概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインを構成できます。 ドメインの所有権が DNS トークンを使用して実証されると、そのドメインはユーザーが Creative Cloud にログインできるように構成できます。ユーザーは、ID プロバイダー(IdP)を介してそのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが、安全な ID 管理を促進するクラウドベースサービスの Microsoft Azure です。

Azure AD では userPrincipalName 属性が使用されます。また、Azure AD のユーザープリンシパル名としてオンプレミスから使用する属性(カスタムインストール)を指定することもできます。userPrincipalName 属性の値が Azure AD の検証済みドメインに対応しない場合、Azure AD はその値をデフォルトの .onmicrosoft.com 値に置き換えます。

アプリケーションを認証すると、Azure AD は、ユーザーを一意に識別するユーザー情報(または要求)が含まれているアプリケーションに SAML トークンを発行します。この情報には、デフォルトでは、ユーザーのユーザー名、電子メールアドレス、名、姓が含まれます。SAML トークンでアプリケーションに送信される要求は「属性」タブで表示または編集し、ユーザー名属性をリリースできます。

前提条件

Microsoft Azure を IdP として使用してシングルサインオン向けにドメインを構成する前に、以下の要件を満たす必要があります。

  • アドビ組織アカウントの承認済みドメイン。Adobe Admin Console 内のドメインのステータスは、「構成が必要」でなければなりません。
  • Microsoft Azure ダッシュボードにアクセスできます。

Azure for Adobe で SSO アプリを作成

Azure で SSO を構成するには、以下の手順を実行します。

  1. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動して、「新しいアプリケーション」をクリックします。

  2. ギャラリーから追加で、検索フィールドに「Adobe Creative Cloud」と入力します。

  3. Adobe Creative Cloud を選択し、「追加」をクリックして、プロセスが完了するのを待ちます。

  4. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択します。

  5. 「シングルサインオン」をクリックし、このコネクタアプリケーションのモードを「SAML ベースのシングルサインオン」として選択します

  6. 「ID」フィールドと「返信 URL」フィールドにダミー情報を入力します(https://adobe.com/ など)。 

  7. 発行者/返信 URL」フィールドに次の URL を入力し、「次へ」をクリックします。

    https://adobe.com/jp

  8. 証明書(ベース 64)」をクリックして、証明書ファイルをダウンロードします。

  9. これらの設定は、ページの上部にある「保存」リンクを使用して保存します。

Azure を介したユーザーの割り当て

Microsoft Azure を使用してユーザーを割り当て、そのユーザーが Adobe Creative Cloud コネクタを使用してログインできるようにするには、以下の手順を実行します。 この手順でも Adobe Admin Console からライセンスを割り当てる必要があります。

  1. Azure Active Directoryエンタープライズアプリケーションすべてのアプリケーションに移動し、Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. ユーザーとグループ」をクリックします。

  3. ユーザーを追加」をクリックして、このコネクタに割り当てるユーザーを選択し、そのユーザーがシングルサインオンでログインできるようにします。

  4. ユーザー」または「グループ」をクリックし、Creative Cloud へのログインを許可するユーザーまたはグループを 1 つ以上選択し、「選択」をクリックしてから「割り当て」をクリックします。

Azure を介した必須属性の追加

Azure を介して属性を追加するには、以下の手順を実行します。

  1. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. シングルサインオン」をクリックします

  3. チェックボックスをクリックして、他のすべてのユーザー属性を表示して編集します

  4. エントリごとに名前空間を空白のままにして、SAML トークン属性を以下のように編集します。

     

    NAME                    VALUE                    NAMESPACE

    FirstName                user.givenname

    LastName                user.surname

    Email                       user.mail

     

    注:また、一部の設定では優先されるオプションである user.userprincipalname の値も使用できますが、これはお勧めしません。ユーザープリンシパル名への電子メールの送信を許可する電子メールアドレスのエイリアスがない場合、エンドユーザーが通知を受信できない可能性があるためです。例えば、ユーザー名が jbloggs@example.com で、UPN が joe.bloggs@example.com である場合、Adobe Creative Cloud でシングルサインオンのプライマリ ID として使用されている場合は、受信メールにさらに長いアドレスの使用を許可するエイリアスが必要になります。

    screen_shot_2018-01-10at151733
  5. ページ上部にある「保存」をクリックして変更を適用します。

Adobe Admin Console 内での Azure の構成

ドメインに対してシングルサインオンを構成するには、Adobe Admin Console のドメインのセットアップウィザードを使用して必要な情報を入力します。

  1. 前の手順で保存した証明書をアップロードします。

  2. Azure の詳細を入力します。

    • IDP Binding: HTTP-REDIRECT
    • User Login Setting:電子メールアドレス
    • IDP issuer: Azure の発行者 URL
    • IDP Login URL: Azure の SSO サービス URL
    ドメインのセットアップ
  3. 構成の完了」をクリックします。

  4. SAML XML メタデータファイルを保存するには、「メタデータのダウンロード」をクリックします。このファイルを使用して、Azure と SAML の統合を構成します。

    このファイルには、アドビの EntityID URL と AssertionConsumerService URL が含まれています。

    picture1_copy
  5. ドメインを有効にする」をクリックします。

    これでドメインはアクティブになります。

Azure 内での構成の完了

ファイナライズの手順として、最新のセキュリティ証明書を Azure からダウンロードするには、以下の手順を実行します。

  1. Azure 内で、Adobe Create Cloud /シングルサインオンの構成に移動します。

  2. 以下の値を入力して「次へ」をクリックします。

    • アドビが ISSUER URL に対して入力した EntityID 値を使用します。
      このアドレスは、次のようになります。https://www.okta.com/saml2/service-provider/spi1t5qwd3rI7onSs0x78
    • アドビが REPLY URL に対して入力した AssertionConsumerService 値を使用します。
      このアドレスは、次のようになります。https://adbe-jackstromberg-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
    sso_urls
    download_cert
  3. 「確認」ボックスを選択し、「次へ」をクリックします。

    Azure3

Adobe Admin Console 内での構成の完了

最新の証明書を Adobe Admin Console に対してアップデートするには、以下の手順を実行します。

  1. Adobe Admin Console に戻り、設定/ID に移動します。

  2. 関連するドメインの名前をクリックし、「SSO 構成を編集」をクリックします。

  3. ダミー値が変更されたため、最新の証明書をアップロードします。

    SSO 構成を編集
  4. 保存」をクリックします。

ユーザーアクセスのテスト

ユーザーアクセスをテストするには、以下の手順を実行します。

  1. また、ユーザーを Adobe Admin Console 内で Federated ID として追加してグループに割り当てて使用権限を付与することを確認します。

  2. この時点で、ご使用の電子メールアドレス/upn を Adobe ログインフォームに入力し、タブを押します。Azure AD にフェデレーションします。

    • Web アクセス: www.adobe.com/jp /ログイン
    • デスクトップアプリユーティリティ内/ログイン
    • アプリケーション内/ヘルプ/ログイン

Azure シングルサインオン構成でサポートが必要な場合は、Adobe Admin Console/サポートに移動し、チケットを開きます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー