注意:

組織内に SHA-1 認証済みのディレクトリが存在する場合、Admin Console で SHA-2 証明書の拡張セキュリティをシームレスに更新します。ダウンタイム無しで SHA-1 から SHA-2 に移行するには、既存のディレクトリ内で新しい認証プロファイルを追加してアクティベートします。詳しくは、新しい認証プロバイダーへの移行を参照してください。

新しく作成したディレクトリはすべて、デフォルトで SHA-2 認証が有効になります。

setup-dir

ディレクトリをセットアップする:Enterprise ID または Federated ID を使用するにはまず、ドメインをリンクできるディレクトリを設定します。
詳細情報 >


setup-domains

ドメインをセットアップする:エンドユーザーは、Admin Console で設定したドメインに対して認証されます。
詳細情報 >


link-domains-to-dirs

ディレクトリにドメインをリンクする:ディレクトリとドメインを設定した後は、ドメインをディレクトリにリンクしてグループ化します。
詳細情報 >


dir-trusting

ディレクトリの信頼性:ディレクトリの信頼性を使用して、他の組織のシステム管理者を信頼します。
詳細情報 >


cq5dam_web_1280_1280

SHA-1 ディレクトリを SHA-2 に移行する:古い SHA-1 認証済みディレクトリを SHA-2 プロファイルに更新します。
詳細情報 >


move-domains

ディレクトリ全体にドメインを移動する:Admin Console 内のディレクトリ全体にドメインを移動することでディレクトリを構造化します。
詳細情報 >


システム管理者として Admin Console で最初におこなうことが、エンドユーザーを認証するための ID システムの定義と設定です。アドビ製品とサービスのライセンスを購入した後、ライセンスをエンドユーザーにプロビジョニングする必要があります。そのためには、ユーザーを認証する方法が必要です。

アドビは、エンドユーザーの認証に使用できる次の ID タイプを提供しています。

  • Adobe ID
  • Enterprise ID
  • Federated ID

組織が個別にアカウントを所有し、ドメイン内のユーザーを管理する場合は、Enterprise ID または Federated ID(シングルサインオン)を使用してください。

ここでは、Enterprise ID または Federated ID を使用してエンドユーザーを認証するために必要な ID システムの設定方法を説明します。

ここでは、Enterprise ID または Federated ID を使用してエンドユーザーを認証するために必要な ID システムの設定方法を説明します。

注意:

このドキュメントに記載されているディレクトリの設定ドメインの設定の手順は完全に切り離されています。つまり、これらの手順は順序を問わず、並行しておこなうこともできます。ただし、電子メールのドメインをディレクトリにリンクするためには、両方の手順を完了する必要があります。

主要な用語と概念

手順に進む前に、基本的な概念と用語をご確認ください。

Admin Console のディレクトリは、ユーザーや認証ポリシーなどのリソースを保持する場所です。LDAP やアクティブディレクトリと似ています。

組織の ID プロバイダーです。Active Directory、Microsoft Azure、Ping、Okta、InCommon、Shibboleth などがあります。

一般に使用される IdP を使用して Creative Cloud の SSO を設定する方法について詳しくは、記事の最後のその他の関連ヘルプを参照してください。

組織によって作成、所有、管理されます。Enterprise ID のホストと認証は Adobe がおこないますが、ID は組織が保持します。エンドユーザーは新規登録して Enterprise ID を作成したり、Enterprise ID を使用して Adobe からの追加製品およびサービスを利用したりすることはできません。

Enterprise ID は、管理者が作成してユーザーに発行します。管理者は、アカウントを借用するか、Enterprise ID を削除して関連するデータへのアクセスを完全にブロックすることにより、製品およびサービスへのアクセスを取り消すことができます。

次の要件やシナリオに該当する場合には、Enterprise ID を使用することが推奨されます。

  • ユーザーが使用するアプリケーションやサービスを厳格に管理する必要がある場合
  • ID に関連付けられたファイルやデータに緊急にアクセスする必要がある場合
  • ユーザーアカウントを完全にブロックまたは削除する機能が必要な場合

組織によって作成、所有され、フェデレーションを通じてエンタープライズディレクトリにリンクされます。資格情報は組織が管理し、SAML2 ID プロバイダー(IdP)を使用してシングルサインオンを処理します。

次の要件やシナリオに該当する場合には、Federated ID を使用することが推奨されます。

  • 組織のエンタープライズディレクトリに基づいてユーザーをプロビジョニングする場合
  • ユーザーの認証を管理する場合
  • ユーザーが使用するアプリケーションやサービスを厳格に管理する必要がある場合
  • Adobe ID の追加に使用する電子メールアドレスと同じアドレスの使用をユーザーに許可する場合

注意:

ID プロバイダーは TLS 1.2 に準拠している必要があります。

エンドユーザーが作成、所有、管理します。認証はアドビが実行し、ID の管理はエンドユーザーがおこないます。ユーザーは、自分の ID に関連付けられたファイルやデータを完全に制御できます。ユーザーはアドビから追加の製品やサービスを購入することもできます。管理者は、ユーザーを組織に参加するよう招待したり、対象ユーザーを削除したりすることができます。ユーザーを Adobe ID アカウントからロックアウトすることはできません。管理者がアカウントを削除したり、管理を引き継いだりすることもできません。Adobe ID の使用を開始するために必要な設定は特にありません。

次の要件やシナリオに該当する場合には、Adobe ID を使用することが推奨されます。

  • ユーザーが ID を作成、所有、管理できるようにする場合
  • ユーザーが他のアドビ製品やサービスを購入または新規登録できるようにする場合
  • Enterprise ID や Federated ID を現在サポートしていない他のアドビサービスをユーザーが使用することが想定される場合
  • ユーザーが既に Adobe ID を所有し、ファイル、フォント、設定などのデータが関連付けられている場合 
  • 教育用環境で学生が卒業後も Adobe ID を保持できる場合
  • 組織が管理するドメインの電子メールアドレスを使用していない契約社員やフリーランサーがいる場合
  • Adobe グループ版契約がある場合は、この ID タイプを使用する必要があります

電子メールアドレスの @ 記号より後の部分です。Enterprise ID または Federated ID でドメインを使用するには、まずそのドメインの所有権を検証する必要があります。

例えば、組織が複数のドメインを所有し(geometrixx.comsupport.geometrixx.comcontact.geometrixx.com)、従業員の認証には geometrixx.com を使用する場合があります。このような場合、Admin Console では geometrixx.com ドメインを使用して ID を設定します。

システム管理者

  • Admin Console で、IdP ディレクトリマネージャー、DNS マネージャーと共に、ID を設定します。このドキュメントは、Admin Console へのアクセス権を持つシステム管理者を対象とします。このユーザーには、(通常)Admin Console へのアクセス権を持たないユーザーの代わりに作業することが求められます。

DNS マネージャー

  • DNS トークンを更新して、ドメインの所有権を検証します

ID プロバイダー(IdP)ディレクトリマネージャー

  • IdP コネクタを作成します

ユーザー ID は、認証ソースに対して検証されます。Enterprise ID や Federated ID を使用するには、ドメインを追加して固有の認証ソースを設定します。例えば、電子メールアドレスが john@example.com の場合、example.com がドメインですが、ドメインを追加すると、そのドメイン上の電子メールアドレスを使用して Enterprise ID や Federated ID を作成できるようになります。ドメインは、Enterprise ID か Federated ID のいずれかで使用できますが、両方に同じドメインを使用することはできません。ただし、複数のドメインを追加することはできます。

組織はドメイン管理を検証する必要があります。組織では、複数のドメインを追加することもできます。ただし、同じドメインは 1 回しか追加できません。一部のパブリックドメインや一般的なドメイン(gmail.com や yahoo.com など)は追加できません。

ID タイプについて詳しくは、ID タイプの管理を参照してください。

SHA-1 と SHA-2 は、ディレクトリの認証プロファイルのセキュリティを担当する証明書モデルです。SHA-2 は従来型の SHA-1 証明書よりもセキュリティが優れているため、新しく移行された認証プロファイルはすべて SHA-2 証明書を使用します。

ディレクトリの作成

Enterprise ID または Federated ID を使用するにはまず、ドメインをリンクできるディレクトリを作成します。

注意:

アドビは現時点で、IdP-Initiated ワークフローをサポートしていません。

お客様の組織が Microsoft Azure を SSO プロバイダーとして設定している(または予定している)場合は、Azure コネクタの使用をお勧めします。また、Azure コネクタの設定:ディレクトリの作成のセクションで説明した手順に従います。

お客様の組織が Google フェデレーション を SSO プロバイダーとして設定している(または予定している)場合は、Google コネクタの使用をお勧めします。また、Google フェデレーションの設定:Adobe Admin Console でディレクトリを作成するセクションに記載されている手順に従います。

組織で次の 1 つ以上を使用している場合は、次の手順に従います。

  • Enterprise ID
  • Azure または、Google以外のSAML プロバイダー
  • Microsoft Azure または Google federation を使用しているが、アドビのコネクタは使用していない場合。

  1. Admin Console にログインし、設定/ID に移動します。

  2. ディレクトリ」タブに移動し、「ディレクトリを作成」をクリックします。

  3. ディレクトリ作成画面で、ディレクトリ名を入力します。

  4. 「Federated ID」を選択し、「次へ」をクリックして手順 5 に進みます。

    Enterprise ID を選択して、「ディレクトリを作成」をクリックします。

    Enterprise ID ディレクトリを作成する場合、このディレクトリの手順はここで終了です。

    ドメインの設定に進んでください。

  5. Federated ID のみ)「その他の SAML プロバイダー」を選択し、「次へ」をクリックします。

  6. SAML プロファイルを追加画面を使用して、ID プロバイダー用の設定画面を開きます。

    アイデンティティプロバイダー(IdP)によって、メタデータファイルをアップロードできる場合もあれば、ACS URLエンティティ ID が必要な場合もあります。以下に例を示します。

    • Azure Active Directory の場合:メタデータファイルをアップロードします。
    • Google の場合:ACS URLエンティティ ID をコピーし、Google IdP ソフトウェアでそれらを使用します。
    • SalesForce の場合:メタデータファイルをダウンロードし、ファイルから証明書情報を抽出して、その証明書情報を SalesForce IdP ソフトウェアで使用します。

    注意:

    上記の Azure と Google のオプションは、それぞれ Azure と Google のコネクタを使用しないことを選択した場合に必要です。

    以下のいずれかの方法で操作します。

    方法 1

    アドビのメタデータファイルをダウンロード」をクリックします。

    メタデータファイルがローカルディスクにダウンロードされます。このファイルを使用して、ID プロバイダーとの SAML 統合を構成します。

    方法 2

    ACS URL エンティティ ID をコピーします。

    SAML プロファイルの追加
  7. IdP アプリケーションウィンドウに切り替え、メタデータファイルをアップロードするか、ACS URL エンティティ ID を指定します。完了したら、 IdP メタデータファイルをダウンロードします。

  8. Adobe Admin Console に戻り、SAML プロファイルを追加ウィンドウで IdP メタデータファイルをアップロードして「完了」をクリックします。

これでディレクトリが作成されます。

  • Enterprise ID を選択した場合、設定はこれで終了です。
  • 他の SAML プロバイダー」オプションを使用してディレクトリを作成した場合、このディレクトリでは自動的に SHA-2 認証が使用されます。これで、SHA-1 認証を使用して作成したディレクトリを SHA-2 に更新して、別の ID プロバイダーに移行できるようになりました。詳しくは、新しい認証プロバイダーへの移行を参照してください。

次に、Admin Console でドメインを設定します。

ドメインのセットアップ

注意:

組織のディレクトリが Microsoft Azure AD コネクタまたは Google Federation の同期を介して設定されている場合、手動でドメインを追加する必要はありません。ID プロバイダーの設定内で検証された選択したドメインは、Adobe Admin Console に自動的に同期されます。

エンドユーザーは、Admin Console で設定したドメインに対して認証されます。

ドメインを設定するには、次の操作をおこないます。

  1. Admin Console にドメインを追加する
  2. 特別な DNS レコードを追加して、ドメインの所有権を検証するための準備をする
  3. ドメインを検証する

Admin Console に追加するドメインは、同じ IdP で登録する必要はありません。ただし、これらのドメインをディレクトリにリンクするときに、各 IdP からそれぞれ別のディレクトリにドメインをリンクさせる必要があります。

ドメインが既に別の組織の Admin Console に追加されている場合は、Admin Console に追加できません。ただし、そのドメインへのアクセスを要求することはできます。

  1. Admin Console にログインし、設定/ID に移動します。

  2. 「ドメイン」タブで、「ドメインを追加」をクリックします。

  3. ドメインを追加画面で、1 つ以上のドメインを入力して、「ドメインを追加」をクリックします。一度にクレームして検証できるドメインは 15 個までで、その後残りのドメインを追加することができます。

  4. ドメインを追加画面でドメインのリストを確認し、「ドメインを追加」をクリックします。

    追加するドメインを確認する

これでドメインが Admin Console に追加されました。次に、これらのドメインの所有権を実証します。

組織はドメインの所有権を実証する必要があります。組織は、Admin Console に必要な数のドメインを追加できます。

Admin Console では、1 つの DNS トークンを使用してすべてのドメインの所有権を実証できます。また、Admin Console では、サブドメインの DNS 検証は不要です。つまり、DNS トークンを使用してドメインの所有権を実証すれば、そのドメインのサブドメインが Admin Console に追加されると同時に、すべて自動的に検証されます。

  1. Admin Console にログインし、設定/ID に移動して、「ドメイン」タブに移動します。

  2. クリックして、ドロップダウンリストから「DNS トークンにアクセス」を選択します。

  3. DNS マネージャーと協力して、追加したドメイン用の特別な DNS レコードを追加します。

  4. クレームするドメインが自社の所有するドメインであることを証明するには、生成された DNS トークンを含む TXT レコードを追加する必要があります。正確な手順はドメインホストによって異なります。一般的なガイドラインについては、ドメイン所有権の確認を参照してください。

  5. 手順を完了するには、DNS サーバーに追加で情報を入力します。効率的に作業できるように、事前に DNS マネージャーに連絡してください。

    アドビは、ドメインの DNS レコードを定期的にチェックします。DNS レコードが正しい場合、ドメインは自動的に検証されます。Admin Console にログインして、手動ですぐにドメインを検証することも可能です。次に、ドメインを検証する必要があります。

Admin Console では、追加されたドメインの検証を 1 日に数回おこないます。このため、DNS レコードが正しく構成されていれば、ドメインを手動で検証する必要はありません。

ドメインを手動で検証する

すぐにドメインを検証する必要がある場合は、Admin Console でおこないます。ドメインを手動で検証するには、次の操作をおこないます。

  1. Admin Console にログインします。

  2. 設定ID に移動し、「ドメイン」タブを選択します。

  3. 検証」をクリックします。

    ドメインを検証する
  4. ドメインの所有権を検証画面で、「今すぐ検証」をクリックします。

DNS の変更が有効になるまで最大 72 時間かかることがあるため、検証時にエラーメッセージが表示される場合があります。詳しくは、DNS レコードに関するよくある質問を参照してください。

ドメインの所有権の検証後、Admin Console の必要なディレクトリに検証されたドメインをリンクできます。

Admin Console でディレクトリドメインを設定した後、Admin Console では、ドメインをディレクトリにリンクする必要があります。

複数のドメインを同じディレクトリにリンクできます。ただし、1 つのディレクトリにリンクするすべてのドメインが、同一の SSO 設定を共有する必要があります。

  1. Admin Console にログインし、設定ID に移動します。

  2. ドメイン」タブに移動します。

  3. ドメイン名の左側にあるチェックボックスをクリックして、「ディレクトリへリンク」をクリックします。

    複数のドメインから同じディレクトリにリンクするには、設定するすべてのドメインのチェックボックスを選択します。

    ドメインをディレクトリにリンクする
  4. ディレクトリへリンク画面で、ドロップダウンからディレクトリを選択し、「リンク」をクリックします。

ユーザーの管理

Enterprise ID または Federated ID の設定が完了したら、購入したアドビ製品とサービスをユーザーに提供することができます。

Admin Console については、ユーザー向けの概要を参照してください。または、次のいずれかの方法を使用して、すぐに Admin Console にユーザーを追加することもできます。

Admin Console にユーザーを追加したら、ユーザーを製品プロファイルに割り当ててプロビジョニングします。

ディレクトリの信頼性

1 つのドメインの所有権をクレームできるのは 1 つの組織のみです。そこで、次のシナリオについて考えてみます。

Geometrixx という会社には複数の部署があり、各部署には独自の Admin Console があります。また、いずれの部署でも、geometrixx.com ドメインを使用した Federated ID をユーザー ID として使用したいと考えています。この場合、各部署のシステム管理者は、このドメインを認証のためクレームする必要があります。Admin Console は、ある組織のドメインが別の組織の Admin Console に追加されるのを防ぎます。ただし、1 つの部署により追加された後、他の部署は、組織の Admin Console に代わってそのドメインがリンクされているディレクトリへのアクセスを要求することができます。

ディレクトリの信頼性により、ディレクトリの所有者は他のシステム管理者(共同利用権所有者)を信頼することができます。その後、Admin Console の共同利用権を所有する組織は、信頼されたディレクトリ内の任意のドメインにユーザーを追加できます。

まとめると、Admin Console で Enterprise ID または Federated ID を使用する場合は、組織に関連付けられたドメインを追加する必要があります。このドメインが既に別の組織によって追加されている場合、そのドメインに含まれるディレクトリへのアクセスを共同利用権所有者として要求する必要があります。

ディレクトリへのアクセスを要求するには、上のドメインの設定にある、ドメインを追加する手順を参照してください。

警告:

ディレクトリの所有者が、そのディレクトリへのアクセス要求を承認すると、共同利用権を所有する組織はそのディレクトリに関連付けられているすべてのドメインにアクセスできるほか、以後そのディレクトリに関連付けられるすべてのドメインにもアクセスできます。このように、ドメインとディレクトリのリンク計画は、組織の ID システムを設定する上で不可欠な手順です。

ドメインの共同利用権所有者

Admin Console に既存のドメインを追加する場合は、次のメッセージが表示されます。

アクセスを要求する

このドメインへのアクセスを要求すると、送信者の名前、電子メール、組織名が所有者組織のシステム管理者と共有されます。

ディレクトリのタイプ(Enterprise または Federated)は、所有者組織がおこなった設定によって決まります。そのため、所有者組織によって選ばれたタイプのディレクトリを使用する必要があります。

ドメインは既に所有者によって設定されているため(詳しくは、ドメインの設定の「ドメインの所有権を実証する」を参照)、共同利用権所有者は特に何もおこなう必要がありません。アクセス要求が所有者によって承認されると、共同利用権を所有する組織は所有者組織が構成したとおりに、ディレクトリとすべてのドメインにアクセスできます。

  1. Admin Console にログインし、設定ID に移動します。

  2. アクセス要求」タブに移動し、アクセスを要求した各ディレクトリのステータスを確認します。

  3. また、アクセス要求リスト内の項目をクリックすれば、「リクエストを再送信」または「要求のキャンセル」をクリックできます。

ディレクトリへのアクセスの要求が所有者組織から承認されると、通知が電子メールで届きます。要求が表示されなくなり、代わりに、信頼できるディレクトリとそのドメインが、ディレクトリとドメインのリストにアクティブ(信頼済み)状態で表示されます。

続けて、エンドユーザーユーザーグループを追加し、製品プロファイルに割り当てます。

共同利用権を所有する組織が信頼済みディレクトリにアクセスする必要がなくなった場合は、いつでも共同利用権を取り消すことができます。

  1. Admin Console にログインし、設定ID に移動します。

  2. ディレクトリ」タブで、アクセスを取り消す共有ディレクトリをクリックします。

  3. ディレクトリの詳細メニューで、「取り消す」をクリックします。

信頼されたドメインへのアクセスを取り消すと、そのディレクトリのドメインに属する(ドメインの資格情報を使用してログインする)Federated ID と Enterprise ID のすべてのユーザーが組織から削除されます。また、これらのユーザーは、組織から付与されたソフトウェアへのアクセス権もすべて失います。

ドメインの所有者

所有者組織のシステム管理者は、所有しているディレクトリへのアクセス要求を承認するか拒否するかを選択できます。 

所有するディレクトリへのアクセス要求の電子メールを受け取ったら、その電子メール内から要求の承認または拒否を選択できます。また、「アクセス要求」タブに移動してクレーム要求を管理することもできます。

  1. Admin Console にログインし、設定ID に移動します。

  2. アクセス要求」タブに移動します。

  3. すべての要求を承認するには、「すべてを承認」をクリックします。

    または、特定のクレームの要求を承認するには、行の左側にあるチェックボックスをクリックして、「承認」をクリックします。

  4. アクセス要求を承認画面で、「承認」をクリックします。

共同利用権を所有する組織のシステム管理者に電子メール通知が送信されます。

所有しているディレクトリへのアクセス要求を拒否することもできます。

  1. Admin Console にログインし、設定ID に移動します。

  2. アクセス要求」タブに移動します。

  3. 行の左側にあるチェックボックスをクリックし、「拒否」をクリックします。

  4. アクセス要求拒否画面で拒否する理由を入力し、「拒否」をクリックします。

入力した理由は、電子メールによって要求元の組織と共有されます。ただし、電子メール、名前、組織の情報は公開されません。

既にアクセス権を付与した共同利用権を所有する組織のアクセス権を取り消すことができます。

  1. Admin Console にログインし、設定ID に移動します。

  2. 共同利用者」タブに移動します。

  3. 行の左側にあるチェックボックスをクリックし、「取り消す」をクリックします。

  4. 取り消す共同利用者の画面で、「取り消し」をクリックします。

共同利用権を所有する組織のアクセスを無効にすると、Enterprise ID または Federated ID アカウントを持ち、そのディレクトリ内のドメインを使用するユーザーは共同利用権を所有する組織から削除されます。また、これらのユーザーは、共同利用権を所有する組織から付与されたソフトウェアやサービスへのアクセス権もすべて失います。

暗号化キーの管理

Creative Cloud または Document Cloud エンタープライズ版を使用すると、ユーザーはファイルを安全かつセキュアに格納できます。他のユーザーとファイルを共有したり、共同作業したりすることもできます。ユーザーは Creative Cloud Web サイト、Creative Cloud デスクトップアプリケーション、Creative Cloud モバイルアプリを利用してファイルにアクセスできます。ストレージは、組織とアドビとの契約に含まれている場合にのみ、Creative Cloud または Document Cloud エンタープライズ版で利用できます。

Creative Cloud および Document Cloud 上で制御とセキュリティの追加レイヤーのすべてのデータを暗号化する際、組織内の一部または全部のディレクトリの専用暗号化キーを生成するようアドビに求めることができます。次に、コンテンツは、専用の暗号化キーによる標準の暗号化により暗号化されます。暗号化キーは、必要に応じて Admin Console から無効にすることができます。

専用の暗号化キーは、ストレージとサービスが含まれた Creative Cloud または Document Cloud エンタープライズ版の共有サービスプランでのみ利用できます。

詳しくは、Admin Console でキーの暗号化を管理する方法を参照してください。

新しい認証プロバイダーへの移行

SHA-1 認証を使用するディレクトリが存在する場合に、新しいディレクトリを明示的に作成する必要なしに、SHA-1 認証プロファイルから SHA-2 認証プロファイルにシームレスに移行できるようになりました。

また、移行の際には、確立されたディレクトリの別の ID プロバイダーに移行できます。

警告:

IdP の既存の設定は、ディレクトリの 2~3 のアクティブなアカウントで新しい設定が正常におこなわれたことを確認するまで削除しないでください。

検証前に削除すると、以前の構成にロールバックできなくなり、問題が解決される間にダウンタイムが発生します。詳しくは、移行手順に従ってください。

アクセス要件

SHA-2 認証プロファイルに移行するには、次の要件を満たす必要があります。

  • システム管理者の資格情報を使用して、組織の Admin Console にアクセスする
  • Admin Console に、フェデレーション用に構成された既存の SHA-1 ディレクトリが存在する
  • 組織の ID プロバイダーを構成するためのアクセス権がある(Microsoft Azure Portal、Google Admin Console など)

実装時に考慮すべきその他の事項については、実装に関する考慮事項を参照してください。

移行手順

アクセス要件および実装に関する考慮事項に適合していることを確認した後、次の手順に従って認証プロファイルを編集し、ディレクトリを移行します。

  1. Adobe Admin Console で、設定ディレクトリに移動します。

  2. 目的のディレクトリで「編集」アクションを選択します。次に、Details ディレクトリで「新しい IdP を追加」を選択します。

  3. ID プロバイダーを選択して、新しい認証プロファイルを設定します。お客様の組織がユーザーの認証に使用している ID プロバイダー(IdP)を選択します。「次へ」をクリックします。

  4. 選択した ID プロバイダーに応じて、次のいずれかの手順に従います。

    • Azure の場合:
      Microsoft Azure Active Directory のグローバル管理者の資格情報を使用して、Azure にログインし、権限プロンプトに同意します。Admin Console のディレクトリの詳細に戻ります。

    • Google の場合:

      1. SAML 設定の編集画面の表示から、ACS URLエンティティ ID をコピーします。
      2. 別のウィンドウで、Google 管理者資格情報を使用して Google Admin Console にログインし、アプリSAML アプリに移動します。
      3. +」記号を使用して新しいアプリケーションを追加し、Adobe アプリケーションを選択します。次に、「オプション 2」で IDP メタデータをダウンロードし、Adobe Admin Console の「SAML 設定の編集」にアップロードします。その後、「保存」をクリックします。
      4. Adobe の基本情報を確認します。前にコピーした ACS URL とエンティティ ID を「サービスプロバイダーの詳細」に入力します。
      5. 最後に、アプリ/SAML アプリ/Adobe の設定/サービスの状況に移動します。「サービスの状況」を「すべてのユーザーに対してオン」に設定し、「保存」を選択します。
      サービスの状況
    • 他の SAML プロバイダーの場合:

      1. 別のウィンドウで ID プロバイダーのアプリケーションにログインし、新しい SAML アプリを作成します(既存の SAML アプリを編集して、移行のダウンタイムを避けることはできません)。
      2. ID プロバイダーの設定に基づいて、Adobe Admin Console から ID プロバイダーの設定にメタデータファイルをコピーするか、ACS URL とエンティティ ID をコピーします。
      3. ID プロバイダーの設定から Adobe Admin Console にメタデータファイルをアップロードします。その後、「保存」をクリックします。
  5. Adobe Admin Console のディレクトリの詳細に、新しい認証プロファイルが作成されます。テストを使用して、すべてのエンドユーザーが SAML アプリにアクセスできるように、設定が正しく指定されているかどうかを確認します。

    テスト機能は、IdP の新しい認証プロファイルのユーザー名の形式が、ユーザーログイン用の既存のプロファイルのユーザー情報と一致することを確認します。

  6. アクティベート」をクリックして、新しい認証プロファイルに移行します。完了すると、新しいプロファイルに「In use」(使用中)と表示されます。

    アクティベートした後、新しい SAML 設定にあるアサーションの Subject(サブジェクト)フィールドの値が、Admin Console の既存のユーザーに付与されたユーザー名の形式と一致することを確認します。

    警告:

    新しい IdP 構成がアクティブになると、Okta SHA-1 プロファイルは 7 日間非アクティブなまま使用できます。その後、非アクティブなプロファイルカードは Adobe Admin Console のディレクトリから自動的に削除されます。削除された Okta プロファイルは、Adobe Engineering でサポートリクエストを送信することによってのみ復元できます。

ディレクトリを SHA-2 をサポートする SAML プロバイダーに移行した後は、ドメインの移行を使用して、他の SHA-1 ディレクトリから新しいディレクトリにドメインを移動できます。

制限事項と、設定時に発生しうるエラーを回避する方法について詳しくは、よくある質問:新しい認証プロバイダーへのディレクトリの移行を参照してください。

ディレクトリ間でのドメインの移動

Admin Console 内で、ドメインをソースディレクトリからターゲットディレクトリに移動することで、ディレクトリを構造化できます。ドメインからディレクトリへのリンクは、エンドユーザーが製品、サービス、保存されたアセットにアクセスできる状態を維持したまま、組織のニーズに基づいて再編成できます。同じ ID プロバイダーに対して設定されたドメインを 1 つの同じディレクトリに統合することで、IT チームの管理が合理化されます。

1 つのディレクトリから、SHA-2 認証を備えた新しい ID プロバイダー(Azure、Google、または他の SAML)を含む別のディレクトリに移行する場合は、両方のディレクトリに新しい IdP 設定を複製する必要があります。新しい IdP を設定することで、ディレクトリ内のすべてのドメインのユーザーについてテストログインが可能になります。新しい ID プロバイダーに応じて、次のいずれかの操作をおこないます。

  • Microsoft Azure の場合:新しい Azure IdP をディレクトリに追加し、同じ Azure テナントにログインします。
  • 他の SAML プロバイダー(Google を含む)の場合:IdP 上の同じ SAML アプリを参照する同一のメタデータファイルをアップロードします。

ドメインの移行が完了した後も、新しいディレクトリに属するユーザーはログインできます。これにより、ダウンタイムが回避され、割り当てられたアドビのアプリケーションやサービスに即座にアクセスできるようになります。 

注意:

ユーザーはアカウントからログアウトされ、ドメイン転送中は新しいセッションにログインできなくなります。エンドユーザーへの影響を最小限に抑えるため、オフピーク時にディレクトリを編集することをお勧めします。

ドメインの移動が必要な理由

この機能は、次のシナリオで利用できます。

  • 古い SHA-1 をサポートするディレクトリにドメインがあり、SHA-2 でサポートされているディレクトリに移動する場合。
  • SHA-2 認証プロファイルを使用して、既存のディレクトリを別の ID プロバイダーに移行する場合。
  • 信頼関係にあるディレクトリがある場合、または信頼のためにディレクトリを共有したいが、信頼されるディレクトリ内の一部のドメインにのみアクセスを許可する場合
  • 組織チームと部門に基づいてディレクトリをグループ化する必要がある場合
  • 1 つのドメインにリンクされている複数のディレクトリがあり、それらを統合する場合
  • 誤ってドメインを間違ったディレクトリにリンクした場合
  • ドメインをセルフサービスで Enterprise ID から Federated ID または Federated ID から Enterprise ID に移動する場合

暗号化されたディレクトリまたは信頼できるディレクトリの取り扱い

ソースディレクトリまたはターゲットディレクトリが暗号化されているか信頼関係にある場合、ドメインを直接移動することはできません。次の場合は、説明に従ってドメインを移動します。

使用例

推奨されるアプローチ

Admin Console 組織間でドメインを移動する

Adobe サポートに問い合わせる

互いに信頼関係にあるディレクトリ間でドメインを移動する

以下の手順に従います。

信頼関係にあるが双方向の信頼ではないディレクトリ間でドメインを移動する

信頼関係を撤回し、ドメインを移動した後、信頼関係を再確立します。

警告:

暗号化されたディレクトリおよびドメイン間の移動は現在サポートされていません。

ドメインを移動する

以下の手順に従って、ソースディレクトリからターゲットディレクトリにドメインを移動します。

  1. Adobe Admin Console にログインし、「設定」に移動します。

  2. ドメイン」に移動し、ターゲットディレクトリに移動するドメインを選択します。その後、「ディレクトリを編集」をクリックします。

    ディレクトリを編集
  3. ディレクトリを編集画面のドロップダウンからディレクトリを選択します。下部のトグルを使用して、完了通知のオンとオフを切り替えます。その後、「保存」をクリックします。

    ディレクトリを選択

設定/ID の下のドメインセクションが表示されます。すべてのドメインとそのステータスが一覧表示されます。

ドメインが正常に移動されると、システム管理者にドメインの移動についての電子メールが送信されます。次に、ディレクトリ名を編集し、必要に応じて空のディレクトリを削除します。

ディレクトリとドメインを削除する

不要になったディレクトリとドメインを Admin Console から削除できます。

注意:

以下が入っているディレクトリを削除することはできません。

  • アクティブなユーザー
  • リンクされたドメイン
  • 共同利用者

  1. Admin Console にログインし、設定ID に移動します。

  2. ディレクトリ」タブに移動します。

  3. 削除する 1 つまたは複数のディレクトリ名の左側にあるチェックボックスをクリックして、「ディレクトリを削除」をクリックします。

  4. ディレクトリを削除画面で、「削除」をクリックします。

注意:

Admin Console でドメインにユーザーが追加されているか、ディレクトリに関連付けられている場合は、そのドメインを削除することはできません。

  1. Admin Console にログインし、設定ID に移動します。

  2. ドメイン」タブに移動します。

  3. 削除するドメイン名の左側にあるチェックボックスをクリックして、「削除」をクリックします。

  4. ドメインを削除画面で、「削除」をクリックします。