Azure AD コネクタは、Microsoft Azure AD と Adobe Admin Console を統合して、Azure IdP ユーザーの SSO 設定プロセスを簡素化します。これにより、ユーザー管理とライセンスプロビジョニングのワークフローが自動化され、数分以内に設定が確立します。

注意:

Microsoft Azure Identity で設定された現在機能中の SAML ベースの SSO がある場合は、現在の設定を維持することをお勧めします。今後追加される機能で、ユーザーと SSO の設定を自動的に移行できるようになります。

概要

Microsoft Azure Active Directory(Azure AD)を使用してシングルサインオン(SSO)を構成し、Adobe のアプリケーションやサービスのユーザーと使用権限を管理できます。Adobe Admin Console は、Azure AD を ID プロバイダー(IdP)として使用します。 

Azure AD コネクタは、ディレクトリ作成、ドメインクレーム、SSO セットアップ、および製品計画のプロセスを Adobe Admin Console 上の単純なワークフローに統合します。コネクタには、2 つのシステム間でユーザーやユーザーグループを同期する組み込みメカニズムも含まれているため、手動構成の場合に必要な多段階プロセスが不要になります。Adobe Admin Console と同期された Azure AD ユーザーは一意であり、1 つ以上の製品プロファイルに割り当てることができます。コネクタは、複数の Azure AD テナントと Adobe Admin Console 間の関係を管理できます。

コネクタのセットアップが完了すると、最初の同期によって Azure AD からすべてのユーザーとグループがインポートされます。その後、同期を定期的に実行して、Adobe Admin Console 内のユーザーを最新の状態に保ちます。Azure AD 同期で変更が行われると、追加または削除されたユーザーとグループの概要について、Admin Console のシステム管理者に通知メールが送信されます。

注意:

初期セットアップが完了した後も、Azure Portal と Admin Console で行われた変更を同期サイクルが管理し続けます。同期は、手動で起動することも、定期的に自動実行することもできます。ユーザー、ユーザーグループ、ドメインは、Azure Portal のみで管理することをお勧めします。

ユーザーとその製品の使用権限は、対応する Azure AD ユーザーグループにユーザーを追加または削除することによって管理されます。同期の間に、同期された Adobe グループにユーザーが追加または削除され、関連付けられている使用権限がプロビジョニングされるか取り消されます。Azure AD コネクタと同期されたフェデレーションユーザーは、Adobe Admin Console 内にディレクトリユーザーとして存在するため、対応する Azure AD グループを介してユーザーを削除すると、ユーザーの使用権限がプロビジョニング解除されてログインできなくなりますが、アカウントが完全に削除されるわけではありません。Adobe Admin Console 内のディレクトリユーザーベースからユーザーアカウントを完全に削除すると、そのユーザーアカウントに関連付けられているアセットまたはコンテンツが完全に削除されます。

Azure AD 統合の利点

Adobe Admin Console で Azure AD 統合に切り替えることの主な利点は次のとおりです。

  • 2 つのシステムが直接接続されているため、ドメインのクレームやグループの作成などの手順を重複して行う必要がありません。
  • シームレスなワークフローによって迅速に設定が実行され、初期同期が開始されます。
  • ユーザー管理やライセンスのプロビジョニングなど、すべての操作を Microsoft Azure AD で実行できます。
  • Azure AD の関連グループから直接、ユーザーを簡単にオンボードおよびオフボードできます。
  • 少ない人員で 2 つのシステムを管理できます。
  • ユーザーとディレクトリを管理するための直接の承認が Azure AD システムで既に定義されているため、Adobe Admin Console に同期するための追加のサービスや API のセットアップが不要です。

前提条件

Adobe Admin Console ユーザー管理と Azure AD のユーザー管理を統合する機能からメリットを得るには、次のものが必要です。

  • ID プロバイダー(IdP)としての Microsoft Azure AD
  • 次のうち 1 つ以上の製品:Creative Cloud エンタープライズ版、Document Cloud エンタープライズ版、または Experience Cloud
  • Azure AD に関連付けられているドメインは、Adobe Admin Console で未クレームであること(または、保留中のドメインクレームは簡単に取り消すことができます。)

カスタム SAML コネクタを使用して Azure AD で SSO を既に構成している場合は、必ず次の操作を行います。

  • Azure AD に関連付けられているユーザー、ドメイン、およびディレクトリを削除します。
  • ユーザー同期ツールまたはユーザーを同期するための UMAPI 統合を削除します。

以下の表は、Azure AD コネクタの現在および今後の機能を示しています。この表を使用して、現時点での切り替えがお客様の組織にとって適切かどうかを判断してください。

コンポーネント 機能 Azure AD コネクタ(現在のバージョン) Azure AD コネクタ(将来のリリース)
ディレクトリの作成 検証済みドメインを同期する
ユーザーグループを Federated ID ユーザーに同期する
ディレクトリの移行 Adobe でクレームされたドメインを Azure AD 統合設定に移行する
手動で構成した SSO 設定を Azure AD 統合設定に移動する

警告:

ユーザーを削除すると、製品、サービス、およびストレージへのアクセスが削除されます。Azure AD コネクタ同期の準備として、Admin Console から完全に削除する前に、必要なファイルをダウンロードしてバックアップするようにフェデレーションユーザーに指示してください。組織のディレクトリ内に既に多数のアクティブなフェデレーションユーザーが存在する場合、またはユーザー同期ツールなどの別のユーザー管理プロセスを利用している場合は、現時点ではコネクタを採用しないことをお勧めします。

サポートされている統合シナリオ

Azure AD コネクタは、複数の Azure AD テナントシナリオと複数の Admin Console シナリオをサポートしています。サポートされているシナリオには、次のとおりです。

1 対 1

組織では、単一の Azure テナントと単一の Adobe Admin Console との間に 1 対 1 の関係があり、Azure AD コネクタを介して同期を確立して、ユーザーとプロビジョニングライセンスを管理します。

一対多(信頼できる)

組織には、プライマリまたはトラスティの関係にある複数の Adobe Admin Console があり、トラスティ Admin Console はプライマリ Console で確立された SSO 設定を利用できます。このような場合、Azure AD コネクタはプライマリ Admin Console のユーザーのみを管理します。トラスティ Admin Console は SSO 設定を利用できますが、別の形式のユーザー管理サービス(例:CSV 手動アップロードユーザー同期ツールまたはユーザー管理 API)を使用します。

多対 1

ユーザー管理とライセンスのプロビジョニングのために、複数の Azure AD テナントから単一の Adobe Admin Console にフィードします。Azure AD コネクタは、単一の Admin Console へのマルチテナント同期を確立して、接続されているすべてのテナントに対してシングルサインオンとユーザー管理を有効にすることができます。

1 対多

単一の Azure AD テナントから複数の Adobe Admin Console にフィードします。Azure AD コネクタは、単一のディレクトリソースから同じ組織の異なる Adobe Admin Console まで、同期ユーザーに対して活用できます。

Azure AD コネクタを設定する

前提条件のセクションに記載されている基準を満たしている場合、統合を設定し、ユーザーに使用権限を与えて運用を開始します。

Azure Portal を使用してユーザーとグループを設定します。
  • ドメインをクレームし、Azure AD を設定します。
  • Adobe Admin Console での望ましい分類に基づいて、グループユーザーを追加します。ユーザーの製品要件に基づいてグループを作成することをお勧めします。
  • グループ内のユーザー数が、Admin Console 内の対応する製品プロファイルで使用可能なライセンス数と一致していることを確認してください。ただし、これは後で管理することもできます。

Azure Portal を設定して準備ができたら、次の操作を行います。

  1. Adobe Admin Console にログインし、「設定」をクリックします。ID ページで「ディレクトリを作成」をクリックします。

  2. ディレクトリの作成画面で、次の手順を実行して「開始」をクリックします。

    • ディレクトリの名前を入力する
    • Federated ID カードを選択する
    Federated ID
  3. Microsoft Azure 」を選択し、「次へ」をクリックした後、次の画面で「Azure にログイン」をクリックします

    Microsoft Azure
  4. Microsoft アカウントのサインインページにリダイレクトされます。グローバル管理者ロールを持つ管理者の資格情報を入力して、「ログイン」をクリックします。同意のプロンプトを確認してから、「同意する」をクリックして、Adobe Azure AD コネクタに Azure AD テナントへの読み取り専用アクセスを許可します。

    Azure のサインイン許可
  5. Adobe Admin Console に戻り、Azure AD の情報を確認して「確認」をクリックします。

    ディレクトリの確認
  6. Azure AD で検証されたドメインを選択して Adobe Admin Console に同期し、「次へ」をクリックします。

    ドメインのクレーム

    注意:

    選択して同期できるのは、ステータスが「所有権が検証されました」とあるドメインのみです。ステータスが「所有権が検証されていません」および「別の組織が所有しています」とあるドメインは、Azure Portal で検証せずに同期することはできません。

  7. Adobe Admin Console に同期されるグループをグループリストから検索して選択します。次に「設定を保存して終了」をクリックします。

    グループの同期

    検証済みのドメインとディレクトリに対して、Azure AD からの同期が開始します。同期されたユーザーなどの詳細情報が「詳細」セクションの「設定」タブの下に表示されます。

    同期画面

    同期が完了すると、製品をユーザーグループに割り当てるための通知メールが届きます。

    注意:

    Connector は Adobe ID を使って Adobe Admin Console 内のユーザーを同期するとともに、対応する Federated ID を作成します。Federated ID への Adobe ID ユーザーの移行については、既存のユーザーアカウントの管理をご覧ください。

最初の同期が完了すると、すべてのユーザーとユーザーグループが Adobe Admin Console に読み込まれます。適切な製品プロファイルを作成し、それらをユーザーグループに関連付けて、ユーザー間の製品の割り当てを微調整します。詳しくは、製品およびプロファイルの管理を参照してください。

注意:

ユーザーに指定の製品が割り当てられると、電子メール通知がユーザー宛てに送信されます。ユーザーは、直接、Creative Cloud デスクトップアプリケーションをダウンロードしてインストールすることができます。管理者権限がない場合は、次の手順に従ってパッケージを作成してデプロイしてください。

エンドユーザーがアプリケーションにアクセスできるようにするには、アプリケーションパッケージを作成してユーザーのコンピューターにデプロイします。ユーザーがアプリケーションやサービスの使用を開始するには、SSO 資格情報を使用してログインする必要があります。

詳しくは、ユーザー指定ライセンスパッケージの作成を参照してください。

既存のユーザーアカウントの管理

ユーザーの既存の Adobe ID を Federated ID タイプに編集するには、またはコネクタ(Admin Console に既に確立されている場合)を介して Azure AD で SSO を再構成するには、追加の手順が必要です。

Admin Console に既存の Adobe ID を保有するユーザーは Azure AD Connector が設定されれば Federated ID アカウントに移行できます。変換が完了すると、コネクタによってこれらのアカウントが正常に同期されます。

クラウドに保存されているすべてのアセットをユーザーの新しい ID タイプに確実に移行するには、次の手順に従います。

  1. Azure AD Connector をセットアップして、Adobe Admin Console に既に Adobe ID を持っている人を含むユーザーを同期します。これによって既存の Adobe ID を持つすべてのユーザーは、Adobe Admin Console の Adobe ID と Federated ID を持ちます。

  2. ID のタイプを一括編集の手順に従って、Adobe ID ユーザーを Federated ID タイプに変更します。以下の詳細と一致していることを確認します。

    • ユーザー名フィールドと電子メールフィールドは、Azure AD のユーザー名(UserPrincipalName)フィールドと一致させます。
    • FirstNameLastName は、Azure AD の対応するフィールドと一致させます。

新しい Federated ID でログインすると、ユーザーは、クラウドに保存されたアセットを新しいアカウントに自動的に移行するオプションのプロンプトが表示されます。

Azure AD で実行中の SSO 設定を、Azure AD コネクタベースの設定に切り替える場合は、まず既存のディレクトリに関連付けられているすべてのユーザーとドメインを物理的に削除する必要があります。次に、Azure AD コネクタ設定と同期してそれらを再度確立します。

注意:

将来のアップデートでは、Azure AD コネクタにセルフサービスの移行機能が追加され、確立されたフェデレーションディレクトリ(関連付けられたすべてのドメインやディレクトリユーザーを含む)が、コネクタを介して Azure AD から同期されることで移行できるようになります(ディレクトリユーザー、ドメイン、およびディレクトリを削除する必要はありません)。

  1. アクティブな Federated ID ユーザーに対し、クラウドに保存したアセットを手動でバックアップするように依頼します。

    警告:

    アセットをバックアップしないユーザーは、データを完全に失います。

  2. ユーザー」セクションに移動して、左パネルの「ディレクトリユーザー」を開きます。削除するフェデレーションディレクトリを選択します。ディレクトリからすべての Federated ID ユーザーを削除します。

  3. 設定IDドメインに移動し、既存のディレクトリに関連付けられたドメインを選択します。「ドメインを削除」を選択します。同様の手順に従って、関連付けられたディレクトリを削除します。

  4. フェデレーションディレクトリ、関連付けられたドメイン、およびそれぞれの Federated ID が削除された後、Azure AD コネクタの実装を開始します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

リーガルノーティス   |   プライバシーポリシー