InCommon Federation では、学術コミュニティに Federated ID を提供します。InCommon Federation のメンバーである教育機関の ID 管理者は、InCommon Federated ID を使用してアドビアプリケーションにアクセスするためのログインを許可するようエンタープライズを構成できます。

Federated ID を使用してサインインすると、ユーザーの ID プロバイダー(IdP)はユーザーの ID を認証し、アドビは認証済みのユーザーに対してサービスへの認証を付与します。認証を提供するために、アドビは InCommon Federated ID に対応する内部 Adobe ID を作成します。

それぞれの IdP によって情報を格納する方法は異なります。つまり、IdP が使う特定のフィールドと、対応する Adobe ID に必要なフィールドとの間にマッピングを作成する必要があります。マッピングは双方向となる必要があります。アドビ組織を IdP の連絡先とマッピング情報で構成する必要があり、IdP をアドビ組織の連絡先とマッピング情報で構成する必要があります。

前提条件

構成手順を完了するには、アドビ組織アカウントと IdP アカウントの両方に対して適切なアクセス権を持つ ID 管理者である必要があります。以下のものが必要です。

  • 利用可能な SAML 2.0 準拠 IdP。InCommon Federation メンバーは通常、Shibboleth 2.x または 3.x を IdP として使用しますが、必須ではありません。
  • Adobe Admin Console と InCommon Federation Manager の両方に対する管理アクセス。
  • IdP メタデータに対する管理アクセス。
  • アドビ組織アカウントでの承認されたドメインのクレーム。

アドビおよび InCommon Federated ID との間のマッピング

お客様の組織が InCommon Federated ID によってアドビアプリケーションへの SSO アクセスを許可するには、次の 2 つを実行する必要があります。

  • Adobe Admin Console を使用して、InCommon Federation ID の認証に使う IdP のセキュリティ情報をお客様の組織に構成します。
  • InCommon Federation Manager を使用して、アドビの接続にサービスプロバイダーエントリを構成します。

Adobe Admin Console での IdP 情報の構成

ドメイン用のシングルサインオンの構成をおこなうには、Adobe Admin Console のドメインの設定ウィザードを使用して必要な情報を入力します。

ドメインの設定

これらのフィールドに記入すると、アドビはサービスプロバイダーに接続でき、ユーザーは各自の InCommon Federated ID でログインできるようになります。

  • IDP 証明書:IdP メタデータの PEM 形式の証明書。ファイルの拡張子は .crt
  • IDP バインディング:HTTP-POST または HTTP-REDIRECT。
  • ユーザーログイン設定:ユーザーがログイン時に電子メールアドレスまたは簡単なユーザー名のどちらを使用するかを選択します。
  • IDP 発行者:IdP のエンティティ ID。
  • IDP ログイン URL:SAML ログインエンドポイント。指定したバインディングで必要なもの。

新しいサービスプロバイダーのメタデータファイルにアクセスするには、「メタデータをダウンロード」をクリックします。このファイルを使用して、ID プロバイダーとの SAML 統合を構成します。ID プロバイダーは、シングルサインオンを有効にするためにこのファイルが必要です。

IdP のアドビサービスプロバイダーエントリの設定

アドビへの接続には、InCommon Federation Manager でカスタムサービスプロバイダーが必要です。サービスプロバイダーエントリは、Adobe Federated ID 形式と IdP が使用する InCommon Federated ID 形式との間の ID 情報をマッピングします。アドビの値は、Admin Console からダウンロードしたサービスプロバイダーのメタデータファイルにあります。

サービスプロバイダーエントリを作成するには、次の手順を実行します。

  1. InCommon Federation Manager UI で、「新しいサービスプロバイダー」を選択します。

  2. アドビのメタデータの「entityID」フィールドからエンティティ ID を入力します。

    new
  3. ユーザーインターフェイス要素とリクエストされた属性」で、「SP 表示名」を簡単に認識できる名前に設定します。

    v2_SP_display_name

    リクエストされた属性を入力するには、下記の説明にあるように、アドビが必要とするカスタム属性の IdP を設定する必要があります。今はスキップします。  

  4. Assertion Consumer Service」で、アドビのメタデータから対応する値を入力します。「場所」の URL には、SAML HTTP-POST バインディング値を使用します。

    Assertion_Consumer_Service
  5. シングルログアウトサービスは現在サポートされていません。空にします。

  6. 適切な連絡先情報を入力します。

    contacts

IdP 構成

アドビサービスプロバイダーでは、IdP が 3 つのカスタム属性を次の特定の名前(大文字小文字を区別)で提供する必要があります。

  • FirstName:`sn`(`surname`)InCommon 属性に対応(urn:oid:2.5.4.4)
  • LastName:`givenname` InCommon 属性に対応(urn:oid:2.5.4.42)
  • Email:`mail` InCommon 属性に対応(urn:oid:0.9.2342.19200300.100.1.3)

対応する InCommon 属性は同じ名前を使用しないため、IdP が値をマッピングするように設定し、カスタム属性として送信する必要があります。Shibboleth を IdP として使用する場合、カスタム属性の構成方法については関連するドキュメントを参照してください。

これらのカスタム属性に加えて、Subject 属性の「NameId」フィールドを構成して、ユーザーのログインユーザー名または電子メールの値を含める必要があります(Adobe Admin Console で構成済み)。Shibboleth を IdP として使用する場合、「NameId」フィールドの構成方法に関するドキュメントを参照してください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー