非推奨の SAML セットアップの更新

アドビは、2020 年 10 月 31 日をもって、Adobe Admin Console 内のフェデレーションディレクトリに対する非推奨の SAML 設定および SHA-256 パイロット証明書のサポートを終了します。

警告:
  • 構成に Microsoft Azure のオプションを選択した場合、現時点では、ID プロバイダーのみが設定され、ディレクトリ同期サービスは含まれません。既存のディレクトリに同期サービスを設定するには、すべてのディレクトリユーザーを削除することで、製品、サービス、およびストレージへのアクセスを完全に削除する必要があります。組織に既存のフェデレーションディレクトリがある場合は、将来のリリースで、ディレクトリユーザーを完全に削除する必要なしに同期を既存のディレクトリに追加できるようになるまで待って、Azure AD コネクタを採用することをお勧めします。
  • SAML を変更する場合は、変更をおこなう前に、Admin Console または関係するコンソールからユーザーリストを書き出すことを強くお勧めします。このリストは、ロールバックを実行する必要がある場合に備えて、名前、メールアドレス、割り当てられた製品プロファイル、割り当てられた管理者ロールなど、すべてのユーザーデータのスナップショットを提供します。
  • SAML の更新プロセスと同時に、ドメイン統合の実施を計画することができます。信頼関係を含むドメインを移行するには、特定の手順に従う必要があります。トラスティ組織でユーザーアカウントや製品アクセスが失われるのを防ぐため、信頼されたドメインの移行時に信頼関係を取り消さないでください。

Adobe Admin Console には、組織がフェデレーション設定をシームレスに更新できるセルフサービス機能が用意されています。このアップデートはダウンタイムが不要です。また、統合前にセットアップをテストできます。

このアップデートは業界標準に準拠するもので、ディレクトリの認証プロファイルをアドビとより安全かつ直接的に統合します。このソリューションにより、同じディレクトリを引き続き利用できるだけでなく、Azure、Google、または他の SAML 2.0 プロバイダーなどの ID プロバイダーと直接統合できます。

アクセス要件

非推奨の SAML セットアップを更新するには、以下の要件を満たしている必要があります。

  • システム管理者の資格情報を使用して、組織の Adobe Admin Console にアクセスできる
  • Admin Console でフェデレーション用に構成された既存のディレクトリで、更新が必要な項目が、組織の Admin Console の「設定」セクションに警告アイコンで示される
  • 組織の ID プロバイダーを構成するためのアクセス権がある(Microsoft Azure Portal、Google Admin Console など)

実装時に考慮すべきその他の事項については、実装に関する考慮事項を参照してください。

移行手順

アクセス要件および実装に関する考慮事項に適合していることを確認した後、次の手順に従って認証プロファイルを編集し、ディレクトリを移行します。

  1. Adobe Admin Console で、設定ディレクトリに移動します。

  2. 目的のディレクトリで「編集」アクションを選択します。次に、Details ディレクトリで「新しい IdP を追加」を選択します。

  3. ID プロバイダーを選択して、新しい認証プロファイルを設定します。お客様の組織がユーザーの認証に使用している ID プロバイダー(IdP)を選択します。「次へ」をクリックします。

  4. 選択した ID プロバイダーに応じて、次のいずれかの手順に従います。

    • Azure の場合:
      Microsoft Azure Active Directory のグローバル管理者の資格情報を使用して、Azure にログインし、権限プロンプトに同意します。Admin Console のディレクトリの詳細に戻ります。

      注意:
      • Microsoft グローバル管理者のログインは、組織の Azure ポータルでアプリケーションを作成する場合にのみ必要です。グローバル管理者のログイン情報は保存されず、アプリケーションを作成するためのワンタイム権限についてのみ使用されます。

      • 上記の手順 3 で ID プロバイダーを選択する場合、Microsoft Azure オプションは、Adobe Admin Console の ユーザー名フィールドが Azure の UPN フィールドと一致しない場合は使用しないでください。既存のディレクトリがユーザーログイン設定としてユーザー名を渡すように設定されている場合は、「他の SAML プロバイダー」オプションの下で新しい IdP を確立する必要があります。ログイン設定は、「ユーザーログイン設定」の下の現在のディレクトリで「編集」オプションを選択して確認できます。

      • 手順 3 で Microsoft Azure のオプションを選択した場合、現時点では、ID プロバイダーのみが設定され、ディレクトリ同期サービスは含まれません。

    • Google の場合:

      1. SAML 設定の編集画面から、ACS URLエンティティ ID をコピーします。
      2. 別のウィンドウで、Google 管理者資格情報を使用して Google Admin Console にログインし、アプリSAML アプリに移動します。
      3. +」記号を使用して新しいアプリケーションを追加し、Adobe アプリケーションを選択します。次に、「オプション 2」で IDP メタデータをダウンロードし、Adobe Admin Console の「SAML 設定の編集」にアップロードします。その後、「保存」をクリックします。
      4. Adobe の基本情報を確認します。前にコピーした ACS URLエンティティ ID を「サービスプロバイダーの詳細」に入力して終了します。ユーザープロビジョニングは設定不要です。既存のディレクトリでは、現在サポートされていないためです。
      5. 最後に、アプリSAML アプリ/Adobe の設定/サービスの状況に移動します。「サービスの状況」を「すべてのユーザーに対してオン」に設定し、「保存」を選択します。
      サービスの状況

    • 他の SAML プロバイダーの場合:

      1. 別のウィンドウで ID プロバイダーのアプリケーションにログインし、新しい SAML アプリを作成します(既存の SAML アプリを編集して、移行のダウンタイムを避けることはできません)。
      2. ID プロバイダーの設定に基づいて、Adobe Admin Console から ID プロバイダーの設定にメタデータファイルをコピーするか、ACS URLエンティティ ID をコピーします。
      3. ID プロバイダーの設定から Adobe Admin Console にメタデータファイルをアップロードします。その後、「保存」をクリックします。
  5. Adobe Admin Console のディレクトリの詳細に、新しい認証プロファイルが作成されます。テスト機能を使用して、すべてのユーザーがアプリにアクセスできるように、設定が正しく指定されているかどうかを確認します。

    テスト機能が検証するのは SSO 構成のみであることに注意してください。成功したテストページに表示されるユーザー名の形式が、テストを実行したユーザーの Adobe Admin Console のユーザー名と一致していることを確認してください。

  6. アクティベート」をクリックして、新しい認証プロファイルに移行します。完了すると、新しいプロファイルに「In use」(使用中)と表示されます。

    ライセンス認証を行う前に、Adobe Admin Console のディレクトリユーザーセクションを使用して、ID プロバイダーのユーザー名が Adobe Admin Console のユーザー名と一致することを確認します。

    SAML の場合、新しい設定にあるアサーションの「Subject(サブジェクト)」フィールドの値が、Admin Console の既存のユーザーに付与されたユーザー名の形式と一致することを確認します。

    警告:

    新しい IdP 構成がアクティブになると、Okta SHA-1 プロファイルが非アクティブになり、7 日間利用可能になります。7 日が経過すると、非アクティブなプロファイルカードは、Admin Console から自動的に削除されます。削除された Okta プロファイルは、Adobe Engineering でサポートリクエストを送信することによってのみ復元できます。

ディレクトリ設定を更新した後は、ドメインの移行を使用して、他の SHA-1 ディレクトリから新しいディレクトリにドメインを移動できます。信頼関係を含むドメインを移行するには、特定の手順に従う必要があります。トラスティ組織でユーザーアカウントや製品アクセスが失われるのを防ぐため、信頼されたドメインの移行時に信頼関係を取り消さないでください。

注意:

移行されたドメインのユーザーは、新しいターゲットディレクトリで作業するように設定された ID プロバイダーに属している必要があります。

制限事項と、設定時に発生しうるエラーを回避する方法について詳しくは、「よくある質問:新しい認証プロバイダーへのディレクトリの移行」を参照してください。