Google フェデレーション(Google コネクタ)は、Google Admin Console を Adobe Admin Console に接続し、SSO のセットアップのプロセスを簡素化します。Google コネクタを使用すると、ユーザーの同期とライセンスプロビジョニングのワークフローを自動化して、わずか数分で SSO をセットアップできます。

注意:

Google Identity で設定された現在機能中の SAML ベースの SSO がある場合は、現在の設定を維持することをお勧めします。今後追加される機能で、ユーザーと SSO の設定を自動的に移行できるようになります。

ワークフローの概要

Google フェデレーションワークフローの概要

概要

Google コネクタを使用した SSO の設定(視聴時間:2 分)

Google Admin Console を使用してシングルサインオン(SSO)を構成し、Adobe のアプリケーションやサービスのユーザーと使用権限を管理できます。このシナリオでは、Adobe Admin Console は、Google を ID プロバイダー(IdP)として使用します。 

Google フェデレーションは、Google Admin Console と Adobe Admin Console の手順を含む、ディレクトリ作成、ドメインクレーム、SSO セットアップ、SAML アプリ作成、およびユーザープロビジョニングのプロセスを単一のシンプルなワークフローにまとめます。Adobe Admin Console とリンクされた Google ユーザーは一意であり、1 つ以上の製品プロファイルに割り当てることができます。

コネクタのセットアップが完了すると、最初の同期によって Google Admin Console からすべてのユーザーがインポートされます。その後、同期を定期的に実行して、Adobe Admin Console 内のユーザーを最新の状態に保ちます。変更がおこなわれると、追加または削除されたユーザーの概要について、Adobe Admin Console のシステム管理者に通知メールが送信されます。

メリット

Google ID フェデレーションと同期ツールを使用すると、次の方法で時間と労力を節約できます。

  • 2 つの Admin Console が直接接続されているため、ドメインのクレームなどの手順を重複しておこなう必要がありません。
  • シームレスなワークフローによって迅速に設定が実行され、初期同期が開始されます。
  • Google Admin Console は、すべてのユーザーを管理する一元的な場所になります。
  • G-Suite の関連グループから直接、ユーザーを簡単にオンボードおよびオフボードできます。
  • Adobe Admin Console に同期するための追加のサービスや API のセットアップは不要です。

前提条件

Adobe Admin Console ユーザーの管理を Google のユーザー管理と統合するには、組織に以下が必要です。

  • Google Admin Console の管理者であること
  • Google Admin Console でドメインが検証されていること
  • G Suite の Google の SAML アプリカタログの使い方を理解していること

サポートされている統合シナリオ

Google コネクタは、複数の Google Admin Console と複数の Admin Console のシナリオをサポートしています。サポートされているシナリオは、次のとおりです。

単一の Google Admin Console テナントと単一の Adobe Admin Console との間に 1 対 1 の関係があり、Google コネクタを介して同期を確立して、ユーザーとプロビジョニングライセンスを管理します。

プライマリまたはトラスティの関係にある複数の Adobe Admin Console があり、トラスティ Admin Console がプライマリ Admin Console で確立された SSO 設定を利用できます。このような場合、Google コネクタは、プライマリ Admin Console のユーザーのみを管理します。

トラスティ Adobe Admin Console は SSO 構成を利用できます。ただし、信頼できる Admin Console に手動またはユーザー管理サービス( CSV 手動アップロードUser Sync Tool、または User Management API など)を介してユーザーを追加する前に、ユーザーをプライマリ Adobe Admin Console に同期する必要があります。

ユーザー管理とライセンスのプロビジョニングのために、複数の Google Admin Console テナントから単一の Adobe Admin Console にフィードします。Google コネクタは、単一の Adobe Admin Console へのマルチテナント同期を確立して、接続されているすべてのテナントに対してシングルサインオンとユーザー管理を有効にすることができます。

Google Admin Console フェデレーションの設定

前提条件を満たしている場合は、統合の設定をおこない、Adobe のアプリケーションとサービスをエンドユーザーにプロビジョニングすることができます。

注意:

セットアップのプロセスは、Adobe Admin Console と Google Admin Console の両方で必要な手順が並行したワークフローで構成されています。セットアッププロセス中は、両方のコンソールを別々のウィンドウですぐに使用できるようにしておくことをお勧めします。

Google Admin Console を使用してユーザーを設定します。

Google Admin Console をセットアップして準備ができたら、それぞれのウィンドウ(Adobe Admin Console または Adobe Admin Console)で次の手順を実行します。

  1. Adobe Admin Console にログインし、「設定」をクリックします。ID ページで「ディレクトリを作成」をクリックします。

  2. ディレクトリの作成画面で、次の手順を実行して「開始」をクリックします。

    • ディレクトリの名前を入力する
    • Federated ID カードを選択する
    Federated ID
  3. Google」を選択し、「次へ」をクリックした後、次の指示画面で「Google にログイン」をクリックします。指示画面に示されている手順を実行して、SAML 設定と Google のユーザーを同期させます。

    Google
  4. Google のサインインページにリダイレクトされます。管理者のメールアドレスとパスワードを入力して、「次へ」をクリックします。 同意のプロンプトを確認し、権限を付与します。次に、「許可」をクリックして、Google アカウントに Adobe.com へのアクセスを許可します。

    Azure のサインイン許可
  5. Adobe Admin Console に戻り、G Suite の情報を確認して「確認」をクリックします。

    ディレクトリの詳細を確認する
  6. Adobe Admin Console と同期させるドメインを選択し、「同期」をクリックして、「次へ」をクリックします。

    ドメインのクレーム

    注意:

    選択して同期できるのは、ステータスが「所有権が検証されました」とあるドメインのみです。他のドメインは、同期する前に Google Admin Console で所有権を検証済みである必要があります。

  7. Adobe Admin Console にユーザーを同期するには、SAML Adobe アプリケーションを作成し、Google Admin Console でユーザープロビジョニングを設定する必要があります。以下の Google Admin Console でのユーザープロビジョニングの許可と設定の手順に従い、Adobe Admin Console で Google の設定画面に戻ります。次に、「確認」をクリックしてセットアップを完了します。

    ユーザー確認の同期

Google Admin Console からユーザーを同期するには、次の手順に従う必要があります。

  1. 管理者の資格情報を使用して Google Admin Console にログインします。 ホーム画面で、「アプリ」に進みます。 次に、「SAML アプリ」を開きます。

  2. +」記号をクリックして新規 SAML アプリを追加し、スクロールしてリストから「Adobe」を選択します。リストからは、「Adobe Sign」ではなく、必ず「Adobe」を選択してください。

    新規 SAML アプリの選択
  3. Google IdP 情報画面のオプション 2IDP メタデータをダウンロードして、「次へ」をクリックします。Adobe Admin Console で Google の設定画面に進み、手順 3:Google メタデータをアップロードでこのファイルをアップロードします。

    Google ID 情報
  4. 次の画面で、Adobe の基本情報を確認し、サービスプロバイダーの詳細ウィンドウに移動します。Google の設定画面で提供された「ACS URL」と「エントリー ID」を入力します署名された応答ボックスにチェックを入れて、「終了」をクリックします。

    サービスプロバイダーの詳細
  5. Adobe の SSO を設定するダイアログで、「今すぐセットアップ」をクリックし、ユーザープロビジョニングセクションで「ユーザープロビジョニングを設定する」ボタンをクリックします。

  6. Adobe Admin Console の Google を構成する画面手順 4認証トークンAdobe のエンドポイント URL をコピーして、Google ユーザープロビジョニングの手順 1 と 2 でこれらをそれぞれ入力します。

  7. 属性のマッピング手順で、属性を変更せずに「次へ」をクリックします。 一部のユーザーグループのみを同期したい場合は、プロビジョニングスの範囲を設定するに名前を入力します。それ以外の場合は、空欄のままにしてディレクトリ全体を同期します。次に、「完了」をクリックします。

    属性のマッピング
  8. ユーザープロビジョニングセクションには、プロビジョニング状態オフで表示されます。「サービスを編集」をクリックして、サービスの状況で「全ユーザーに対してオン」を選択し、「保存」をクリックします。

    サービスの状況
  9.  ユーザープロビジョニングダイアログを確認し、「アクティベート」をクリックしてセットアップを完了します。

  10. プロビジョニングステータスがオンに代わり、同期ステータスの概要が表示されます。Google の設定画面に進み、セットアップを完了して、ユーザーの同期を開始します。

    ユーザープロビジョニング

ドメインとディレクトリに対して、Google Admin Console からの同期が開始します。同期されたユーザーなどの詳細情報が「詳細」セクションの「設定」タブの下に表示されます。

ディレクトリの詳細

同期が完了すると、エンドユーザーに製品を割り当てることができます。

次の手順

同期が完了すると、すべてのユーザーが Adobe Admin Console に読み込まれます。これで、適切な製品プロファイルを作成し、それらをユーザーに関連付けて、製品の割り当てを微調整することができるようになりました。詳しくは、製品およびプロファイルの管理を参照してください。

組織は、アプリケーションをエンドユーザーにデプロイする方法を、IT が管理するパッケージか、またはセルフサービスでダウンロードとインストールをおこなう Creative Cloud デスクトップアプリケーションのいずれかから、決定するとことができます。パッケージ化とデプロイメントのオプションに関する詳細をご覧ください。

ディレクトリとドメインを削除する

注意:

  • ディレクトリを削除するには、まず、ディレクトリに関連付けられたすべてのユーザー、ドメイン、トラスティを削除する必要があります。
  • ディレクトリユーザーからユーザーを削除すると、そのユーザーとそのユーザーに関連付けられたすべての Creative Cloud アセットが削除されます。その場合、ユーザーとアセットは復元できません。

次の手順に従って、関連付けられているすべてのユーザーとドメインを削除し、対応する Google 同期ディレクトリを削除します。

  1. Google Admin Console にログインし、Adobe SAML アプリの詳細まで移動します。ユーザーの削除を開始するには、Adobe SAML アプリをオフにし、ユーザープロビジョニングをオンにします。

    警告:

    最初に Google Admin Console から Adobe SAML アプリケーションを削除しないでください。

    SAML アプリが削除されている場合は、再作成する必要があります。詳しくは、Adobe 用 SAML による SSO のセットアップアドビアプリケーションの有効化のステップを参照してください。

    ユーザープロビジョニング
    ユーザーの削除用に構成された Adobe SAML サンプルアプリケーション

    設定が完了すると、Google のユーザープロビジョニングシステムが、Adobe Admin Console からユーザーを削除するリクエストの送信を開始します(このプロセスは、Google のアクティブなキューに基づいて、開始までに最大 24 時間かかります)。

  2. 確立された Google ディレクトリの詳細で同期済みユーザー数が減少します。

    同期済みユーザー数が減少しない場合は、Google Admin Console のユーザープロビジョニングパネルにある「ユーザーの失敗」セクションを確認します。この数値が 0 でない場合は、数字をクリックして、エラーのトラブルシューティングをおこないます。

    警告:

    プロセスは Google が制御しており、削除されるユーザーの数によっては、処理に時間がかかる場合があります。

    ユーザーをまず「 ユーザー 」セクションから削除した後、「 ディレクトリユーザー 」から削除することをお勧めします。

  3. Adobe Admin Console で、「ディレクトリユーザー」セクションに移動し、適切なディレクトリを選択して、すべてのユーザーを削除します。

    ユーザーのテーブルの下部から一度に最大 100 人のユーザーを選択することで、より迅速に選択できます。

  4. ディレクトリユーザー」セクションからユーザーを削除した後、関連付けられたドメインを削除します。対応する Google 同期ディレクトリの「詳細」に移動し、同期からすべてのドメインの選択を解除します。

    次に設定IDドメインに移動し、Google ディレクトリに関連付けられたドメインをリストから削除します。

  5. これで、ディレクトリを削除する準備が整いました。「設定」タブで空のディレクトリを選択して削除します。

  6. Google Admin Console で関連の Adobe SAML アプリケーションを削除します。削除せずに再びオンにすると、以前のアクションを拒否するエラーが発生する場合があります。

注意:

削除するドメインに対してドメインの信頼が確立されていないことを確認します。

これらの信頼関係を維持する場合は、残りの手順を完了する間に一時的に関係を解除します。ドメインの信頼は、Adobe Admin Console でドメインが再確立された後に、関連付けることができます。ディレクトリの信頼について詳しくは、リンクをクリックして参照してください。