某些 Creative Cloud 应用程序、服务和功能在中国不可用。
注意:
Microsoft Azure Identity で設定された現在機能中の SAML ベースの SSO がある場合は、現在の設定を維持することをお勧めします。今後追加される機能で、ユーザーと SSO の設定を自動的に移行できるようになります。
Microsoft Azure Active Directory(Azure AD)を使用してシングルサインオン(SSO)を構成し、Adobe のアプリケーションやサービスのユーザーと使用権限を管理できます。Adobe Admin Console は、Azure AD を ID プロバイダー(IdP)として使用します。
Azure AD コネクタは、ディレクトリ作成、ドメインクレーム、SSO セットアップ、および製品計画のプロセスを Adobe Admin Console 上の単純なワークフローに統合します。コネクタには、2 つのシステム間でユーザーやユーザーグループを同期する組み込みメカニズムも含まれているため、手動構成の場合に必要な多段階プロセスが不要になります。Adobe Admin Console と同期された Azure AD ユーザーは一意であり、1 つ以上の製品プロファイルに割り当てることができます。コネクタは、複数の Azure AD テナントと Adobe Admin Console 間の関係を管理できます。
コネクタのセットアップが完了すると、Azure AD からすべてのユーザーとグループが同期されます。その後、同期を定期的に実行して、Adobe Admin Console 内のユーザーを最新の状態に保ちます。Admin Console のシステム管理者は、Adobe Admin Console の「設定」セクションで、同期されたドメイン、ユーザーおよびユーザーグループを表示できます。
注意:
初期セットアップが完了した後も、Azure Portal と Admin Console でおこなわれた変更を同期サイクルが管理し続けます。同期は、手動で起動することも、定期的に自動実行することもできます。ユーザー、ユーザーグループ、ドメインは、Azure Portal のみで管理することをお勧めします。
ユーザーとその製品の使用権限は、対応する Azure AD ユーザーグループにユーザーを追加または削除することによって管理されます。同期の間に、同期された Adobe グループにユーザーが追加または削除され、関連付けられている使用権限がプロビジョニングされるか取り消されます。Azure AD コネクタと同期したフェデレーションユーザーは、Adobe Admin Console 内でディレクトリユーザーとなります。したがって、対応する Azure AD グループを通じてユーザーを削除すると、ユーザーの使用権限のプロビジョニングが解除され、ユーザーがログインできなくなります。ただし、ユーザーは完全に削除されるわけではありません。Adobe Admin Console 内のディレクトリユーザーベースからユーザーアカウントを完全に削除すると、そのユーザーアカウントに関連付けられているアセットまたはコンテンツが完全に削除されます。
Adobe Admin Console で Azure AD 統合に切り替えることの主な利点は次のとおりです。
- 2 つのシステムが直接接続されているため、ドメインのクレームやグループの作成などの手順を重複しておこなう必要がありません。
- シームレスなワークフローによって迅速に設定が実行され、同期が開始されます。
- ユーザー管理やライセンスのプロビジョニングなど、すべての操作を Microsoft Azure AD で実行できます。
- Azure AD の関連グループから直接、ユーザーを簡単にオンボードおよびオフボードできます。
- 少ない人員で 2 つのシステムを管理できます。
- ユーザーとディレクトリを管理するための直接の承認が Azure AD システムで既に定義されているため、Adobe Admin Console に同期するための追加のサービスや API のセットアップが不要です。
Adobe Admin Console のユーザー管理を Azure AD と統合するには、次の前提条件を満たす必要があります。
- ID プロバイダー(IdP)としての Microsoft Azure AD
- 次のうち 1 つ以上の製品:Creative Cloud エンタープライズ版、Document Cloud エンタープライズ版、または Experience Cloud
- Azure AD に関連付けられているドメインは、Adobe Admin Console で未クレームであること(または、保留中のドメインクレームは簡単に取り消すことができます。)
カスタム SAML コネクタを使用して Azure AD で SSO を既に構成している場合は、必ず次の操作をおこないます。
- Azure AD に関連付けられているユーザー、ドメイン、およびディレクトリの削除
- User Sync ツールまたはユーザーを同期するための UMAPI 統合の削除
| コンポーネント | 機能 | Azure AD コネクタ(現在のバージョン) | Azure AD コネクタ(将来のリリース) |
| ディレクトリの作成 | 検証済みドメインを同期する | ✓ | ✓ |
| ユーザーグループを Federated ID ユーザーに同期する |
✓ | ✓ | |
| ディレクトリの移行 | Adobe でクレームされたドメインを Azure AD 統合設定に移行する | ✗ | ✓ |
| 手動で構成した SSO 設定を Azure AD 統合設定に移動する | ✗ | ✓ |
警告:
ユーザーを削除すると、製品、サービス、およびストレージへのアクセスが削除されます。Azure AD コネクタ同期の準備として、Admin Console から完全に削除する前に、必要なファイルをダウンロードしてバックアップするようにフェデレーションユーザーに指示してください。組織のディレクトリ内に既に多数のアクティブなフェデレーションユーザーが存在する場合、またはユーザー同期ツールなどの別のユーザー管理プロセスを利用している場合は、現時点ではコネクタを採用しないことをお勧めします。
プライマリまたはトラスティの関係にある複数の Adobe Admin Console があり、トラスティ Admin Console がプライマリ Admin Console で確立された SSO 設定を利用できます。このような場合、Azure AD コネクタはプライマリ Admin Console のユーザーのみを管理します。
トラスティ Adobe Admin Console は SSO 構成を利用できます。ただし、信頼できる Admin Console に手動またはユーザー管理サービス( CSV 手動アップロード、User Sync Tool、または User Management API など)を介してユーザーを追加する前に、ユーザーをプライマリ Admin Console に同期する必要があります。
前提条件のセクションに記載されている基準を満たしている場合、統合を設定し、ユーザーに使用権限を与えて運用を開始します。
- ドメインをクレームし、Azure AD を設定します。
- Adobe Admin Console での望ましい分類に基づいて、グループとユーザーを追加します。ユーザーの製品要件に基づいてグループを作成することをお勧めします。
- グループ内のユーザー数が、Admin Console 内の対応する製品プロファイルで使用可能なライセンス数と一致していることを確認してください。ただし、これは後で管理することもできます。
-
Adobe Admin Console にログインし、「設定」をクリックします。ID ページで「ディレクトリを作成」をクリックします。
-
Microsoft アカウントのサインインページにリダイレクトされます。Microsoft グローバル管理者ロールを持つ管理者の資格情報を入力して、「ログイン」をクリックします。同意のプロンプトを確認してから、「同意する」をクリックして、Adobe Azure AD コネクタに Azure AD テナントへの読み取り専用アクセスを許可します。
注意:
Microsoft グローバル管理者のログインは、次の場合にのみ必要です。
- Azure AD コネクタの初期設定
- 新しい Azure AD セキュリティユーザーグループまたはドメインを Microsoft Azure AD に追加する場合
設定が完了すると、Adobe Admin Console のシステム管理者は、対応するディレクトリ内の Azure AD から同期されたグループとドメインを編集できます。
-
注意:
ID タイプに関係なく、コネクタは Adobe Admin Console に存在するサポートされているすべての ID タイプ(Federated ID を除く)ユーザーを同期し、対応する Federated ID を作成します。その後、既存のユーザーアカウントの管理ドキュメントを使用して、これらのユーザーを Federated ID に移行することができます。
同期するたびに、すべてのユーザーとユーザーグループが Adobe Admin Console に読み込まれます。適切な製品プロファイルを作成し、それらをユーザーグループに関連付けて、ユーザー間の製品の割り当てを微調整します。詳しくは、製品およびプロファイルの管理を参照してください。
注意:
ユーザーに指定の製品が割り当てられると、電子メール通知がユーザー宛てに送信されます。ユーザーは、直接、Creative Cloud デスクトップアプリケーションをダウンロードしてインストールすることができます。管理者権限がない場合は、次の手順に従ってパッケージを作成してデプロイしてください。
エンドユーザーがアプリケーションにアクセスできるようにするには、アプリケーションパッケージを作成してユーザーのコンピューターにデプロイします。ユーザーがアプリケーションやサービスの使用を開始するには、SSO 資格情報を使用してログインする必要があります。
詳しくは、ユーザー指定ライセンスパッケージの作成を参照してください。
すべての既存の非 Federated ID ユーザーを Federated ID タイプに移行するには、またはコネクタ(Admin Console に既に確立されている場合)を介して Azure AD で SSO を再構成するには、追加の手順が必要です。
警告:
ID の編集切り替えをおこなうときには、同期されたフェデレーションユーザーに製品を割り当てないでください。切り替えは、同期の直後、製品の割り当て前におこなう必要があります。
-
Azure AD Connector をセットアップして、Adobe Admin Console に既に非 Federated ID を持っている人を含むユーザーを同期します。既存の非 Federated ID を持つユーザーは、Adobe Admin Console で非 Federated ID と Federated ID の両方を持つようになりました。
-
ID のタイプを一括編集の手順に従って、非 Federated ID ユーザーを Federated ID タイプに変更します。以下の詳細と一致していることを確認します。
- ユーザー名フィールドと電子メールフィールドは、Azure AD のユーザー名(UserPrincipalName)フィールドと一致させます。
- FirstName と LastName は、Azure AD の対応するフィールドと一致させます。
新しい Federated ID でログインすると、ユーザーは、クラウドに保存されたアセットを新しいアカウントに自動的に移行するオプションのプロンプトが表示されます。
Azure AD で実行中の SSO 設定を、Azure AD コネクタベースの設定に切り替える場合は、まず既存のディレクトリに関連付けられているすべてのユーザーとドメインを物理的に削除する必要があります。次に、Azure AD コネクタ設定と同期してそれらを再度確立します。
注意:
将来のアップデートでは、Azure AD コネクタにセルフサービスの移行機能が追加され、確立されたフェデレーションディレクトリ(関連付けられたすべてのドメインやディレクトリユーザーを含む)が、コネクタを介して Azure AD から同期されることで移行できるようになります(ディレクトリユーザー、ドメイン、およびディレクトリを削除する必要はありません)。
-
アクティブな Federated ID ユーザーに対し、クラウドに保存したアセットを手動でバックアップするように依頼します。
警告:
アセットをバックアップしないユーザーは、データを完全に失います。
-
設定/ID/ドメインに移動し、既存のディレクトリに関連付けられたドメインを選択します。「ドメインを削除」を選択します。同様の手順に従って、関連付けられたディレクトリを削除します。
-
フェデレーションディレクトリ、関連付けられたドメイン、およびそれぞれの Federated ID が削除された後、Azure AD コネクタの実装を開始します。
注意:
- ディレクトリを削除するには、まず、ディレクトリに関連付けられたすべてのユーザー、ドメイン、トラスティを削除する必要があります。
- ディレクトリユーザーからユーザーを削除すると、そのユーザーとそのユーザーに関連付けられたすべての Creative Cloud アセットが削除されます。その場合、ユーザーとアセットは復元できません。
注意:
削除するドメインに対してドメインの信頼が確立されていないことを確認します。
これらの信頼関係を維持する場合は、残りの手順を完了する間に一時的に関係を解除します。ドメインの信頼は、Adobe Admin Console でドメインが再確立された後に、関連付けることができます。ディレクトリの信頼について詳しくは、リンクをクリックして参照してください。