このドキュメントでは、Google フェデレーション設定を使用し、Google Admin Console で Adobe Admin Console SSO を構成する際に発生する一般的な質問について説明します。

Google コネクタの機能とサポートされているシナリオ

Google Connector(Google フェデレーション設定)の機能、統合シナリオ、および条件に関してよく寄せられる質問のセクション。

Federated ID ユーザーアカウントのみが、Google フェデレーションの設定を使用して作成されます。選択できる ID タイプについて詳しくはこちらをご覧ください。

Google フェデレーション設定は、プライマリ Console とトラスティ Console との関係においてプライマリ Console に対してのみ、ユーザー管理を提供できます。トラスティ Console は、フェデレーションディレクトリでシングルサインオンを利用できますが、別の形式のユーザー管理(例:CSV 手動アップロード、ユーザー同期ツール、ユーザー管理 API など)を使用する必要があります。

User Sync ツールを同時に実行できるのは、Google によって管理されていないドメインに対してのみです。

注意:

Google Identity で設定された現在機能中の SAML ベースの SSO がある場合は、現在の設定を維持することをお勧めします。

Google コネクタを確立するには、Google ディレクトリから同期するドメインとディレクトリが、Adobe Admin Console でまだフェデレーションを確立されていないことが必須条件です。ディレクトリユーザーが既に存在する場合は、Google コネクタを実装する前に、関連するディレクトリユーザー、ドメイン、およびディレクトリを完全に削除する必要があります。

将来のリリースでは、コネクタにセルフサービスの移行機能が追加され、確立されたフェデレーション環境の管理者が、ディレクトリ全体(関連付けられたすべてのドメインやディレクトリユーザーを含む)を移行し、ディレクトリユーザー、ドメイン、およびディレクトリを削除する必要なく、コネクタを介して Google ディレクトリから同期できるようになります。

はい、SAML ディレクトリが別の検証済みドメインにリンクしている限り共存できます。

はい。SHA-256 証明書は、Google コネクタでサポートされています。

ユーザーが同期に属していて、Federated ID ユーザー名が Google と同期しているユーザー名に一致する場合、コネクタはプロファイルを引き継いで管理します。ユーザーが同期に属していない場合は、プロファイルが Google のプロファイル情報と一致する限り、ユーザーは認証を受けることができます。

Google コネクタは現在、Google ディレクトリーからのグループ同期をサポートしていません。セットアップのプロセス中に、Google Admin Console 管理者は、Adobe のライセンスへのアクセスを取得する必要のあるユーザーを含む Google ディレクトリ内のグループの特定を行います。これらのグループのユーザーは、単一階層リストで Adobe Admin Console に自動的に同期され、Adobe Admin Console のユーザータブに Federated ID アカウントとして表示されます。ユーザーアカウントが作成されると、管理者はユーザーを特定のユーザーグループに入れ、一部のユーザーに対し製品ライセンスへの特定のアクセスを与えることができます。

例として、教育組織に、500 人の教員またはスタッフ、2,000 人の中学校と高等学校の学生、そして 2,500 人の小学生を含む、5,000 人のユーザーがいるとします。すべての教員またはスタッフメンバー、また中学生と高校生は、Adobe Spark へのアクセス、ラボ環境でアクセスできる共有デバイスライセンス、自宅でも利用できる Creative Cloud コンプリートプランライセンスを与えられ、小学生は Adobe Spark と共有デバイスライセンスの権限のみが与えられます。この同期プロセスは次のようになります。

  1. 実稼働ディレクトリとドメインを使用して Google コネクタを設定します。
  2. Google ディレクトリで、教員またはスタッフとすべての学生ユーザーを含むディレクトリグループを選択します。
  3. 5,000 ユーザーの Adobe Admin Console への最初の同期を実行します(完了までに約 2 時間かかります)。
  4. Adobe Admin Console で、All Apps CC の名前で新規ユーザーグループを作成します。
  5. All Apps CC ユーザーグループを、コンプリートプラン CC 製品プロファイルに割り当てます。これにより、All Apps CC ユーザーグループのすべてのユーザーに、コンプリートプラン CC ライセンスが自動的に付与されます。
  6. ユーザータブのユーザーの一括編集を使用して、現在のユーザーリストをダウンロードし、コンプリートプラン製品ライセンスにアクセスする必要があるユーザーを、All Apps CC ユーザーグループに追加してキュレートします。
  7. Admin Console に CSV ファイルをアップロードします。選択したすべてのユーザーが、All Apps CC ユーザーグループに割り当てられていることを確認します。

ユーザーグループの初期設定を行った後にコネクタを介して Adobe Admin Console に同期したユーザーが、コンプリートプラン CC のライセンスへのアクセスを取得するには、一つ一つまたは上記の手順 6 で説明した一括方法を使用して、ユーザーグループに手動で入れる必要があります。

同期操作

ここでは、Google コネクタの同期機能に関する質問に答えます。

FirstName、LastName、Username、Email、Country Code です。

いいえ。現在、Adobe Admin Console で表示できる、コネクタの同期のトラブルシューティングに役立つイベントログはありません。

同期では、1 分あたり約 50 ユーザー、または 1 時間あたり 3,000 ユーザーの割合でユーザーアカウントを作成します。コネクタでは、選択した Google ディレクトリグループに含まれるユーザーアカウントに基づいて、ユーザーライセンスを自動的に追加または削除します。

Google Admin Console で API アクセスが有効になっていることを確認します。API アクセスを有効にする方法について詳しくは、こちらに示される指示に従ってください。

既存の Google ユーザーの移行

このセクションでは、コネクタの使用を希望していて、既に Google を IdP として使用している管理者からの質問に答えます。

既存の Adobe ID を Federated ID タイプに移行する方法:

  1. 選択したディレクトリとドメインで Google コネクタを確立します。
  2. Console で既に Adobe ID を持っているユーザーを含むユーザーをコネクタ経由で同期します。これによって既存の Adobe ID を持つすべてのユーザーは、Admin Console の Adobe と Federated ID を持ちます。
  3. ユーザータブの ID のタイプを編集オプションを使用して、選択した Adobe ID ユーザーを新しく作成された Federated ID アカウントに手動で移行します。これにより、これらのユーザーが Federated ID で初めてログインしたときに、自動化されたアセットの移行がトリガーされます。

はい、ユーザーのメールが Google ディレクトリで更新されると、それに応じて Adobe Admin Console のメールおよびユーザー名フィールドが更新されます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

リーガルノーティス   |   プライバシーポリシー