SSO 証明書の更新

Adobe Admin Console で ID プロバイダー(IdP)の SSO を設定していて、エンドユーザーがアドビのアプリやサービスにログインできない場合は、SAML 証明書の有効期限が切れている可能性があります。

問題

次のいずれかの問題が発生します。

  • エンドユーザーがログアウトされ、Adobe Creative Cloud の web 版、モバイル版、またはデスクトップ版のアプリにログインできません。
  • ログインを試みると、エンドユーザーには次のようなエラーメッセージが表示されます。
    • SAML の証明書の検証に失敗しました。
    • SAML 応答のデジタル署名が ID プロバイダーの証明書で検証されませんでした。
  • 管理者は、ユーザーや製品プロファイルの追加、削除、管理ができません。
  • 管理者は有効期限が近づいている SAML 証明書の更新を検討しています。

原因

SAML 交換では、次の 2 つのエンティティが関係しています。

  • ID プロバイダー(IdP)
    IDP 証明書は、独自の IdP(ADFS、OKTA、Shiboleth)内でお客様によって所有および管理され、Admin Console にアップロードされます。
  • サービスプロバイダー(SP)として機能するアドビ
    アドビエンティティは Admin Console で管理され、お客様の IdP にアップロードされます。

両方のエンティティにはそれぞれの証明書があり、信頼を確立するために使用されます。
Adobe Admin Console で ID プロバイダー(IdP)の SSO を設定していて、エンドユーザーがアドビのアプリやサービスにログインできない場合は、SAML 証明書の有効期限が切れている可能性があります。

Admin Console の通知

アドビでは、アドビが生成した証明書の有効期限が近づいたとき、または有効期限が切れたときに、Admin Console のバナー通知とディレクトリごとのステータスの更新によって、お客様に通知されます。SAML 証明書のステータスを表示するには、設定ID 設定に移動して、「ディレクトリ」タブの「状態」欄を確認します。

解決策

SAML 設定

証明書の有効期限が切れた場合、または有効期限が迫っている場合は、Admin Console からフェデレーションの設定を直接更新できます。SAML 証明書は、SAML 設定と共に更新されます。

注意:

IdP が証明書の有効期限を確認しない場合、アクションは必要ありません。

システム管理者は、次の手順に従って、Admin Console から自己署名証明書を直接更新および管理できます。

  1. Admin Console で、設定/ID/(ディレクトリ名)/認証に移動します。

  2. 編集」をクリックし、「次へ」をクリックします。

  3. 利用可能な証明書とそのステータスを表示します。新しい証明書を生成するか、新しい証明書の署名要求を生成するかを選択できます。

    注意:

    自己署名証明書の方が便利で、セキュリティのベストプラクティスに準拠しています。自己署名証明書では満たすことができない特定の要件が組織にない限り、自己署名証明書を選択することをお勧めします。

  4. 新しい証明書を生成」をクリックします。

    新しい SAML 証明書は、アクティブな SAML 構成用に選択したフェデレーションディレクトリ内に生成されます。

  5. 新しい署名要求を作成します。

    証明書の署名要求を作成」をクリックします。
    表示されるダイアログで、認証局(CA)からの次の詳細情報を入力します。

    1. 認証局からの詳細を入力します。
    2. 新しい署名要求の作成を選択する場合は、SAML 証明書で有効になるように認証局(CA)との処理を完了する必要があります。
    3. 「アクション」に移動し、「完了」をクリックします。
    4. 認証局から証明書ファイルをアップロードし、「完了」をクリックし、さらに「完了」をクリックします。

証明書が正常に作成されると、デフォルトとして設定アクティベートディアクティベートメタデータをダウンロード証明書をダウンロード削除などの追加アクションが使用可能になります。

IdP が複数の証明書をサポートしている場合は、ログインを中断せずに次の手順を実行します。

  1. 古い証明書に加えて新しい証明書を IdP にアップロードします。

  2. Adobe Admin Console で新しい証明書をデフォルトとして設定します。

  3. テストログイン。

  4. IdP 構成から古い証明書を削除します。

  5. 古い証明書を無効化または削除します。

注意:

一度削除したら取り消すことはできないため、無効にしておくことをお勧めします。

IdP が複数の証明書をサポートしていない場合は、更新を実行するためにダウンタイム間隔を選択する必要があります。

  1. 新しい証明書を IdP にアップロードします。

  2. Adobe Admin Console で新しい証明書をデフォルトとして設定します。

  3. テストログイン。

  4. 古い証明書を無効にします。

  5. 問題が発生しない場合は、古い証明書を削除します。

注意:

証明書の削除は取り消すことができないため、しばらく待ってから古い証明書を削除することをお勧めします。

監査ログ

証明書の作成と管理に関連して実行されたアクションは、監査ログで確認できます。

監査ログを表示するには、Admin Console に移動し、インサイト/ログ/監査ログに移動します。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合