New feature alert

この文書では、Microsoft Azure AD で古い SAML ベースの SSO を使用する場合について説明します。

新しい構成の場合は、Azure AD Connector の使用をおすすめします。このセットアップは数分で完了します。また、ドメインの申請、SSO の設定、ユーザーの同期にかかる時間を短縮できます。


概要

Adobe Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインを構成できます。  ドメインの検証が完了すると、ユーザーが Creative Cloud にログインできるように、そのドメインを含むディレクトリが構成されます。ユーザーは、ID プロバイダー(IdP)を介してそのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

このような IdP の 1 つが、安全な ID 管理を促進するクラウドベースサービスの Microsoft Azure です。

Azure AD では userPrincipalName 属性が使用されます。また、Azure AD のユーザープリンシパル名としてオンプレミスから使用する属性(カスタムインストール)を指定することもできます。userPrincipalName 属性の値が Azure AD の検証済みドメインに対応しない場合、Azure AD はその値をデフォルトの .onmicrosoft.com 値に置き換えます。

アプリケーションを認証すると、Azure AD は、ユーザーを一意に識別するユーザー情報(または要求)が含まれているアプリケーションに SAML トークンを発行します。この情報には、デフォルトでは、ユーザーのユーザー名、電子メールアドレス、名、姓が含まれます。SAML トークンでアプリケーションに送信される要求は「属性」タブで表示または編集し、ユーザー名属性をリリースできます。

Azure アカウントを使用したシングルサインオンの設定

ドメインにシングルサインオンを設定するには、次の操作を行います。

  1. Admin Console にログインします。Federated ID ディレクトリを作成して、ID プロバイダーとして他の SAML プロバイダーを選択します。SAML プロファイルを追加画面で、ACS URLエンティティ ID の値をコピーします。
  2. ACS URLエンティティ ID を指定して Azure を設定し、IdP メタデータファイルをダウンロードします。
  3. Adobe Admin Console に戻り、SAML プロファイルを追加画面で IdP メタデータファイルをアップロードして「完了」をクリックします。

Azure for Adobe での SSO アプリケーションの作成

Microsoft Azure ダッシュボードにアクセス可能で、新しいエンタープライズアプリケーションを作成できる管理者としてログインします。

Azure で SSO を構成するには、以下の手順を実行します:

  1. Azure Active Directory /エンタープライズアプリケーション/すべてのアプリケーションに移動して、「新しいアプリケーション」をクリックします。

  2. ギャラリーから追加で、検索フィールドに「Adobe Creative Cloud」と入力します。

  3. Adobe Creative Cloud を選択し、コネクタの名前を変更し、「追加」をクリックして、プロセスが完了するのを待ちます。

    add_application
  4. Azure Active Directory/エンタープライズアプリケーション/すべてのアプリケーションに移動し、新しい Adobe Creative Cloud コネクタアプリケーションを選択して「概要」ページに移動します。

  5. シングルサインオンSAML の順に選択します。

    SAML
  6. 基本 SAML 構成」で、Adobe Admin Console からコピーしたエンティティ ID と ACS URL を入力します。その後、「保存」をクリックします。

    基本的な SAML 構成
  7. SAML トークン属性の形式を設定するには、「編集」ボタンをクリックして、「ユーザー属性」ダイアログを開きます。「新しいクレームの追加」をクリックして、「ユーザー属性とクレーム」ページを開きます。次のように、名前空間エントリは空白のままにします。

    名前 名前空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. 以下の値に合わせてすべての属性を設定したら、「ユーザー属性とクレーム」ページを閉じます。

    ユーザー属性

    注意:

    • 電子メールでユーザーを認証するには、UserIdentifieruser.mail に設定します。UserPrincipalName でユーザーを認証するには、UserIdentifieruser.userprincipalname に設定します。
    • SAML 応答に電子メールクレーム値を追加するには、ユーザーに有効な Office 365 ExO ライセンスが必要です。

  9. SAML 署名証明書」セクションで、証明書(Base64)ファイルをダウンロードしてコンピューターに保存します。

    SAML 署名証明書
  10. 要件に合わせて、「<Name> のセットアップ」セクションから適切な URL をコピーします。

    セットアップ
  11. 「X」をクリックして、Azure ポータルの文書ページを閉じ、Adobe SSO コネクタのエンタープライズアプリケーション設定ウィンドウに戻ります。

  12. 「SAML署名証明書」セクションの右側にある「証明書(ベース 64)」をクリックして、証明書ファイルをダウンロードします。

Adobe Admin Console への IdP メタデータのアップロード

Adobe Admin Console に最新の証明書をアップロードするため、Adobe Admin Console に戻ります。Azure からダウンロードした証明書を SAML プロファイルの追加画面にアップロードし、「完了」をクリックします。

Azure を介したユーザーの割り当て

Microsoft Azure を使用してユーザーを割り当て、そのユーザーが Adobe Creative Cloud コネクタを使用してログインできるようにするには、以下の手順を実行します。また、Adobe Admin Console でライセンスを割り当てる必要があります。

  1. Azure Active Directoryエンタープライズアプリケーションすべてのアプリケーションに移動し、Adobe Creative Cloud コネクタアプリケーションを選択します。

  2. ユーザーとグループ」をクリックします。。

  3. ユーザーを追加」をクリックして、このコネクタに割り当てるユーザーを選択し、そのユーザーがシングルサインオンでログインできるようにします。

  4. ユーザー」または「グループ」をクリックし、Creative Cloud へのログインを許可するユーザーまたはグループを 1 つ以上選択し、「選択」をクリックしてから「割り当て」をクリックします。

ユーザーアクセスのテスト

独自の ID 管理システムと Adobe Admin Console で定義したユーザーのアクセス権を Adobe Web サイトまたは Creative Cloud Desktop アプリケーションにログインして確認します。

問題が発生する場合は、トラブルシューティングの文書を参照してください。

シングルサインオンの設定でヘルプが必要な場合は、Adobe Admin Consoleサポートの順に移動して、アドビまでお問い合わせください。