Federated ID(SSO)のログインに関するエラーの解決方法

  1. アドビエンタープライズ版とグループ版:管理ガイド
  2. デプロイメントの計画
    1. 基本概念
      1. ライセンス
      2. ID
      3. ユーザー管理
      4. アプリのデプロイメント
      5. Admin Console の概要
      6. 管理ロール
    2. デプロイメントガイド
      1. ユーザー指定デプロイメントガイド
      2. SDL デプロイメントガイド
      3. Adobe Acrobat のデプロイ 
    3. Creative Cloud 教育機関向けのデプロイ
      1. デプロイメントホーム
      2. K-12 オンボーディングウィザード
      3. 簡単な設定
      4. ユーザーの同期
      5. Roster Sync K-12(米国)
      6. 主要なライセンスの概念
      7. デプロイオプション
      8. 簡単なヒント
      9. Google 管理コンソールでアドビアプリを承認
      10. Google Classroom で Adobe Express を有効にする
      11. Canvas LMS との連携
      12. Blackboard Learn との連携
      13. 地域ポータルと LMS 用の SSO の構成
      14. Roster Sync を使用したユーザーの追加
      15. Kivuto のよくある質問
      16. 初等および中等教育機関の購入資格のガイドライン
  3. 組織の設定
    1. ID タイプ | 概要
    2. ID の設定 | 概要
    3. Enterprise ID を使用した組織の設定
    4. Azure AD フェデレーションと同期の設定
      1. Azure OIDC を介した Microsoft との SSO の設定
      2. Azure Sync のディレクトリへの追加
      3. 教育機関向けのロールの同期
      4. Azure Connector の FAQ
    5. Google Federation と Google Sync の設定
      1. Google Federation を使用した SSO の設定
      2. ディレクトリへの Google Sync の追加
      3. Google Federation の FAQ
    6. Microsoft ADFS を使用した組織の設定
    7. 組織の教育委員会ポータルと LMS の設定
    8. 他の ID プロバイダーを使用した組織の設定
      1. ディレクトリの作成
      2. ドメインの所有権の確認
      3. ディレクトリへのドメインの追加
    9. SSO に関するよくある質問とトラブルシューティング
      1. SSO のよくある質問
      2. SSO のトラブルシューティング
      3. 教育機関に関するよくある質問
  4. 組織の設定の管理
    1. 既存のドメインとディレクトリの管理
    2. アカウントの自動作成の有効化
    3. ディレクトリの信頼を介した組織の設定
    4. 新しい認証プロバイダーへの移行 
    5. アセットの設定
    6. 認証の設定
    7. プライバシーとセキュリティの担当者
    8. Console の設定
    9. 暗号化の管理  
  5. ユーザーの管理
    1. 概要
    2. 管理の役割
    3. ユーザー管理戦略
      1. ユーザーの個別管理   
      2. 複数のユーザーの管理(一括 CSV)
      3. ユーザー同期ツール(UST)
      4. Microsoft Azure Sync
      5. Google Federation Sync
    4. グループ版ユーザーへのライセンスの割り当て
    5. グループ向けアプリ内ユーザー管理
      1. Adobe Express でのグループの管理
      2. Adobe Acrobat でのグループの管理
    6. 一致するメールドメインを持つユーザーの追加
    7. ユーザーの ID タイプの変更
    8. ユーザーグループの管理
    9. ディレクトリユーザーの管理
    10. 開発者の管理
    11. Adobe Admin Console への既存のユーザーの移行
    12. Adobe Admin Console へのユーザー管理の移行
  6. 製品および使用権限の管理
    1. 製品および製品プロファイルの管理
      1. 製品の管理
      2. 製品とライセンスの購入
      3. エンタープライズユーザーの製品プロファイルの管理
      4. 自動割り当てルールの管理
      5. ユーザーに Firefly カスタムモデルのトレーニングの権限を付与
      6. 製品リクエストのレビュー
      7. セルフサービスポリシーの管理
      8. アプリ統合を管理
      9. Admin Console での製品権限の管理  
      10. 製品プロファイルのサービスの有効化/無効化
      11. 単体プラン | Creative Cloud エンタープライズ版
      12. オプションのサービス
    2. 共有デバイスライセンスの管理
      1. 新機能
      2. デプロイメントガイド
      3. パッケージの作成
      4. ライセンスの復元
      5. プロファイルの管理
      6. Licensing Toolkit
      7. 共有デバイスライセンスに関する FAQ
  7. Global Admin Console の使用を開始
    1. グローバル管理の導入
    2. 組織を選択
    3. 組織階層の管理
    4. 製品プロファイルの管理
    5. 管理者の管理
    6. ユーザーグループの管理
    7. 組織ポリシーの更新
    8. ポリシーテンプレートの管理
    9. 子組織への製品の割り当て
    10. 保留中のジョブの実行
    11. インサイトの探究
    12. 組織構造の読み込みまたは書き出し
  8. ストレージとアセットの管理
    1. ストレージ
      1. エンタープライズストレージの管理
      2. Adobe Creative Cloud:ストレージ機能の更新について
      3. アドビストレージの管理
    2. アセットの移行
      1. アセットの自動移行
      2. アセットの自動移行に関する FAQ  
      3. 転送されたアセットの管理
    3. ユーザーのアセットの再利用
    4. 学生アセットの移行 | 教育機関のみ
      1. 学生アセットの自動移行
      2. アセットの移行
  9. Managed Services
    1. Adobe Stock
      1. Adobe Stock クレジットパックグループ版
      2. Adobe Stock エンタープライズ版
      3. Adobe Stock エンタープライズ版の使用
      4. Adobe Stock ライセンス承認
    2. カスタムフォント
    3. Adobe Asset Link
      1. 概要
      2. ユーザーグループの作成
      3. Adobe Experience Manager アセットの構成
      4. Adobe Asset Link の構成とインストール
      5. アセットの管理
      6. XD 用 Adobe Asset Link
    4. Adobe Acrobat Sign
      1. Adobe Acrobat Sign エンタープライズ版またはグループ版の設定
      2. Adobe Acrobat Sign - グループ版機能管理者
      3. Admin Console での Adobe Acrobat Sign の管理
    5. Creative Cloud エンタープライズ版 – 無料メンバーシップ
      1. 概要
  10. アプリおよびアップデートのデプロイ
    1. 概要
      1. アプリとアップデートのデプロイと提供
      2. デプロイするプラン
      3. デプロイメントの準備
    2. パッケージの作成
      1. Admin Console でのアプリのパッケージ化
      2. ユーザー指定ライセンスパッケージの作成
      3. 生成済みのパッケージの管理
        1. アドビテンプレートの管理
        2. 単体プランパッケージの管理
      4. パッケージの管理
      5. デバイスライセンスの管理
      6. シリアル番号ライセンス
    3. パッケージのカスタマイズ
      1. Creative Cloud デスクトップアプリのカスタマイズ
      2. パッケージへのエクステンションの格納
    4. パッケージのデプロイ 
      1. パッケージのデプロイ
      2. Microsoft Intune を使用したアドビパッケージのデプロイ
      3. SCCM によるアドビパッケージのデプロイ
      4. ARD によるアドビパッケージのデプロイ
      5. Exceptions フォルダーの製品をインストール
      6. Creative Cloud 製品のアンインストール
      7. Adobe Provisioning Toolkit Enterprise Edition の使用
    5. アップデートの管理
      1. Adobe のエンタープライズ版およびグループ版のお客様向け変更の管理
      2. アップデートのデプロイ
    6. Adobe Update Server Setup Tool(AUSST)
      1. AUSST の概要
      2. 内部アップデートサーバーのセットアップ
      3. 内部アップデートサーバーのメンテナンス
      4. AUSST の一般的な使用例   
      5. 内部アップデートサーバーのトラブルシューティング
    7. Adobe Remote Update Manager(RUM)
      1. リリースノート
      2. Adobe Remote Update Manager の使用
    8. トラブルシューティング
      1. Creative Cloud アプリのインストールとアンイストールのエラーのトラブルシューティング
      2. クライアントコンピューターでのパッケージのデプロイ結果の確認
  11. グループ版アカウントの管理
    1. 概要
    2. 支払詳細を更新
    3. 請求書と領収書の管理
    4. 契約所有者の変更
    5. プランの変更
    6. 販売店の変更
    7. プランの解約
    8. 購入リクエストコンプライアンス
  12. 更新
    1. グループ版メンバーシップ:更新
    2. VIP エンタープライズ版:更新とコンプライアンス
  13. 契約の管理
    1. ETLA 契約の自動期限切れステージ
    2. 既存の Adobe Admin Console 内での契約タイプの切り替え
    3. 中国における Value Incentive Plan(VIP)
    4. VIP Select のヘルプ
  14. レポートとログ
    1. 監査ログ
    2. 割り当てレポート
    3. コンテンツログ
  15. ヘルプを表示
    1. アドビカスタマーサポートへのお問い合わせ
    2. グループ版アカウントのサポートオプション
    3. エンタープライズ版アカウントのサポートオプション
    4. Experience Cloud のサポートオプション

アドビ製品の Federated ID(SSO)に関連する一般的な認証エラーの解決、設定の確認、ログインの問題のトラブルシューティングを行います。SAML エラー、証明書の問題、およびその他の認証の問題を解決するためのヒントを得ます。

注意:

組織で Google フェデレーションまたは Microsoft Azure Sync を利用して SSO を設定している場合は、次の記事を参照してください。

概要

Adobe Admin Console 内で SSO を正常に構成した後、「アドビメタデータファイルのダウンロード」を選択して、SAML XML メタデータファイルをコンピューターに保存します。このファイルは、ID プロバイダーがシングルサインオンを有効にするために必要です。XML 設定の詳細を ID プロバイダー(IdP)に適切に読み込みます。このことは、SAML と IdP の統合に必要であり、データが正しく設定されていることが確認されます。

SAML XML メタデータファイルを使用して IdP を構成する方法は、IdP によって異なります。ご質問がある場合は、お使いの IdP に直接お問い合わせください。

アドビメタデータファイルをダウンロードする

基本的なトラブルシューティング

シングルサインオンの問題は、多くの場合、見落としがちな基本的なエラーが原因です。特に、以下を確認してください。

  • ユーザーに、資格のある製品プロファイルが割り当てられている。
  • SAML に送信されるユーザー名が、エンタープライズダッシュボードのユーザー名と一致する。
  • Admin Console と ID プロバイダーで、すべてのエントリにスペルや構文のエラーがない。
  • Creative Cloud デスクトップアプリが最新バージョンに更新されている。
  • ユーザーは正しい場所にログインしている(Creative Cloud デスクトップアプリ、Creative Cloud アプリケーション、または Adobe.com)。

その他の一般的なエラーの解決策

エラー:「エラーが発生しました」および「再試行」ボタンが表示される

このエラーは通常、ユーザー認証が成功し、Okta が認証応答をアドビに正常に転送した後に発生します。

Adobe Admin Console で以下を確認します。

「ID」タブでの作業:

  • 関連するドメインが有効であることを確認します。

「製品」タブの作業:

  • ユーザーが正しい製品ニックネームに関連付けられ、Federated ID として設定されているとクレームするドメインに存在することを確認します。
  • 製品のニックネームに正しい使用権限が割り当てられていることを確認します。

「ユーザー」タブでの作業:

  • ユーザーのユーザー名が完全なメールアドレスの形式であることを確認します。

エラー:ログイン時に「アクセスが拒否されました」

このエラーの原因として以下が考えられます。

  • SAML アサーションで送信されるユーザー名またはメールアドレスが、Admin Console に入力された情報と一致しない。
  • ユーザーが正しい製品に関連付けられていない、または製品が適切な資格に関連付けられていない。
  • SAML ユーザー名が、メールアドレス以外のものとして認識されている。すべてのユーザーは、セットアッププロセスの一部でクレームしたドメインに属している必要があります。
  • SSO クライアントがログイン処理の一部で JavaScript を利用して、JavaScript をサポートしていないクライアントにログインしようとしている。

解決方法:

  • Adobe Admin Console でユーザー名とメールを確認し、その値を SAML ログの NameID および Email 属性と照合します。
  • ユーザーのダッシュボード構成(ユーザー情報と製品プロファイル)を確認します。
  • SAML トレースを実行して、送信される情報がダッシュボードと一致することを確認し、不一致がある場合は修正します。

エラー:「別のユーザーが現在ログインしています」

「別のユーザーが現在ログインしています」というエラーは、SAML アサーションで送信された属性が、ログインプロセスの開始に使用されたメールアドレスと一致しない場合に発生します。

SAML トレースを実行してログインするユーザーのメールアドレスが以下と一致することを確認してください。

  • Admin Console に表示されているユーザーのメールアドレス
  • SAML アサーションの「NameID」フィールドに返されるユーザーのユーザー名

エラー:「SAML 応答の発行者が ID プロバイダー用に設定された発行者と一致しませんでした」

SAML アサーションの IDP 発行者が、受信 SAML で設定されている発行者と異なります。タイプミス(http と https など)がないか確認してください。IDP 発行者の文字列とお客様の SAML システムを照合する場合は、提供された文字列と完全一致で確認してください。この問題は、最後にスラッシュがないために発生することがあります。

このエラーについてサポートが必要な場合は、アドビダッシュボードに入力した SAML トレースと値を入力してください。

エラー:「SAML 応答のデジタル署名が ID プロバイダーの証明書で検証されませんでした」

この問題は、ディレクトリの証明書が有効期限切れである場合に発生します。証明書を更新するには、ID プロバイダーから証明書またはメタデータをダウンロードし、Adobe Admin Console にアップロードする必要があります。

例えば、IdP が Microsoft AD FS の場合は、次の手順に従います。

  1. サーバー上で AD FS 管理アプリケーションを開き、AD FS/サービス/エンドピントフォルダー内で、フェデレーションメタデータを選択します。

  2. ブラウザーを使用して、フェデレーションメタデータに対して提供された URL に移動し、ファイルをダウンロードします。ファイルは例えば、https://<お使いの AD FS ホスト名>/FederationMetadata/2007-06/FederationMetadata.xml のような形式です。

    注意:

    プロンプトが表示されたら、警告に同意します。

  3. Admin Console「設定」タブで、ID 設定ディレクトリに移動します。更新するディレクトリを選択して、SAML プロバイダーカードの「設定」をクリックします。

    次に、IdP メタデータファイルをアップロードし、「保存」を選択します。

エラー:「現在の時刻がアサーション条件で指定された時間範囲よりも前です」

Windows ベースの IdP サーバーの場合:

1. システムクロックが正確なタイムサーバーと同期していることを確認します。

このコマンドを使用して、タイムサーバーに対して精度システムクロックを確認します。「位相オフセット」の値は、一瞬である必要があります。

w32tm /query /status /verbose

次のコマンドを使用して、タイムサーバーとシステムクロックを即座に再同期させることができます。

w32tm /resync

システムクロックが正しく設定されていても上記のエラーが表示される場合は、タイムスキュー設定を調整して、サーバーとクライアント間のクロックの許容差を広げる必要がある場合があります。

2. サーバー間のシステムクロックの許容差を大きくします.

管理者権限を持つ Powershell ウィンドウで、許容されるスキュー値を 2 分に設定します。ログインできるかどうかを確認し、結果に応じて値を増減します。

関連する証明書利用者信頼の現在のタイムスキュー設定を取得するには、次のコマンドを使用します。

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

証明書利用者信頼は、その特定の設定に対して上記のコマンドを実行した場合に、出力の「Identifier」フィールドに表示される URL によって特定されます。この URL は、下のスクリーンショットに示すように、ADFS 管理ユーティリティの「ID」タブの「証明書利用者信頼」フィールドにある関連する証明書利用者信頼のプロパティウィンドウにも表示されます。

次のコマンドを使用してタイムスキューを 2 分に設定し、それに応じて ID アドレスを置き換えます。

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

UNIX ベースの IdP サーバー:

システムクロックが正しく設定されていることを確認するには、ntpd サービスを使用するか、root シェルから手動で ntpdate コマンドを使用するか、または以下のように sudo を使用します(時刻が 0.5 秒以上ずれている場合は、すぐには変更されませんが、徐々にシステムクロックが修正されます)。タイムゾーンが正しく設定されていることも確認してください。

# ntpdate -u pool.ntp.org

注意:

これは、Shibboleth. などの ID プロバイダーで機能します。

エラー:「401 不正な資格情報」

このエラーは、アプリケーションがフェデレーションログインをサポートしておらず、Adobe ID としてログインする必要がある場合に発生します。例えば、FrameMaker、RoboHelp、および Adobe Captivate などのアプリケーションではその必要があります。

エラー:「受信 SAML ログインが次のメッセージと共に失敗しました:SAML 応答にアサーションが含まれていませんでした」

ログインワークフローを確認してください。別のコンピューターまたはネットワークのログインページにアクセスできるが、内部にアクセスできない場合、ブロックエージェント文字列が問題である可能性があります。また、SAML トレースを実行し、SAML の Subject に First Name、Last Name、および適切な形式のメールアドレスが設定されたユーザー名が含まれていることを確認します。

エラー:「400 Bad Request」、「不正なステータスの SAML リクエストが実行されました」、または「SAML の証明書の検証に失敗しました」

以下を実行して、適切な SAML アサーションが送信されていることを確認します。

  • Subject に NameID 要素が指定されてないことが考えられます。Subject 要素に NameId 要素が含まれていることを確認してください。これは、Email 属性(認証するユーザーのメールアドレス)と同じである必要があります。
  • スペルエラー、特に簡単に見落とされやすい https の http などの間違いが原因であることが考えられます。
  • 提供されている証明書が正しいことを確認してください。IDP は、非圧縮の SAML 要求/応答を使用するように設定する必要があります。

SAML Tracer Firefox 版などのユーティリティを使用すると、アサーションを展開し、表示して検査することができます。アドビカスタマーケアによるサポートが必要な場合は、このファイルを入力してください。詳しくは、「SAML Trace の実行方法」を参照してください。

次の作業例は、SAML アサーションを適切にフォーマットするのに役立つ場合があります。

ダウンロード

Microsoft ADFS:

  1. すべての Active Directory アカウントでは、正常にログインするために Active Directory にリストされているメールアドレスが必要です(イベントログ:SAML 応答のアサーションに NameId がありません)。最初にこのことを確認してください。
  2. ダッシュボードにアクセスします。
  3. 「ID」タブとドメインをクリックします。
  4. 「設定を編集」をクリックします。
  5. IDP バインディングを見つけます。「HTTP-POST」に切り替えて保存します。 
  6. ログインエクスペリエンスを再テストします。
  7. 機能するが、以前の設定の方が望ましい場合は、「HTTP-REDIRECT」に切り替え、メタデータを ADFS に再度アップロードするだけで元に戻すことができます。

その他の IdP:

  1. エラー 400 が発生した場合は、ログインが IdP によって拒否されたことを意味します。
  2. エラーの原因については、IdP ログを確認してください。
  3. 問題を修正して、再試行してください。

エラー:「403 malfunctioned certificate」

エラー:「403 app_not_configured_for_user」

Google Console で Entity ID を更新します。次に、メタデータファイルを書き出し、Adobe Admin Console にアップロードします。

エラー:「現在アクセスできません」または「こちらからはアクセスできません」

このエラーは通常、組織が IdP で条件付きのアクセスポリシーを有効にしている場合に発生します。

マネージドパッケージを使用して製品をデプロイする場合は、ブラウザーベースの認証オプションを選択して、Adobe Admin Console からマネージドパッケージを作成します。次に、マネージドパッケージをユーザーのデバイスにデプロイします。

他の方法として、ユーザーは Creative Cloud デスクトップアプリケーションを開き、ヘルプメニューから「ブラウザーを使用してログイン」を選択できます。

エラー:「アプリが割り当てられていません」

この場合、管理者は IdP で作成された Adobe SAML アプリにユーザーを追加する必要があります。Google Admin Console または Microsoft Azure Portal で Adobe SAML アプリを作成する方法について説明します。

エラー:「このサービスに対するアクセス権がありません。アクセスするには、IT 管理者に問い合わせるか、Adobe ID でログインしてください。」

SAML アサーションで送信されるユーザー名またはメールアドレスが、Admin Console に入力された情報と一致しない場合は、SAML ログを確認します。

ヘルプをすばやく簡単に入手

新規ユーザーの場合

Adobe MAX 2025

Adobe MAX Japan
クリエイターの祭典

2025 年 2 月 13 日
東京ビッグサイト