マニュアル キャンセル

シングルサインオンに関するよくある質問

  1. アドビエンタープライズ版とグループ版:管理ガイド
  2. デプロイメントの計画
    1. 基本概念
      1. ライセンス
      2. ID
      3. ユーザー管理
      4. アプリのデプロイメント
      5. Admin Console の概要
      6. 管理ロール
    2. デプロイメントガイド
      1. ユーザー指定デプロイメントガイド
      2. SDL デプロイメントガイド
      3. Adobe Acrobat のデプロイ 
    3. Creative Cloud 教育機関向けのデプロイ
      1. デプロイメントガイド
      2. Google Classroom で Adobe Express を有効にする
      3. Canvas LMS との連携
      4. Blackboard Learn との連携
      5. 地域ポータルと LMS 用の SSO の構成
      6. Roster Sync を使用したユーザーの追加
      7. Kivuto のよくある質問
      8. 初等および中等教育機関の購入資格のガイドライン
  3. 組織の設定
    1. ID タイプ | 概要
    2. ID の設定 | 概要
    3. Enterprise ID を使用した組織の設定
    4. Azure AD フェデレーションと同期の設定
      1. Azure OIDC を介した Microsoft との SSO の設定
      2. Azure Sync のディレクトリへの追加
      3. Azure Connector の FAQ
    5. Google Federation と Sync の設定
      1. Google Federation を使用した SSO の設定
      2. ディレクトリへの Google Sync の追加
      3. Google Federation の FAQ
    6. Microsoft ADFS を使用した組織の設定
    7. 組織の教育委員会ポータルと LMS の設定
    8. 他の ID プロバイダーを使用した組織の設定
      1. ディレクトリの作成
      2. ドメインの所有権の確認
      3. ディレクトリへのドメインの追加
    9. SSO に関するよくある質問とトラブルシューティング
      1. SSO のよくある質問
      2. SSO のトラブルシューティング
      3. 教育機関に関するよくある質問
  4. 組織の設定の管理
    1. 既存のドメインとディレクトリの管理
    2. アカウントの自動作成の有効化
    3. ディレクトリの信頼を介した組織の設定
    4. 新しい認証プロバイダーへの移行 
    5. アセットの設定
    6. 認証の設定
    7. プライバシーとセキュリティの担当者
    8. Console の設定
    9. 暗号化の管理  
  5. 製品および使用権限の管理  
    1. ユーザーの管理
      1. 概要
      2. 管理ロール
      3. ユーザー管理テクニック
        1. ユーザーの個別管理   
        2. 複数のユーザーの管理(一括 CSV)
        3. ユーザー同期ツール(UST)
        4. Microsoft Azure Sync
        5. Google Federation Sync
      4. ユーザーの ID タイプの変更
      5. ユーザーグループの管理
      6. ディレクトリユーザーの管理
      7. 開発者の管理
      8. Adobe Admin Console への既存のユーザーの移行
      9. Adobe Admin Console へのユーザー管理の移行
    2. 製品および製品プロファイルの管理
      1. 製品を管理
      2. エンタープライズユーザーの製品プロファイルの管理
      3. 自動割り当てルールの管理
      4. 製品リクエストのレビュー
      5. セルフサービスポリシーの管理
      6. アプリ統合を管理
      7. Admin Console での製品権限の管理  
      8. 製品プロファイルのサービスの有効化/無効化
      9. 単体プラン | Creative Cloud エンタープライズ版
      10. オプションのサービス
    3. 共有デバイスライセンスの管理
      1. 新機能
      2. デプロイメントガイド
      3. パッケージの作成
      4. ライセンスの復元
      5. デバイスライセンスからの移行
      6. プロファイルの管理
      7. Licensing Toolkit
      8. 共有デバイスライセンスに関する FAQ
  6. ストレージとアセットの管理
    1. ストレージ
      1. エンタープライズストレージの管理
      2. Adobe Creative Cloud:ストレージ機能の更新について
      3. アドビストレージの管理
    2. アセットの移行
      1. アセットの自動移行
      2. アセットの自動移行に関する FAQ  
      3. 転送されたアセットの管理
    3. ユーザーのアセットの再利用
    4. 学生アセットの移行 | 教育機関のみ
      1. 学生アセットの自動移行
      2. アセットの移行
  7. Managed Services
    1. Adobe Stock
      1. Adobe Stock クレジットパックグループ版
      2. Adobe Stock エンタープライズ版
      3. Adobe Stock エンタープライズ版の使用
      4. Adobe Stock ライセンス承認
    2. カスタムフォント
    3. Adobe Asset Link
      1. 概要
      2. ユーザーグループの作成
      3. Adobe Experience Manager アセットの構成
      4. Adobe Asset Link の構成とインストール
      5. アセットの管理
      6. XD 用 Adobe Asset Link
    4. Adobe Acrobat Sign
      1. Adobe Acrobat Sign エンタープライズ版またはグループ版の設定
      2. Adobe Acrobat Sign - グループ版機能管理者
      3. Admin Console での Adobe Acrobat Sign の管理
    5. Creative Cloud エンタープライズ版 – 無料メンバーシップ
      1. 概要
      2. はじめに
  8. アプリおよびアップデートのデプロイ
    1. 概要
      1. アプリとアップデートのデプロイと提供
      2. デプロイするプラン
      3. デプロイメントの準備
    2. パッケージの作成
      1. Admin Console でのアプリのパッケージ化
      2. ユーザー指定ライセンスパッケージの作成
      3. パッケージ用のアドビテンプレート
      4. パッケージの管理
      5. デバイスライセンスの管理
      6. シリアル番号ライセンス
    3. パッケージのカスタマイズ
      1. Creative Cloud デスクトップアプリのカスタマイズ
      2. パッケージへのエクステンションの格納
    4. パッケージのデプロイ 
      1. パッケージのデプロイ
      2. Microsoft Intune を使用したアドビパッケージのデプロイ
      3. SCCM によるアドビパッケージのデプロイ
      4. ARD によるアドビパッケージのデプロイ
      5. Exceptions フォルダーの製品をインストール
      6. Creative Cloud 製品のアンインストール
      7. Adobe Provisioning Toolkit Enterprise Edition の使用
      8. Adobe Creative Cloud ライセンス識別子
    5. アップデートの管理
      1. Adobe のエンタープライズ版およびグループ版のお客様向け変更の管理
      2. アップデートのデプロイ
    6. Adobe Update Server Setup Tool(AUSST)
      1. AUSST の概要
      2. 内部アップデートサーバーのセットアップ
      3. 内部アップデートサーバーのメンテナンス
      4. AUSST の一般的な使用例   
      5. 内部アップデートサーバーのトラブルシューティング
    7. Adobe Remote Update Manager(RUM)
      1. Adobe Remote Update Manager の使用
      2. Adobe Remote Update Manager で使用するチャネル ID
      3. RUM のエラーの解決
    8. トラブルシューティング
      1. Creative Cloud アプリのインストールとアンイストールのエラーのトラブルシューティング
      2. クライアントコンピューターでのパッケージのデプロイ結果の確認
      3. Creative Cloud パッケージの「インストールに失敗しました」というエラーメッセージ
    9. Creative Cloud Packager を使用したパッケージの作成(CC 2018 以前のアプリ)
      1. Creative Cloud Packager について
      2. Creative Cloud Packager リリースノート
      3. アプリケーションパッケージ
      4. Creative Cloud Packager を使用したパッケージの作成
      5. ユーザー指定ライセンスパッケージの作成
      6. デバイスライセンスを使用したパッケージの作成
      7. ライセンスパッケージの作成
      8. シリアル番号ライセンスを使用したパッケージの作成
      9. Packager の自動化
      10. Creative Cloud 以外の製品のパッケージ化
      11. 設定の編集と保存
      12. システムレベルでのロケールの設定
  9. アカウントの管理
    1. グループ版アカウントの管理
      1. 概要
      2. 支払詳細を更新
      3. 請求書の管理
      4. 契約所有者の変更
      5. 販売店の変更
    2. グループ版ユーザーへのライセンスの割り当て
    3. 製品とライセンスの追加
    4. 更新
      1. グループ版メンバーシップ:更新
      2. VIP エンタープライズ版:更新とコンプライアンス
    5. ETLA 契約の自動期限切れステージ
    6. 既存の Adobe Admin Console 内での契約タイプの切り替え
    7. 購入リクエストコンプライアンス
    8. 中国における Value Incentive Plan(VIP)
    9. VIP Select のヘルプ
  10. レポートとログ
    1. 監査ログ
    2. 割り当てレポート
    3. コンテンツログ
  11. ヘルプを表示
    1. アドビカスタマーサポートへのお問い合わせ
    2. グループ版アカウントのサポートオプション
    3. エンタープライズ版アカウントのサポートオプション
    4. Experience Cloud のサポートオプション

Admin Console を使用すると、エンタープライズユーザーは、既存の ID 管理システムとシングルサインオン(SSO)対応管理システムを組み合わせて、アドビエンタープライズ製品の認証を実行できます。シングルサインオンは、エンタープライズ ID 管理システムとアドビのようなクラウドサービスプロバイダーを結び付ける業界標準プロトコルである SAML を使用して有効化されます。SSO により、サービスプロバイダー(アドビ)とお客様の ID プロバイダー(IdP)の間で認証情報を安全に交換することが可能になります。サービスプロバイダーがユーザー認証のため、IdP にリクエストを送信します。認証後、IdP はユーザーログインのためレスポンスメッセージを返します。詳しくは、シングルサインオンの構成を参照してください。

プラン

アドビでは、次の ID タイプを提供しています。

  • Enterprise ID:組織がアカウントを作成し、所有します。アカウントは、クレームされたドメインに作成されます。アドビが資格情報を管理し、ログインを処理します。
  • Federated ID:組織がアカウントを作成、所有して、フェデレーションを通じてエンタープライズディレクトリにリンクし、企業または教育機関が資格情報を管理して、シングルサインオンを通じログインを処理します。
  • Business ID:ユーザーや組織は、公開されているあらゆるドメインにアカウントを作成できます。アカウントとアセットは、組織が所有します。アドビが資格情報を管理し、ログインを処理します。
  • Adobe ID:アカウントはユーザーが作成、管理します。資格情報の管理とログインの処理は、アドビが行います。
注意:

アドビでは、エンタープライズストレージなど、エンタープライズレベルの機能をはじめとするメリットを提供するため、既存のすべての Adobe ID を Business ID に移行しています。企業の新規のお客様はすべて、チームメンバーに Business ID を使用することになります。

お客様の組織のこのアップグレードスケジュールが確定した際に、事前にお知らせします。詳しくは、「Business ID と新しいストレージ機能の概要」を参照してください。お客様は、組織が移行されるまで、引き続き Adobe ID タイプを使用して組織にアクセスできます。移行後は、Adobe ID では組織にアクセスできなくなります。

はい。クレームされた同じドメイン内でなければ、Enterprise ID、Federated ID、Adobe ID から複数種類を選択いただけます。

Enterprise ID と Federated ID はドメインレベルで排他的です。そのため、いずれか一方しか選択できません。Adobe ID は、Federated ID または Enterprise ID とともに使用できます。

例えば、エンタープライズで 1 つのドメインのみをクレームした場合、IT 管理者は、Enterprise ID または Federated ID のいずれかを選択できます。エンタープライズ内で組織が複数のドメインをクレームした場合、IT 管理者は 1 つのドメインで Adobe ID と Enterprise ID を使用し、別のドメインで Adobe ID と Federated ID を使用する、といったことが可能です。つまり、各ドメインについて、Adobe ID と Enterprise ID の組み合わせ、または Adobe ID と Federated ID の組み合わせを使用できることになります。

Federated ID でのアドビライセンスの管理は、より高速かつ簡単で、安全性に優れています。

  • IT 管理者が、認証とユーザーライフサイクルを管理します。
  • ユーザーをエンタープライズディレクトリから削除すると、ユーザーは、デスクトップアプリ、サービスまたはモバイルアプリにアクセスできなくなります。
  • Federated ID を使用すると、組織は既存のユーザー ID 管理システムを活用できます。
  • ユーザーが組織の標準の ID システムを使用できるため、IT 管理者は別途パスワード管理プロセスを管理する必要がありません。

ログイン時に、ユーザーは、組織の一般的な使い慣れたシングルサインオンの操作にリダイレクトされます。

はい。同じドメインを使用して、Enterprise ID から Federated ID に切り替えることができます。詳しくは、ディレクトリ間でドメインを移動する方法を参照してください。

はい。アドビで SAML 2.0 に準拠した ID プロバイダーを利用してエンタープライズディレクトリとそのログインおよび認証インフラストラクチャをフェデレーションすることができます。

いいえ。Federated ID でドメインをクレームした場合、そのドメイン内のメールアドレスを含む既存の Adobe ID が変更されることはありません。Admin Console 内の既存の Adobe ID はそのまま保持されます。

アセットの移行のプロセスは自動化されています。このプロセスを開始すると、お客様の Adobe ID アカウントに現在保存されているすべてのサポートされたコンテンツは、Enterprise ID または Federated ID アカウントへの移行されます。詳しくは、アセットの自動移行を参照してください。

アドビの Federated ID の実装では承認をサポートしています。認証は ID プロバイダー(IdP)が対応します。

エンタープライズ組織であれば、(Active Directory などの企業 ID 構造を利用する)認証サービスとアドビ製品との関連付けを作成できます。これにより、エンタープライズ組織は認証を提供できます。アドビでパスワードが保存されることはありません。また、IT 管理者は Admin Console を通じて Federated ID のパスワードのリセットや、ユーザー名の編集を実行することはできません。

はい、Admin Console 内からユーザーの読み込み機能を使用できます。詳しくは、複数ユーザーの追加を参照してください。

いいえ。アドビは ID プロバイダーとやり取りしますが、エンタープライズディレクトリを直接扱いません。ただし、エンタープライズディレクトリから Admin Console へのユーザー/グループ情報の読み込みはサポートしています。詳しくは、複数ユーザーの追加を参照してください。

アドビでは、すべての大規模法人の管理者は Adobe ID を Federated ID へ切り替えるようお勧めしています。Adobe ID を Federated ID に移行するには、こちらの手順をご利用ください。

アドビは一般的に採用されている安全な業界標準である Security Assertion Markup Language(SAML)を使用しています。これにより、アドビの SSO の実装は、SAML 2.0 をサポートする ID プロバイダーと簡単に統合します。

SAML 2.0 に準拠している IdP は次のとおりです。

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD*
  • Google フェデレーション* 
  • Ping Federate
  • 外部の署名された証明書を使用した Salesforce IdP
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager
注意:

*ID プロバイダーが Microsft Azure AD または Google の場合は、SAML ベースの方法を省略し、Azure AD コネクタまたは Google フェデレーション SSO を使用して、Adobe Admin Console で SSO をそれぞれ設定してください。これらの設定は、Adobe Admin Console を使用して確立および管理され、ユーザー ID と資格の管理には同期メカニズムが使用されています。

はい、SAML 2.0 プロトコルに準拠している限り統合は可能です。

はい、また ID プロバイダーは SAML 2.0 に準拠している必要があります。

SAML ID プロバイダーに必要な最小要件は、次のとおりです。

  1. IDP 証明書
  2. IDP ログイン URL
  3. IDP バインディング:HTTP-POST または HTTP-Redirect
  4. IDP の Assertion Consumer Service URL(SAML リクエストと中継状態を受け入れることができる必要があります)

詳しくは、ID プロバイダーにお問い合わせください。

いいえ。2048 ビットの証明書が破損したことはありません。また、唯一 768 ビットの証明書のクラッキングにも成功した人でさえ(Lenstra のグループ)、同じハードウェアで 1024 ビットの証明書をクラッキングするには(2048 ビットの証明書をクラッキングするよりは、およそ 32,000,000 倍も簡単ですが)、1000 年以上かかると言われています。

様々な長さの証明書をクラッキングするのにかかる時間の最新の見積もりデータについては、上記のリンク先 web サイトを参照してください。これらの証明書がどのくらい安全かを示す図(正確ですが、マーケティング指向)についても、上記 web サイト(または後援している数学の web サイト)をご覧ください。

いいえ。この制限は、ブラウザーとサーバーの間の通信のパイプをエンコードするために使用される証明書に設定されています。これらの IdP 証明書は、そのエンコードされたパイプを経由したデータに署名する(エンコードではない)ために使用されます。ブラウザーではこれらの証明書が認知されません。これらはアドビとお客様の IdP 間でのみ使用されます。

商用の 2048 ビットの証明書は、年間 10 ドルで入手できます。また、IdP で使用する証明書は、自己署名できます。これは、オープンソースソフトウェアで無料で生成できることを意味します。

いいえ。2 つのレイヤーで強力に暗号化され、IdP の ID がチェックされるため、IdP を偽装する前にクラッキングする必要があります。また、どちらのレイヤーでも、自己署名できません。つまり、暗号化を強制する証明書だけでなく、証明書を生成した署名者の証明書もクラッキングする必要があるということです。

プレミアムサポート用の電話番号とメールアドレスについては、アカウント管理者に送信された案内メールと添付の PDF を参照してください。

同じ URL エンドポイントを複数のディレクトリに対して使用することができます。ただし、フェデレーションメタデータは、IdP ごとに別々に管理されます。そのため、共通 IdP エンドポイントは、コンテンツの異なる要求を処理する必要があります。

はい、ディレクトリの SAML 統合でユーザー名形式が使用されており、Admin Console 上のユーザー名が、提供されている永続的 ID と同じ場合はサポートされます。ただし、これを行うには、ユーザーが Admin Console に同期される時点で、永続的 ID が用意されている必要があります。これは一般的なシナリオではないため、実際には、NameID 要素の永続的形式はサポートされません。

いいえ。Admin Console では、NameID 要素値がユーザー名として使用され、NameQualifier は無視されます。

はい。アドビは SHA256 証明書をサポートしています。詳しくは、ID の設定を参照してください。

はい。認証局(CA )の署名付き証明書を Adobe カスタマーサポートに提供してください。アドビが代わりにアップロードします。

続行するには、Admin Console にログインし、サポートサポートの概要に移動して「ケースを作成」をクリックします。詳しくは、サポートケースの作成や管理の方法を参照してください。

Okta 証明書は、デフォルトで自己署名されています。例外として(おそらく有料で)、公的 CA によって署名された証明書を入手することもできます。

方法

アドビのデスクトップアプリ、サービスおよびモバイルアプリでの SSO の設定の詳しい手順については、シングルサインオンの構成をご覧ください。

いいえ。Admin Console を通じてユーザーに通知を送信することはできません。企業のお客様の場合、アドビのソフトウェアおよびサービスで SSO を開始できるようになった後で、ユーザーに独自の通知を配信する必要があります。

いいえ。エンタープライズディレクトリからユーザー/ID を削除するか無効にした場合、ユーザー/ID は Adobe Admin Console から自動的に削除または無効化されません。ただし、ユーザーは Adobe Creative Cloud デスクトップアプリ、サービス、モバイルアプリ、または Acrobat アプリにログインすることができなくなります。ユーザー/ID は Admin Console から手動で削除する必要があります。

はい、Admin Console を使用して、ユーザー、グループおよび権限を管理する必要があります。ただし、Admin Console にグループを一度作成したら、ユーザーおよびグループの両方の情報を含む CSV ファイルをアップロードできます。これにより、ユーザーアカウントが作成され、指定されたグループに配置されます。

いいえ、Admin Console を使用して Federated ID のパスワードをリセットすることはできません。アドビではユーザーの資格情報を保存しません。ユーザーを管理するには ID プロバイダーを使用してください。

よくある質問:ディレクトリセットアップ

ここでは、新しい認証プロバイダーへのディレクトリの移行と非推奨の SAML セットアップの更新に関する質問に回答します。

開始する前に、別の ID プロバイダーへの移行手順を実行するためのアクセス要件を満たしていることを確認します。また、組織のディレクトリをシームレスかつエラーなしに移行できるように、次の点を確認する必要があります。

  • 管理者は、IdP 設定上で新しい SAML アプリを作成して構成する必要があります。管理者が既存のアプリを編集すると、アクティブな既存の設定が書き換えられるため、ダウンタイムが発生するだけでなく、Adobe Admin Console で使用可能な IdP 間を切り替える機能が無効になります。
  • 管理者は、必要なすべてのユーザーが、新しく作成した SAML アプリに割り当てられ、またはそれを使用できるかを確認する必要があります。
  • 管理者は、IdP の新しい認証プロファイルに設定されたユーザー名の形式が、ユーザーログイン用の既存のプロファイルで使用されている形式と一致していることを確認する必要があります。これには認証プロファイルで用意されたテスト機能を使用して検証できます。このテストリンクは、クリップボードにコピーし、他のユーザーと共有することで、それぞれのコンピューターから検証を実行できます。
  • 管理者は、アクティブ化の前に、ディレクトリの 2 ~ 3 のアクティブなアカウントを使用して、新しく追加した IdP をテストする必要があります。

これらの機能ではエラーログを使用できません。ただし、テストワークフローを使用することで、管理者がアクティブ化の前に関連するエラーを検証できます。以下の制限事項を考慮してください。

  • 1 つのディレクトリには最大 2 つの認証プロファイルを設定できますが、両方のプロファイルには異なる認証タイプを設定する必要があります。例えば、Microsoft Azure AD(Open ID Connect を使用)は他の SAML プロバイダーと共存できますが、Google(それ自体が SAML を使用)は、同じディレクトリ内で他の SAML プロバイダーと共存できません。
  • 管理者はこの機能を使用して、ID プロバイダーを移行し、ディレクトリ同期機能(Azure AD Connector および Google Connector)を有効にすることはできません。ただし、Microsoft Azure または Google を IdP として移行するお客様は、異なる形のユーザー管理方法を利用できます。詳しくは、 Adobe Admin Console ユーザーを参照してください。
アドビのロゴ

アカウントにログイン