ユーザー ID は、認証ソースに対して検証されます。Enterprise ID や Federated ID を使用するには、ドメインを追加して固有の認証ソースを設定します。例えば、電子メールアドレスが john@example.com の場合、example.com がドメインですが、ドメインを追加すると、そのドメイン上の電子メールアドレスを使用して Enterprise ID や Federated ID を作成できるようになります。ドメインは、Enterprise ID か Federated ID のいずれかで使用できますが、両方に同じドメインを使用することはできません。ただし、複数のドメインを追加することはできます。

組織はドメインを管理できることを実証する必要があります。組織では、複数のドメインを追加することもできます。ただし、同じドメインは 1 回しか追加できません。一部のパブリックドメインや一般的なドメイン(gmail.com や yahoo.com など)は追加できません。

ID タイプについて詳しくは、ID タイプの管理を参照してください。

新規ドメインの追加

Enterprise ID または Federated ID を使用するには、まずドメインを追加します。複数のドメインを管理する組織の場合は、すべてまとめて追加することができます。

注意:

ドメインを管理していることを証明するために、DNS にトークンを追加する必要があります。

  1. Admin Console にログインし、設定/IDに移動します。

  2. ドメインの要求を開始します」(ドメインを追加したことがない場合に表示される)または「ドメインの追加」(1 つ以上のドメインを追加したことがある場合に表示される)をクリックします。

    新しいドメインを追加画面が表示されます。

  3. ドメイン名を入力し、ドメインの種類を選択します。

    警告:

    ドメインの種類が選択されると、ドメインが取り消されない限り編集できなくなります。

    新規ドメインの追加
  4. Enterprise ID を設定している場合は「新しいドメインを追加」をクリックします。

    Federated ID を設定している場合は「次へ」をクリックします。

    ドメインが既に別の組織からクレームされている場合は、次のメッセージが表示されます。

    クレームされたドメインへのアクセスを要求する

    このドメインへのアクセスを要求するには、この手順の残りの手順を中止して、クレームされたドメインへのアクセスを要求するに記載されている手順に従ってください。

    ドメインが使用可能である場合は、ドメインを設定ウィザードが開きます。この場合は、次の手順に進みます。

  5. クレームするドメインが自社の所有するドメインであることを証明するには、生成された DNS トークンを含む TXT レコードをドメインに追加します。

    Admin Console のドメインを設定ウィザードに表示された DNS トークンをコピーし、そのトークンで DNS レコードを更新します。厳密な手順はドメインホストによって異なりますが、一般的なガイドラインをドメインの所有権の確認に示します。

    注意:

    この手順では、DNS サーバーに情報を追加する必要があります。

    生成された DNS トークンは 365 日以内に有効期限が切れますので、その期間内にこの手順を完了する必要があります。指定の時間内に完了することができるように、事前にネットワーク管理者に連絡してください。

  6. DNS レコードの TXT ファイルを更新した後、「DNS レコードを更新してトークンを含めました。」を選択します。

    ドメインを設定ウィザードを閉じている場合は、設定/ID に移動し、設定するドメイン名をクリックします。「ドメインを設定」をクリックします。

    検証をリクエスト
  7. 検証をリクエスト」をクリックします。アドビの認証待ち画面が表示されます。

    アドビがドメインを承認すると、ID ページに通知が表示されます。また、電子メールが届きます。

  8. Enterprise ID を設定している場合は、ドメインを設定ウィザードに戻ります。「ドメインを有効にする」をクリックします。ドメインが有効になります。

    Federated ID を設定している場合は、シングルサインオンの構成を参照してください。

注意:

認証したドメインを元に戻すことはできません。認証前であればリクエストを取り下げることができますが、認証後は取り下げることができません。

シングルサインオンの構成

組織がシングルサインオン(SSO)を構成して有効化すると、その組織のユーザーは企業の資格情報を使用してアドビのソフトウェアにアクセスできるようになります。ここでは、ユーザーは単一の資格情報を使用して、アドビのデスクトップアプリケーション、サービスおよびモバイルアプリにアクセスできます。

Adobe Admin Console を使用すると、企業ユーザーは既存の企業 ID を使用して認証をおこなえます。アドビの Federated ID は、シングルサインオン(SSO)ID 管理システムと連携します。シングルサインオンは、エンタープライズ ID 管理システムとアドビのようなクラウドサービスプロバイダーを結び付ける業界標準プロトコルである SAML を使用して有効化されます。

SSO により、サービスプロバイダー(アドビ)と貴社の ID プロバイダー(IdP)の間で認証情報を安全に交換することが可能になります。サービスプロバイダーがユーザー認証のため、IdP にリクエストを送信します。認証が完了したら、ユーザーログインのため IdP によってレスポンスメッセージが返されます。

SSO の要件

アドビソフトウェアに SSO をセットアップするには、IT 管理者は以下の要件を満たす必要があります。

  • SAML 2.0 の理解
  • ID プロバイダー(IdP)が SAML 2.0 をサポートし、少なくとも以下を備えている必要があります。
    • IDP 証明書
    • IDP ログイン URL
    • IDP バインディング:HTTP-POST または HTTP-Redirect
    • Assertion Consumer Service URL
  • ドメインのクレーム処理のための DNS 構成へのアクセス

(ユーザーがログインするために)IdP のログイン URL に、外部からアクセスできるようにする必要はありません。ただし、アクセスを組織の内部ネットワーク内に限定した場合、ユーザーが Creative Cloud にログインできるのは、組織の内部ネットワークに直接接続しているか、WiFi や VPN 経由で接続しているときのみとなります。ログインページへのアクセスを HTTPS 経由に限定することは必須ではありませんが、セキュリティ上の理由からは推奨しています。

注意:

現時点で、アドビは IdP-Initiated SSO をサポートしていません。

アドビのクラウドサービスでは、SSO サービスを主導する Okta が提供する SaaS SAML 2.0 コネクタを使用して SSO を提供します。アドビは Okta と提携して SSO を有効化し、アドビエンタープライズライセンスに含まれる Okta の SAML コネクタを使用しています。このコネクタを使用して、ID プロバイダーと通信し、認証サービスを提供します。Okta は多くの SAML 2.0 ID サービス プロバイダーに繋がっているため、お客様の ID プロバイダーサービスとして Okta を使用する必要はありません。詳しくは、シングルサインオン/一般的な質問を参照してください。

SSO 統合をテストする必要がある場合は、組織で所有するテストドメインをクレームすることをお勧めします。これは、ID がそのテストドメインで設定されている ID プロバイダーを組織が所有していれば実行できます。これによって、ドメインのクレームや構成プロセスに慣れるまで、統合をテストした後で、メインのドメインをクレームできます。

ワークフローの概要

Federated ID を構成して SSO を有効にするには、複数のステップが必要です。複数のドメインで SSO を設定するには、ドメインごとに次の手順に従う必要があります。

  1. ドメインのクレーム

    1. Federated ID のドメインクレームを開始します。
    2. DNS トークンを検証します。
    3. DNS の確認が正常に完了したことを確認します。

    ドメインのクレームを開始し、DNS の確認が正常に完了すると、リクエストのステータスが「確認待ち」に変わります。

    リクエストが承認されると電子メールが届きます。

  2. SAML 設定を構成し、構成を完了します。

  3. 製品構成にユーザーを追加して割り当てます。ユーザーの管理および役割別の管理者権限(ロール)を参照してください。

SAML 設定の構成

既に ID プロバイダー(IdP)をお持ちの場合は、アドビのパートナーである Okta が提供する SaaS SAML 2.0 コネクタを使用して SSO を簡単に構成できます。Okta はユーザー認証システムにおけるリーディングベンダーで、アドビは Okta と提携して、SSO を有効化しています。アドビエンタープライズライセンスでは、Okta の SAML コネクタの使用がサポートされています。

注意:

Okta は、1 つの ID プロバイダーとして、多くのベンダーの中から選択できます。

  1. アドビがドメインを承認した後、ID ページを開きます。

  2. 設定するドメイン名をクリックし、「SSO を構成」をクリックします。

    ドメインを設定ウィザードが開きます。

    構成の完了
  3. IDP 証明書:IdP が SAML レスポンスまたはアサーションの署名に使用する証明書(.cer)をアップロードするには「アップロード」をクリックします。

    証明書がない場合は、証明書ファイルをダウンロードする手順について ID プロバイダーにお問い合わせください。例えば、IdP として Okta を使用している場合は、Okta の管理者のダッシュボードにログインし、セキュリティ/認証/インバウンド SAML を選択してから、「Okta 証明書をダウンロード」をクリックします。

    証明書のヒント:

    • PEM(Base 64 encoded X.509)形式
    • .cer ファイル拡張子(.pem または .cert ではない)で指定
    • 暗号化されていない
    • SHA-1
    • 複数行形式(単一行は失敗する)
    • 少なくとも 3 年の継続が必要(有効期間中のメンテナンスの手間を省き、セキュリティが確保される)

    注意:

    Federated ID ハンドシェイクのアドビ側で使用されている Okta 証明書は 20 年の証明書です。これにより、Adobe/Okta によって強制的におこなわれるのではなく、ユーザーの都合で証明書のローテーションを行えます。  

  4. IDP バインディング:SAML プロトコルメッセージの送信方法を選択します。

    • HTTP-Post を使用して、XHTML フォームを使い、ブラウザー経由で認証リクエストを送信します。IdP が、XHTML フォームを含むドキュメントにより応答します。
    • HTTP-Redirect を使用して、HTTP GET リクエストのクエリ文字列にある SAMLRequest 文字列パラメーターを通じて承認リクエストを送信します。IdP が、URL の SAMLResponse 文字列パラメーターにより応答します。
  5. ユーザーログイン設定:このドメインのユーザーが自身を識別するのに、電子メールアドレスまたはユーザー名のいずれを使用するかを選択します。

  6. IDP 発行者:SAML リクエストを発行する ID プロバイダーのエンティティ ID を入力します。

    SAML アサーションはこの文字列を正確に参照する必要があります。スペル、文字または書式のいずれかが相違していると、エラーが発生します。

  7. IDP ログイン URL:IDP ログイン URL / SSO アドレスを入力します。この URL は、ユーザーが認証時にリダイレクトされる場所です。

  8. 構成の完了」をクリックします。

  9. SAML XML メタデータファイルを保存するには、「メタデータをダウンロード」をクリックします。このファイルを使用して、ID プロバイダーとの SAML 統合を構成します。ID プロバイダーは、シングルサインオンを有効にするためにこのファイルが必要です。

    警告:

    一般的な SAML ID プロバイダー(OpenAthens、Shibboleth など)は、ユーザー名(通常、電子メールアドレス)を「指定なし」の形式の NameID として送信します。また、属性 FirstName、LastName、Email を送信します(大文字と小文字は区別されます)。

    これらの属性は、Admin Console を使用して設定されたエントリに一致する必要があります。これらの属性が、SAML 2.0 コネクタ構成の一部として送信されるように IDP で構成されていない場合、認証は機能しません。

  10. ドメインを有効にする」をクリックします。ドメインが有効になります。

    注意:

    認証したドメインを元に戻すことはできません。認証前であればリクエストを取り下げることができますが、認証後は取り下げることができません。

  11. 戻って SAML 設定を変更するには、Admin Console に戻り、設定/IDに移動します。ドメイン名をクリックして、「SSO 構成を編集」をクリックします。

    警告:

    Federated ID がアクティブになっているときに構成に変更を追加すると、SSO が壊れる恐れがあります。変更された構成によって新しいメタデータファイルが生成されます。このファイルは、IdP で再構成する必要があります。

    SSO 構成を編集

SSO の構成では、自動的にユーザーを作成したり、ソフトウェアの使用権限を付与することはありません。SSO の構成が正常に完了したら、ユーザーと製品構成の追加に進みます。詳しくは、ユーザーの管理および役割別の管理者権限(ロール)を参照してください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー