概要

システム管理者は、Adobe Admin Console を使用して、シングルサインオン(SSO)用の Federated ID でログインするためのドメインを構成できます。ドメインの検証が完了すると、ユーザーが Creative Cloud にログインできるように、そのドメインを含むディレクトリが構成されます。ユーザーは ID プロバイダー(IdP)を介し、そのドメイン内の電子メールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行されるソフトウェアサービスとしてプロビジョニングされるか、サードパーティによってホストされるクラウドサービスとしてプロビジョニングされます。前者の場合、プロセスにはインターネットからアクセスできます。後者の場合は、SAML プロトコルを使用したセキュアな通信を通じてユーザーログインの詳細を検証することができます。

これに使用できる IdP の 1 つが Shibboleth です。Shibboleth を使用するには、インターネットからアクセス可能で、企業ネットワーク内のディレクトリサービスにアクセスできるサーバーを構成する必要があります。このドキュメントでは、Adobe Creative Cloud アプリケーションおよび関連する Web サイトにシングルサインオンでログインできるように Adobe Admin Console と Shibboleth サーバーを構成するプロセスについて説明します。

IdP へのアクセスを確立するには、通常、特定のルールで構成された専用のネットワークを使用して、特定の種類の通信だけがサーバーと内部/外部ネットワーク間で許可されるようにします。このようなネットワークは DMZ(非武装地帯)と呼ばれます。このサーバーでのオペレーティングシステムの構成や DMZ ネットワークのトポロジーについては、このドキュメントの対象範囲外です。

前提条件

Shibboleth を IdP とするシングルサインオンのドメインを構成するには、次の前提条件を満たす必要があります。

  • Shibboleth の最新バージョンがインストールされ、構成されている。
  • Creative Cloud エンタープライズ版のアカウントと関連付けるすべての Active Directory アカウントのメールアドレスが Active Directory 内に登録されている。

注意:

このドキュメントで説明している手順(Adobe SSO 用に Shibboleth IDP を構成する手順)は、バージョン 3 を使用してテストされています。

Shibboleth を使用したシングルサインオンの設定

ドメインにシングルサインオンを設定するには、次の操作をおこないます。

  1. Admin Console にログインします。まず Federated ID ディレクトリを作成し、ID プロバイダーとして他の SAML プロバイダーを選択します。SAML プロファイルを追加画面で、ACS の URLエンティティ ID の値をコピーします。
  2. ACS の URLエンティティ ID を指定して Shibboleth を設定し、Shibboleth メタデータファイルをダウンロードします。
  3. Adobe Admin Console に戻り、SAML プロファイルを追加画面で Shibboleth メタデータファイルをアップロードして「完了」をクリックします。

Shibboleth の構成

Adobe Admin Console から SAML XML メタデータファイルをダウンロードしたら、次の手順に従って、Shibboleth 構成ファイルを更新します。

  1. ダウンロードされたメタデータファイルを次の場所にコピーし、ファイル名を adobe-sp-metadata.xml に変更します。

    %{idp.home}/metadata/

  2. 正しい情報がアドビに送信されるようにファイルを更新します。

    ファイル内の以下の行を置き換えます。

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    置換後の文字列:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    さらに、以下の行を置き換えます。

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    置換後の文字列:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. attribute-filter.xml ファイルを編集します。

    アドビサービスプロバイダーは、SAML 応答でユーザーのおよび電子メールを必要とします。

    次のように%{idp.home}/conf/attribute-filter.xml ファイルを編集して AttributeFilterPolicy ノードを挿入し、FirstName、LastName および Email の各属性を組み込みます(行 17 ~ 31)。

    <?xml version="1.0" encoding="UTF-8"?> <!-- This file is an EXAMPLE policy file. While the policy presented in this example file is illustrative of some simple cases, it relies on the names of non-existent example services and the example attributes demonstrated in the default attribute-resolver.xml file. Deployers should refer to the documentation for a complete list of components and their options. --> <AttributeFilterPolicyGroup> <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" /> <AttributeRule attributeID="NameID"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="FirstName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="LastName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="Email"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy> </AttributeFilterPolicyGroup>
  4. metadata-providers.xml ファイルを編集します。

    上記の手順 1 で作成した adobe-sp-metadata.xml メタデータファイル(下の 29 行目)の場所で %{idp.home}/conf/metadata-providers.xml を更新します。

        <!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Example file metadata provider. Use this if you want to load metadata from a local file. You might use this if you have some local SPs which are not "federated" but you wish to offer a service to. If you do not provide a SignatureValidation filter, then you have the responsibility to ensure that the contents are trustworthy. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Shibboleth 設定のトラブルシューティング

adobe. com に正常にログインできない場合は、次の Shibboleth 構成ファイルに問題がないか確認してください。

1. attribute-resolver.xml

Shibboleth の構成時に更新した属性フィルターファイルは、アドビサービスプロバイダーに提供する必要がある属性を定義したものです。ただし、これらの属性は、組織の LDAP / Active Directory で定義された適切な属性にマッピングする必要があります。

次の場所にある attribute-resolver.xml ファイルを編集します。

%{idp.home}/conf/attribute-resolver.xml

次の各属性について、組織で定義されたにソース属性 ID を指定します。

  • FirstName(下の 1 行目
  • LastName(下の 7 行目)
  • Email(下の 13 行目
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

次の場所にある relying-party.xml を更新して、アドビサービスプロバイダーが要求する saml-nameid 形式をサポートします。

%{idp.home}/conf/relying-party.xml

emailAddress を組み込むには、p:nameIDFormatPrecedence 属性(下の 7 行目)を更新します

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>

また、アサーションの暗号化をオフにするには、DefaultRelyingParty セクションで SAML2 タイプを次のように置き換えます。

置き換える文字列:

encryptAssertions="conditional"

置換後の文字列:

encryptAssertions=”never"

3. saml-nameid.xml

次の場所にある saml-nameid.xml を更新します。

%{idp.home}/conf/saml-nameid.xml

p:attributeSourceIds 属性(下の 3 行目)を "#{ {'Email'} }" に更新します。

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />

Adobe Admin Console への IdP メタデータのアップロード

Shibboleth メタデータファイルを更新するには:

  1. Adobe Admin Console に戻ります。

  2. SAML プロファイルを追加画面で Shibboleth メタデータファイルをアップロードします。

    Shibboleth の設定後、メタデータファイル(idp-metadata.xml)が Shibboleth サーバーの次の場所に作成されます。

    <shibboleth>/metadata

  3. 終了」をクリックします。

詳しくは、Admin Console でディレクトリの作成方法を参照してください。

シングルサインオンのテスト

独自の ID 管理システムと Adobe Admin Console で定義したユーザーのアクセス権を Adobe web サイトまたは Creative Cloud Desktop アプリケーションにログインして確認します。

問題が発生する場合は、トラブルシューティングに関するドキュメントを参照してください。

シングルサインオンの設定に関してさらにサポートが必要な場合は、Adobe Admin Console の「サポート」に移動し、チケットを開いてください。