某些 Creative Cloud 应用程序、服务和功能在中国不可用。
注意:
組織内に SHA-1 認証済みのディレクトリが存在する場合、Admin Console で SHA-2 証明書の拡張セキュリティをシームレスに更新します。ダウンタイム無しで SHA-1 から SHA-2 に移行するには、既存のディレクトリ内で新しい認証プロファイルを追加してアクティベートします。詳しくは、新しい認証プロバイダーへの移行を参照してください。
新しく作成したディレクトリはすべて、デフォルトで SHA-2 認証が有効になります。
システム管理者として Admin Console で最初におこなうことが、エンドユーザーを認証するための ID システムの定義と設定です。アドビ製品とサービスのライセンスを購入した後、ライセンスをエンドユーザーにプロビジョニングする必要があります。そのためには、ユーザーを認証する方法が必要です。
アドビは、エンドユーザーの認証に使用できる次の ID タイプを提供しています。
- Adobe ID
- Enterprise ID
- Federated ID
組織が個別にアカウントを所有し、ドメイン内のユーザーを管理する場合は、Enterprise ID または Federated ID(シングルサインオン)を使用してください。
ここでは、Enterprise ID または Federated ID を使用してエンドユーザーを認証するために必要な ID システムの設定方法を説明します。
注意:
このドキュメントに記載されているディレクトリの設定とドメインの設定の手順は完全に切り離されています。つまり、これらの手順は順序を問わず、並行しておこなうこともできます。ただし、電子メールのドメインをディレクトリにリンクするためには、両方の手順を完了する必要があります。
組織の ID プロバイダーです。Active Directory、Microsoft Azure、Ping、Okta、InCommon、Shibboleth などがあります。
一般に使用される IdP を使用して Creative Cloud の SSO を設定する方法について詳しくは、記事の最後のその他の関連ヘルプを参照してください。
組織によって作成、所有、管理されます。Enterprise ID のホストと認証は Adobe がおこないますが、ID は組織が保持します。エンドユーザーは新規登録して Enterprise ID を作成したり、Enterprise ID を使用して Adobe からの追加製品およびサービスを利用したりすることはできません。
Enterprise ID は、管理者が作成してユーザーに発行します。管理者は、アカウントを借用するか、Enterprise ID を削除して関連するデータへのアクセスを完全にブロックすることにより、製品およびサービスへのアクセスを取り消すことができます。
次の要件やシナリオに該当する場合には、Enterprise ID を使用することが推奨されます。
- ユーザーが使用するアプリケーションやサービスを厳格に管理する必要がある場合
- ID に関連付けられたファイルやデータに緊急にアクセスする必要がある場合
- ユーザーアカウントを完全にブロックまたは削除する機能が必要な場合
組織によって作成、所有され、フェデレーションを通じてエンタープライズディレクトリにリンクされます。資格情報は組織が管理し、SAML2 ID プロバイダー(IdP)を使用してシングルサインオンを処理します。
次の要件やシナリオに該当する場合には、Federated ID を使用することが推奨されます。
- 組織のエンタープライズディレクトリに基づいてユーザーをプロビジョニングする場合
- ユーザーの認証を管理する場合
- ユーザーが使用するアプリケーションやサービスを厳格に管理する必要がある場合
- Adobe ID の追加に使用する電子メールアドレスと同じアドレスの使用をユーザーに許可する場合
注意:
ID プロバイダーは TLS 1.2 に準拠している必要があります。
エンドユーザーが作成、所有、管理します。認証はアドビが実行し、ID の管理はエンドユーザーがおこないます。ユーザーは、自分の ID に関連付けられたファイルやデータを完全に制御できます。ユーザーはアドビから追加の製品やサービスを購入することもできます。管理者は、ユーザーを組織に参加するよう招待したり、対象ユーザーを削除したりすることができます。ユーザーを Adobe ID アカウントからロックアウトすることはできません。管理者がアカウントを削除したり、管理を引き継いだりすることもできません。Adobe ID の使用を開始するために必要な設定は特にありません。
次の要件やシナリオに該当する場合には、Adobe ID を使用することが推奨されます。
- ユーザーが ID を作成、所有、管理できるようにする場合
- ユーザーが他のアドビ製品やサービスを購入または新規登録できるようにする場合
- Enterprise ID や Federated ID を現在サポートしていない他のアドビサービスをユーザーが使用することが想定される場合
- ユーザーが既に Adobe ID を所有し、ファイル、フォント、設定などのデータが関連付けられている場合
- 教育用環境で学生が卒業後も Adobe ID を保持できる場合
- 組織が管理するドメインの電子メールアドレスを使用していない契約社員やフリーランサーがいる場合
- Adobe グループ版契約がある場合は、この ID タイプを使用する必要があります
ユーザー ID は、認証ソースに対して検証されます。Enterprise ID や Federated ID を使用するには、ドメインを追加して固有の認証ソースを設定します。例えば、電子メールアドレスが john@example.com の場合、example.com がドメインですが、ドメインを追加すると、そのドメイン上の電子メールアドレスを使用して Enterprise ID や Federated ID を作成できるようになります。ドメインは、Enterprise ID か Federated ID のいずれかで使用できますが、両方に同じドメインを使用することはできません。ただし、複数のドメインを追加することはできます。
組織はドメイン管理を検証する必要があります。組織では、複数のドメインを追加することもできます。ただし、同じドメインは 1 回しか追加できません。一部のパブリックドメインや一般的なドメイン(gmail.com や yahoo.com など)は追加できません。
ID タイプについて詳しくは、ID タイプの管理を参照してください。
SHA-1 と SHA-2 は、ディレクトリの認証プロファイルのセキュリティを担当する証明書モデルです。SHA-2 は従来型の SHA-1 証明書よりもセキュリティが優れているため、新しく移行された認証プロファイルはすべて SHA-2 証明書を使用します。
注意:
アドビは現時点で、IdP-Initiated ワークフローをサポートしていません。
お客様の組織が Microsoft Azure を SSO プロバイダーとして設定している(または予定している)場合は、Azure コネクタの使用をお勧めします。また、Azure コネクタの設定:ディレクトリの作成のセクションで説明した手順に従います。
お客様の組織が Google フェデレーション を SSO プロバイダーとして設定している(または予定している)場合は、Google コネクタの使用をお勧めします。また、Google フェデレーションの設定:Adobe Admin Console でディレクトリを作成するセクションに記載されている手順に従います。
組織で次の 1 つ以上を使用している場合は、次の手順に従います。
- Enterprise ID
- Azure または、Google以外のSAML プロバイダー
- Microsoft Azure または Google federation を使用しているが、アドビのコネクタは使用していない場合。
-
Admin Console にログインし、設定/ID に移動します。
-
「Federated ID」を選択し、「次へ」をクリックして手順 5 に進みます。
Enterprise ID を選択して、「ディレクトリを作成」をクリックします。
Enterprise ID ディレクトリを作成する場合、このディレクトリの手順はここで終了です。
ドメインの設定に進んでください。
-
SAML プロファイルを追加画面を使用して、ID プロバイダー用の設定画面を開きます。
アイデンティティプロバイダー(IdP)によって、メタデータファイルをアップロードできる場合もあれば、ACS URL とエンティティ ID が必要な場合もあります。以下に例を示します。
- Azure Active Directory の場合:メタデータファイルをアップロードします。
- Google の場合:ACS URL とエンティティ ID をコピーし、Google IdP ソフトウェアでそれらを使用します。
- SalesForce の場合:メタデータファイルをダウンロードし、ファイルから証明書情報を抽出して、その証明書情報を SalesForce IdP ソフトウェアで使用します。
注意:
上記の Azure と Google のオプションは、それぞれ Azure と Google のコネクタを使用しないことを選択した場合に必要です。
- Azure コネクタを使用している場合は、Microsoft Azure AD コネクタの設定の手順に従います。
- Google コネクタを使用している場合は、Google Federation(Google フェデレーションの設定)の手順に従います。
以下のいずれかの方法で操作します。
方法 1:
「アドビのメタデータファイルをダウンロード」をクリックします。
メタデータファイルがローカルディスクにダウンロードされます。このファイルを使用して、ID プロバイダーとの SAML 統合を構成します。
方法 2:
ACS URL とエンティティ ID をコピーします。
-
Adobe Admin Console に戻り、SAML プロファイルを追加ウィンドウで IdP メタデータファイルをアップロードして「完了」をクリックします。
これでディレクトリが作成されます。
- Enterprise ID を選択した場合、設定はこれで終了です。
- 「他の SAML プロバイダー」オプションを使用してディレクトリを作成した場合、このディレクトリでは自動的に SHA-2 認証が使用されます。これで、SHA-1 認証を使用して作成したディレクトリを SHA-2 に更新して、別の ID プロバイダーに移行できるようになりました。詳しくは、新しい認証プロバイダーへの移行を参照してください。
次に、Admin Console でドメインを設定します。
注意:
組織のディレクトリが Microsoft Azure AD コネクタまたは Google Federation の同期を介して設定されている場合、手動でドメインを追加する必要はありません。ID プロバイダーの設定内で検証された選択したドメインは、Adobe Admin Console に自動的に同期されます。
エンドユーザーは、Admin Console で設定したドメインに対して認証されます。
ドメインを設定するには、次の操作をおこないます。
- Admin Console にドメインを追加する
- 特別な DNS レコードを追加して、ドメインの所有権を検証するための準備をする
- ドメインを検証する
Admin Console に追加するドメインは、同じ IdP で登録する必要はありません。ただし、これらのドメインをディレクトリにリンクするときに、各 IdP からそれぞれ別のディレクトリにドメインをリンクさせる必要があります。
ドメインが既に別の組織の Admin Console に追加されている場合は、Admin Console に追加できません。ただし、そのドメインへのアクセスを要求することはできます。
-
Admin Console にログインし、設定/ID に移動します。
組織はドメインの所有権を実証する必要があります。組織は、Admin Console に必要な数のドメインを追加できます。
Admin Console では、1 つの DNS トークンを使用してすべてのドメインの所有権を実証できます。また、Admin Console では、サブドメインの DNS 検証は不要です。つまり、DNS トークンを使用してドメインの所有権を実証すれば、そのドメインのサブドメインが Admin Console に追加されると同時に、すべて自動的に検証されます。
-
Admin Console にログインし、設定/ID に移動して、「ドメイン」タブに移動します。
-
クレームするドメインが自社の所有するドメインであることを証明するには、生成された DNS トークンを含む TXT レコードを追加する必要があります。正確な手順はドメインホストによって異なります。一般的なガイドラインについては、ドメイン所有権の確認を参照してください。
-
手順を完了するには、DNS サーバーに追加で情報を入力します。効率的に作業できるように、事前に DNS マネージャーに連絡してください。
アドビは、ドメインの DNS レコードを定期的にチェックします。DNS レコードが正しい場合、ドメインは自動的に検証されます。Admin Console にログインして、手動ですぐにドメインを検証することも可能です。次に、ドメインを検証する必要があります。
ドロップダウンリストから「DNS トークンにアクセス」を選択します。
DNS の変更が有効になるまで最大 72 時間かかることがあるため、検証時にエラーメッセージが表示される場合があります。詳しくは、DNS レコードに関するよくある質問を参照してください。
ドメインの所有権の検証後、Admin Console の必要なディレクトリに検証されたドメインをリンクできます。
Enterprise ID または Federated ID の設定が完了したら、購入したアドビ製品とサービスをユーザーに提供することができます。
Admin Console については、ユーザー向けの概要を参照してください。または、次のいずれかの方法を使用して、すぐに Admin Console にユーザーを追加することもできます。
- Azure コネクタが設定されている場合は、Azure AD でユーザーとグループをセットアップする方法を確認します。
- Google コネクタが設定されている場合は、Google Admin Console でユーザープロビジョニングを認証および設定する方法を確認します。
- または、個人ユーザーを追加したり、CSV 一括アップロード、User Sync ツール、またはUser Management REST API を使用したりすることができます。
Admin Console にユーザーを追加したら、ユーザーを製品プロファイルに割り当ててプロビジョニングします。
1 つのドメインの所有権をクレームできるのは 1 つの組織のみです。そこで、次のシナリオについて考えてみます。
Geometrixx という会社には複数の部署があり、各部署には独自の Admin Console があります。また、いずれの部署でも、geometrixx.com ドメインを使用した Federated ID をユーザー ID として使用したいと考えています。この場合、各部署のシステム管理者は、このドメインを認証のためクレームする必要があります。Admin Console は、ある組織のドメインが別の組織の Admin Console に追加されるのを防ぎます。ただし、1 つの部署により追加された後、他の部署は、組織の Admin Console に代わってそのドメインがリンクされているディレクトリへのアクセスを要求することができます。
ディレクトリの信頼性により、ディレクトリの所有者は他のシステム管理者(共同利用権所有者)を信頼することができます。その後、Admin Console の共同利用権を所有する組織は、信頼されたディレクトリ内の任意のドメインにユーザーを追加できます。
まとめると、Admin Console で Enterprise ID または Federated ID を使用する場合は、組織に関連付けられたドメインを追加する必要があります。このドメインが既に別の組織によって追加されている場合、そのドメインに含まれるディレクトリへのアクセスを共同利用権所有者として要求する必要があります。
ディレクトリへのアクセスを要求するには、上のドメインの設定にある、ドメインを追加する手順を参照してください。
警告:
ディレクトリの所有者が、そのディレクトリへのアクセス要求を承認すると、共同利用権を所有する組織はそのディレクトリに関連付けられているすべてのドメインにアクセスできるほか、以後そのディレクトリに関連付けられるすべてのドメインにもアクセスできます。このように、ドメインとディレクトリのリンク計画は、組織の ID システムを設定する上で不可欠な手順です。
このドメインへのアクセスを要求すると、送信者の名前、電子メール、組織名が所有者組織のシステム管理者と共有されます。
ディレクトリのタイプ(Enterprise または Federated)は、所有者組織がおこなった設定によって決まります。そのため、所有者組織によって選ばれたタイプのディレクトリを使用する必要があります。
ドメインは既に所有者によって設定されているため(詳しくは、ドメインの設定の「ドメインの所有権を実証する」を参照)、共同利用権所有者は特に何もおこなう必要がありません。アクセス要求が所有者によって承認されると、共同利用権を所有する組織は所有者組織が構成したとおりに、ディレクトリとすべてのドメインにアクセスできます。
所有者組織のシステム管理者は、所有しているディレクトリへのアクセス要求を承認するか拒否するかを選択できます。
所有するディレクトリへのアクセス要求の電子メールを受け取ったら、その電子メール内から要求の承認または拒否を選択できます。また、「アクセス要求」タブに移動してクレーム要求を管理することもできます。
Creative Cloud または Document Cloud エンタープライズ版を使用すると、ユーザーはファイルを安全かつセキュアに格納できます。他のユーザーとファイルを共有したり、共同作業したりすることもできます。ユーザーは Creative Cloud Web サイト、Creative Cloud デスクトップアプリケーション、Creative Cloud モバイルアプリを利用してファイルにアクセスできます。ストレージは、組織とアドビとの契約に含まれている場合にのみ、Creative Cloud または Document Cloud エンタープライズ版で利用できます。
Creative Cloud および Document Cloud 上で制御とセキュリティの追加レイヤーのすべてのデータを暗号化する際、組織内の一部または全部のディレクトリの専用暗号化キーを生成するようアドビに求めることができます。次に、コンテンツは、専用の暗号化キーによる標準の暗号化により暗号化されます。暗号化キーは、必要に応じて Admin Console から無効にすることができます。
専用の暗号化キーは、ストレージとサービスが含まれた Creative Cloud または Document Cloud エンタープライズ版の共有サービスプランでのみ利用できます。
詳しくは、Admin Console でキーの暗号化を管理する方法を参照してください。
SHA-1 認証を使用するディレクトリが存在する場合に、新しいディレクトリを明示的に作成する必要なしに、SHA-1 認証プロファイルから SHA-2 認証プロファイルにシームレスに移行できるようになりました。
また、移行の際には、確立されたディレクトリの別の ID プロバイダーに移行できます。
警告:
IdP の既存の設定は、ディレクトリの 2~3 のアクティブなアカウントで新しい設定が正常におこなわれたことを確認するまで削除しないでください。
検証前に削除すると、以前の構成にロールバックできなくなり、問題が解決される間にダウンタイムが発生します。詳しくは、移行手順に従ってください。
SHA-2 認証プロファイルに移行するには、次の要件を満たす必要があります。
- システム管理者の資格情報を使用して、組織の Admin Console にアクセスする
- Admin Console に、フェデレーション用に構成された既存の SHA-1 ディレクトリが存在する
- 組織の ID プロバイダーを構成するためのアクセス権がある(Microsoft Azure Portal、Google Admin Console など)
実装時に考慮すべきその他の事項については、実装に関する考慮事項を参照してください。
アクセス要件および実装に関する考慮事項に適合していることを確認した後、次の手順に従って認証プロファイルを編集し、ディレクトリを移行します。
-
-
- SAML 設定の編集画面の表示から、ACS URL とエンティティ ID をコピーします。
- 別のウィンドウで、Google 管理者資格情報を使用して Google Admin Console にログインし、アプリ/SAML アプリに移動します。
- 「+」記号を使用して新しいアプリケーションを追加し、Adobe アプリケーションを選択します。次に、「オプション 2」で IDP メタデータをダウンロードし、Adobe Admin Console の「SAML 設定の編集」にアップロードします。その後、「保存」をクリックします。
- Adobe の基本情報を確認します。前にコピーした ACS URL とエンティティ ID を「サービスプロバイダーの詳細」に入力します。
- 最後に、アプリ/SAML アプリ/Adobe の設定/サービスの状況に移動します。「サービスの状況」を「すべてのユーザーに対してオン」に設定し、「保存」を選択します。
-
「アクティベート」をクリックして、新しい認証プロファイルに移行します。完了すると、新しいプロファイルに「In use」(使用中)と表示されます。
アクティベートした後、新しい SAML 設定にあるアサーションの Subject(サブジェクト)フィールドの値が、Admin Console の既存のユーザーに付与されたユーザー名の形式と一致することを確認します。
警告:
新しい IdP 構成がアクティブになると、Okta SHA-1 プロファイルは 7 日間非アクティブなまま使用できます。その後、非アクティブなプロファイルカードは Adobe Admin Console のディレクトリから自動的に削除されます。削除された Okta プロファイルは、Adobe Engineering でサポートリクエストを送信することによってのみ復元できます。
ディレクトリを SHA-2 をサポートする SAML プロバイダーに移行した後は、ドメインの移行を使用して、他の SHA-1 ディレクトリから新しいディレクトリにドメインを移動できます。
制限事項と、設定時に発生しうるエラーを回避する方法について詳しくは、よくある質問:新しい認証プロバイダーへのディレクトリの移行を参照してください。
Admin Console 内で、ドメインをソースディレクトリからターゲットディレクトリに移動することで、ディレクトリを構造化できます。ドメインからディレクトリへのリンクは、エンドユーザーが製品、サービス、保存されたアセットにアクセスできる状態を維持したまま、組織のニーズに基づいて再編成できます。同じ ID プロバイダーに対して設定されたドメインを 1 つの同じディレクトリに統合することで、IT チームの管理が合理化されます。
1 つのディレクトリから、SHA-2 認証を備えた新しい ID プロバイダー(Azure、Google、または他の SAML)を含む別のディレクトリに移行する場合は、両方のディレクトリに新しい IdP 設定を複製する必要があります。新しい IdP を設定することで、ディレクトリ内のすべてのドメインのユーザーについてテストログインが可能になります。新しい ID プロバイダーに応じて、次のいずれかの操作をおこないます。
- Microsoft Azure の場合:新しい Azure IdP をディレクトリに追加し、同じ Azure テナントにログインします。
- 他の SAML プロバイダー(Google を含む)の場合:IdP 上の同じ SAML アプリを参照する同一のメタデータファイルをアップロードします。
ドメインの移行が完了した後も、新しいディレクトリに属するユーザーはログインできます。これにより、ダウンタイムが回避され、割り当てられたアドビのアプリケーションやサービスに即座にアクセスできるようになります。
注意:
ユーザーはアカウントからログアウトされ、ドメイン転送中は新しいセッションにログインできなくなります。エンドユーザーへの影響を最小限に抑えるため、オフピーク時にディレクトリを編集することをお勧めします。
この機能は、次のシナリオで利用できます。
- 古い SHA-1 をサポートするディレクトリにドメインがあり、SHA-2 でサポートされているディレクトリに移動する場合。
- SHA-2 認証プロファイルを使用して、既存のディレクトリを別の ID プロバイダーに移行する場合。
- 信頼関係にあるディレクトリがある場合、または信頼のためにディレクトリを共有したいが、信頼されるディレクトリ内の一部のドメインにのみアクセスを許可する場合
- 組織チームと部門に基づいてディレクトリをグループ化する必要がある場合
- 1 つのドメインにリンクされている複数のディレクトリがあり、それらを統合する場合
- 誤ってドメインを間違ったディレクトリにリンクした場合
- ドメインをセルフサービスで Enterprise ID から Federated ID または Federated ID から Enterprise ID に移動する場合
警告:
暗号化されたディレクトリおよびドメイン間の移動は現在サポートされていません。
-
Adobe Admin Console にログインし、「設定」に移動します。
ドメインが正常に移動されると、システム管理者にドメインの移動についての電子メールが送信されます。次に、ディレクトリ名を編集し、必要に応じて空のディレクトリを削除します。