、ユーザーを Adobe Admin Console 内で Federated ID として追加してグループに割り当てて使用権限を付与することを確認します。

  2. この時点で、ご使用の電子メールアドレス/upn を Adobe ログインフォームに入力し、タブを押します。Azure AD にフェデレーションします:

    • Web ブラウザー www.adobe.com/jp で、ウィンドウの右上にある「ログイン」をクリックします。
    • Creative Cloud デスクトップアプリケーションを閉じます。
    • メニューのヘルプログイン... から Photoshop や Illustrator など、Adobe Creative Cloud アプリケーションから

問題が発生する場合は、トラブルシューティングの文書を参照してください。

シングルサインオン設定のサポートが必要な場合は、Adobe Admin Console に移動し、「サポート」セクションを開いてチケットを開くか、Adobe Web サイトの「サポート」をクリックしてください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー