概要

Admin Console を使用すると、システム管理者はシングルサインオン(SSO)で Federated ID を使ってログインするためのドメインを構成できます。 ドメインの所有権が DNS トークンを使用して実証されると、そのドメインはユーザーが Creative Cloud にログインできるように構成できます。ユーザーは、ID プロバイダー(IdP)を介してそのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行され、インターネットからアクセス可能なソフトウェアサービスとして、またはサードパーティによってホストされ、SAML プロトコルを使用する安全な通信を介してユーザーのログイン詳細を検証できるクラウドサービスとして、プロビジョニングされます。

そのような IdP の 1 つが Shibboleth です。 Shibboleth を使用するには、インターネットからアクセス可能で、企業ネットワーク内のディレクトリサービスにアクセスできるサーバーが必要です。この文書では、アドビ Admin Console と Shibboleth サーバーで Adobe Creative Cloud アプリケーションに、およびシングルサインオン用の関連 Web サイトにログインできるように設定するプロセスについて説明します。

IdP へのアクセスは、通常、サーバーと内部/外部ネットワーク間の特定の種別の通信のみを許可するように固有のルールが構成されている別個のネットワーク(DMZ または非武装地帯と呼ばれる)を使用して行われます。このサーバー上のオペレーティングシステムの構成とそのようなネットワークのトポロジーは、この文書では扱いません。

必要条件

Shibboleth IDP を使用してシングルサインオン向けにドメインを設定する前に、以下の要件を満たす必要があります。

  • アドビ組織アカウントの承認済みドメイン。Adobe Admin Console 内のドメインのステータスは、「構成が必要」でなければなりません。
  • Shibboleth の最新バージョンがインストールされ構成されている。
  • エンタープライズ版 Creative Cloud アカウントに関連付けられるすべての Active Directory アカウントは、電子メールアドレスが Active Directory 内にリストされている。

注意:

この文書に記載されている Adobe SSO で Shibboleth IDP を設定する手順は、バージョン 3 でテスト済みです。

アドビAdmin Consoleの設定

Admin Console で Shibboleth IdP を構成するには、以下の手順を実行します。

  1. Admin Console で、設定/ID に移動します。

    ID ページには、組織内のドメインが一覧表示されます。

  2. セットアップするドメインの名前をクリックします。

  3. SSO を構成」をクリックします。

    ドメインのセットアップウィザードが開きます。

    ドメインのセットアップ
  4. IdP 証明書をアップロードするには、「アップロード」をクリックし、証明書ファイルに移動します。

    %{idp.home}/credentials/idp-signing.crt

  5. IdP バインディングをリダイレクトに設定します。

  6. ユーザーログイン設定では、電子メールアドレスを選択します。

  7. IDP 発行者」フィールドに以下の URL を入力します。

    https://<claimed domain server name:port>/idp/shibboleth

  8. IDP ログイン URL」フィールドに以下の URL を入力します。

    https://<claimed domain server name:port>/idp/profile/SAML2/Redirect/SSO

  9. 構成の完了」をクリックします。

  10. SAML XML メタデータファイルをダウンロードするには、「メタデータのダウンロード」をクリックします。

    メタデータファイルをダウンロードしたら、正しい情報がアドビに返されるようにファイルをアップデートする必要があります。

    ファイル内の以下の行を置き換えます。

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    変更内容:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  11. ドメインを有効にする」をクリックします。

    これでドメインはアクティブになります。

Shibboleth の構成

Adobe Admin Console から SAML XML メタデータファイルをダウンロードしたら、以下の手順に従って Shibboleth 構成ファイルを更新します。

  1. ダウンロードしたメタデータファイルを以下の場所にコピーし、ファイルの名前を  adobe-sp-metadata.xml に変更します。

    %{idp.home}/metadata/

  2. attribute-filter.xml ファイルを編集します。

    Adobe サービスプロバイダーでは SAML 応答でユーザーの名前および電子メールが必要です。

    次のように、AttributeFilterPolicy ノードを挿入して、%{idp.home}/conf/attribute-filter.xml ファイルを編集して FirstName、LastName、および Email 属性を組み込みます(行 17 ~ 31)。

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
            xmlns="urn:mace:shibboleth:2.0:afp"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
    
        <!-- Release some attributes to an SP. -->
        <AttributeFilterPolicy id="AdobeSP">
            <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" />
    
            <AttributeRule attributeID="FirstName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="LastName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="Email">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
        </AttributeFilterPolicy>
       
    
    </AttributeFilterPolicyGroup>
  3. metadata-providers.xml ファイルを編集します。

    上記の手順 1 で作成した adobe-sp-metadata.xml メタデータファイル(以下、行 29 )の場所で %{idp.home}/conf/metadata-providers.xml を更新します。

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Shibboleth セットアップのトラブルシューティング

adobe.com に正常にログインできない場合は、以下の Shibboleth 構成ファイルをチェックして考えられる問題がないかどうかを確認します。

1. attribute-resolver.xml

Shibboleth の構成時に更新した属性フィルターファイルは、Adobe サービスプロプロバイダーに提供する必要がある属性を定義します。ただし、これらの属性は、所属組織の LDAP / Active Directory に定義されている適切な属性にマッピングする必要があります。

以下の場所にある attribute-resolver.xml ファイルを編集します。

%{idp.home}/conf/attribute-resolver.xml

以下の属性ごとに、所属組織に定義されているソース属性 ID を指定します。

  • FirstName (以下、行 1
  • LastName (以下行 7)
  • Email (以下、行 13
    <resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" />
    </resolver:AttributeDefinition>

2. relying-party.xml

以下の場所にある relying-party.xml をアップデートしてアドビサービスプロバイダーで必要な saml-nameid 形式をサポートします。

%{idp.home}/conf/relying-party.xml

emailAddress を組み込むには、p:nameIDFormatPrecedence attribute (以下、行 7) を更新します。

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

3. saml-nameid.xml

以下の場所にある saml-nameid.xml をアップデートします。

%{idp.home}/conf/saml-nameid.xml

p:attributeSourceIds attribute (以下、行 3) を "#{ {'Email'} }" に更新します。

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

シングルサインオンをテストする

アクティブなディレクトリでテストユーザーを作成し、Admin Console でこのユーザーのエントリを作成してライセンスを割り当ててから、Adobe.com/jp にテストログインして関連ソフトウェアがダウンロードにリストされていることを確認します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー