Admin Console を使用すると、エンタープライズユーザーは、既存の ID 管理システムとシングルサインオン(SSO)対応管理システムを組み合わせて、アドビエンタープライズ製品の認証を実行できます。シングルサインオンは、エンタープライズ ID 管理システムとアドビのようなクラウドサービスプロバイダーを結び付ける業界標準プロトコルである SAML を使用して有効化されます。SSO により、サービスプロバイダー(アドビ)とお客様の ID プロバイダー(IdP)の間で認証情報を安全に交換することが可能になります。サービスプロバイダーがユーザー認証のため、IdP にリクエストを送信します。認証後、IdP はユーザーログインのためレスポンスメッセージを返します。詳しくは、シングルサインオンの構成を参照してください。
アドビでは、次の ID タイプを提供しています。
アドビでは、エンタープライズストレージなど、エンタープライズレベルの機能をはじめとするメリットを提供するため、既存のすべての Adobe ID を Business ID に移行しています。企業の新規のお客様はすべて、チームメンバーに Business ID を使用することになります。
お客様の組織のこのアップグレードスケジュールが確定した際に、事前にお知らせします。詳しくは、「Business ID と新しいストレージ機能の概要」を参照してください。お客様は、組織が移行されるまで、引き続き Adobe ID タイプを使用して組織にアクセスできます。移行後は、Adobe ID では組織にアクセスできなくなります。
はい。クレームされた同じドメイン内でなければ、Enterprise ID、Federated ID、Adobe ID から複数種類を選択いただけます。
Enterprise ID と Federated ID はドメインレベルで排他的です。そのため、いずれか一方しか選択できません。Adobe ID は、Federated ID または Enterprise ID とともに使用できます。
例えば、エンタープライズで 1 つのドメインのみをクレームした場合、IT 管理者は、Enterprise ID または Federated ID のいずれかを選択できます。エンタープライズ内で組織が複数のドメインをクレームした場合、IT 管理者は 1 つのドメインで Adobe ID と Enterprise ID を使用し、別のドメインで Adobe ID と Federated ID を使用する、といったことが可能です。つまり、各ドメインについて、Adobe ID と Enterprise ID の組み合わせ、または Adobe ID と Federated ID の組み合わせを使用できることになります。
Federated ID でのアドビライセンスの管理は、より高速かつ簡単で、安全性に優れています。
ログイン時に、ユーザーは、組織の一般的な使い慣れたシングルサインオンの操作にリダイレクトされます。
はい。同じドメインを使用して、Enterprise ID から Federated ID に切り替えることができます。詳しくは、ディレクトリ間でドメインを移動する方法を参照してください。
はい。アドビで SAML 2.0 に準拠した ID プロバイダーを利用してエンタープライズディレクトリとそのログインおよび認証インフラストラクチャをフェデレーションすることができます。
いいえ。Federated ID でドメインをクレームした場合、そのドメイン内のメールアドレスを含む既存の Adobe ID が変更されることはありません。Admin Console 内の既存の Adobe ID はそのまま保持されます。
アセットの移行のプロセスは自動化されています。このプロセスを開始すると、お客様の Adobe ID アカウントに現在保存されているすべてのサポートされたコンテンツは、Enterprise ID または Federated ID アカウントへの移行されます。詳しくは、アセットの自動移行を参照してください。
アドビの Federated ID の実装では承認をサポートしています。認証は ID プロバイダー(IdP)が対応します。
エンタープライズ組織であれば、(Active Directory などの企業 ID 構造を利用する)認証サービスとアドビ製品との関連付けを作成できます。これにより、エンタープライズ組織は認証を提供できます。アドビでパスワードが保存されることはありません。また、IT 管理者は Admin Console を通じて Federated ID のパスワードのリセットや、ユーザー名の編集を実行することはできません。
はい、Admin Console 内からユーザーの読み込み機能を使用できます。詳しくは、複数ユーザーの追加を参照してください。
いいえ。アドビは ID プロバイダーとやり取りしますが、エンタープライズディレクトリを直接扱いません。ただし、エンタープライズディレクトリから Admin Console へのユーザー/グループ情報の読み込みはサポートしています。詳しくは、複数ユーザーの追加を参照してください。
アドビでは、すべての大規模法人の管理者は Adobe ID を Federated ID へ切り替えるようお勧めしています。Adobe ID を Federated ID に移行するには、こちらの手順をご利用ください。
アドビは一般的に採用されている安全な業界標準である Security Assertion Markup Language(SAML)を使用しています。これにより、アドビの SSO の実装は、SAML 2.0 をサポートする ID プロバイダーと簡単に統合します。
SAML 2.0 に準拠している IdP は次のとおりです。
*ID プロバイダーが Microsft Azure AD または Google の場合は、SAML ベースの方法を省略し、Azure AD コネクタまたは Google フェデレーション SSO を使用して、Adobe Admin Console で SSO をそれぞれ設定してください。これらの設定は、Adobe Admin Console を使用して確立および管理され、ユーザー ID と資格の管理には同期メカニズムが使用されています。
はい、SAML 2.0 プロトコルに準拠している限り統合は可能です。
はい、また ID プロバイダーは SAML 2.0 に準拠している必要があります。
SAML ID プロバイダーに必要な最小要件は、次のとおりです。
詳しくは、ID プロバイダーにお問い合わせください。
いいえ。2048 ビットの証明書が破損したことはありません。また、唯一 768 ビットの証明書のクラッキングにも成功した人でさえ(Lenstra のグループ)、同じハードウェアで 1024 ビットの証明書をクラッキングするには(2048 ビットの証明書をクラッキングするよりは、およそ 32,000,000 倍も簡単ですが)、1000 年以上かかると言われています。
様々な長さの証明書をクラッキングするのにかかる時間の最新の見積もりデータについては、上記のリンク先 web サイトを参照してください。これらの証明書がどのくらい安全かを示す図(正確ですが、マーケティング指向)についても、上記 web サイト(または後援している数学の web サイト)をご覧ください。
商用の 2048 ビットの証明書は、年間 10 ドルで入手できます。また、IdP で使用する証明書は、自己署名できます。これは、オープンソースソフトウェアで無料で生成できることを意味します。
いいえ。2 つのレイヤーで強力に暗号化され、IdP の ID がチェックされるため、IdP を偽装する前にクラッキングする必要があります。また、どちらのレイヤーでも、自己署名できません。つまり、暗号化を強制する証明書だけでなく、証明書を生成した署名者の証明書もクラッキングする必要があるということです。
プレミアムサポート用の電話番号とメールアドレスについては、アカウント管理者に送信された案内メールと添付の PDF を参照してください。
同じ URL エンドポイントを複数のディレクトリに対して使用することができます。ただし、フェデレーションメタデータは、IdP ごとに別々に管理されます。そのため、共通 IdP エンドポイントは、コンテンツの異なる要求を処理する必要があります。
はい、ディレクトリの SAML 統合でユーザー名形式が使用されており、Admin Console 上のユーザー名が、提供されている永続的 ID と同じ場合はサポートされます。ただし、これを行うには、ユーザーが Admin Console に同期される時点で、永続的 ID が用意されている必要があります。これは一般的なシナリオではないため、実際には、NameID 要素の永続的形式はサポートされません。
いいえ。Admin Console では、NameID 要素値がユーザー名として使用され、NameQualifier は無視されます。
はい。アドビは SHA256 証明書をサポートしています。詳しくは、ID の設定を参照してください。
はい。認証局(CA )の署名付き証明書を Adobe カスタマーサポートに提供してください。アドビが代わりにアップロードします。
続行するには、Admin Console にログインし、サポート/サポートの概要に移動して「ケースを作成」をクリックします。詳しくは、サポートケースの作成や管理の方法を参照してください。
Okta 証明書は、デフォルトで自己署名されています。例外として(おそらく有料で)、公的 CA によって署名された証明書を入手することもできます。
アドビのデスクトップアプリ、サービスおよびモバイルアプリでの SSO の設定の詳しい手順については、シングルサインオンの構成をご覧ください。
いいえ。Admin Console を通じてユーザーに通知を送信することはできません。企業のお客様の場合、アドビのソフトウェアおよびサービスで SSO を開始できるようになった後で、ユーザーに独自の通知を配信する必要があります。
いいえ。エンタープライズディレクトリからユーザー/ID を削除するか無効にした場合、ユーザー/ID は Adobe Admin Console から自動的に削除または無効化されません。ただし、ユーザーは Adobe Creative Cloud デスクトップアプリ、サービス、モバイルアプリ、または Acrobat アプリにログインすることができなくなります。ユーザー/ID は Admin Console から手動で削除する必要があります。
はい、Admin Console を使用して、ユーザー、グループおよび権限を管理する必要があります。ただし、Admin Console にグループを一度作成したら、ユーザーおよびグループの両方の情報を含む CSV ファイルをアップロードできます。これにより、ユーザーアカウントが作成され、指定されたグループに配置されます。
いいえ、Admin Console を使用して Federated ID のパスワードをリセットすることはできません。アドビではユーザーの資格情報を保存しません。ユーザーを管理するには ID プロバイダーを使用してください。
ここでは、新しい認証プロバイダーへのディレクトリの移行と非推奨の SAML セットアップの更新に関する質問に回答します。
開始する前に、別の ID プロバイダーへの移行手順を実行するためのアクセス要件を満たしていることを確認します。また、組織のディレクトリをシームレスかつエラーなしに移行できるように、次の点を確認する必要があります。
これらの機能ではエラーログを使用できません。ただし、テストワークフローを使用することで、管理者がアクティブ化の前に関連するエラーを検証できます。以下の制限事項を考慮してください。
アカウントにログイン