注意:
Microsoft Azure Identity で設定された現在機能中の SAML ベースの SSO がある場合は、現在の設定を維持することをお勧めします。今後追加される機能で、ユーザーと SSO の設定を自動的に移行できるようになります。
Microsoft Azure Active Directory(Azure AD)を使用してシングルサインオン(SSO)を構成し、Adobe のアプリケーションやサービスのユーザーと使用権限を管理できます。Adobe Admin Console は、Azure AD を ID プロバイダー(IdP)として使用します。
Azure AD コネクタは、ディレクトリ作成、ドメインクレーム、SSO セットアップ、および製品計画のプロセスを Adobe Admin Console 上の単純なワークフローに統合します。コネクタには、2 つのシステム間でユーザーやユーザーグループを同期する組み込みメカニズムも含まれているため、手動構成の場合に必要な多段階プロセスが不要になります。Adobe Admin Console と同期された Azure AD ユーザーは一意であり、1 つ以上の製品プロファイルに割り当てることができます。コネクタは、複数の Azure AD テナントと Adobe Admin Console 間の関係を管理できます。
コネクタのセットアップが完了すると、最初の同期によって Azure AD からすべてのユーザーとグループがインポートされます。その後、同期を定期的に実行して、Adobe Admin Console 内のユーザーを最新の状態に保ちます。Azure AD 同期で変更が行われると、追加または削除されたユーザーとグループの概要について、Admin Console のシステム管理者に通知メールが送信されます。
注意:
初期セットアップが完了した後も、Azure Portal と Admin Console で行われた変更を同期サイクルが管理し続けます。同期は、手動で起動することも、定期的に自動実行することもできます。ユーザー、ユーザーグループ、ドメインは、Azure Portal のみで管理することをお勧めします。
ユーザーとその製品の使用権限は、対応する Azure AD ユーザーグループにユーザーを追加または削除することによって管理されます。同期の間に、同期された Adobe グループにユーザーが追加または削除され、関連付けられている使用権限がプロビジョニングされるか取り消されます。Azure AD コネクタと同期されたフェデレーションユーザーは、Adobe Admin Console 内にディレクトリユーザーとして存在するため、対応する Azure AD グループを介してユーザーを削除すると、ユーザーの使用権限がプロビジョニング解除されてログインできなくなりますが、アカウントが完全に削除されるわけではありません。Adobe Admin Console 内のディレクトリユーザーベースからユーザーアカウントを完全に削除すると、そのユーザーアカウントに関連付けられているアセットまたはコンテンツが完全に削除されます。
Adobe Admin Console で Azure AD 統合に切り替えることの主な利点は次のとおりです。
- 2 つのシステムが直接接続されているため、ドメインのクレームやグループの作成などの手順を重複して行う必要がありません。
- シームレスなワークフローによって迅速に設定が実行され、初期同期が開始されます。
- ユーザー管理やライセンスのプロビジョニングなど、すべての操作を Microsoft Azure AD で実行できます。
- Azure AD の関連グループから直接、ユーザーを簡単にオンボードおよびオフボードできます。
- 少ない人員で 2 つのシステムを管理できます。
- ユーザーとディレクトリを管理するための直接の承認が Azure AD システムで既に定義されているため、Adobe Admin Console に同期するための追加のサービスや API のセットアップが不要です。
Adobe Admin Console ユーザー管理と Azure AD のユーザー管理を統合する機能からメリットを得るには、次のものが必要です。
- ID プロバイダー(IdP)としての Microsoft Azure AD
- 次のうち 1 つ以上の製品:Creative Cloud エンタープライズ版、Document Cloud エンタープライズ版、または Experience Cloud
- Azure AD に関連付けられているドメインは、Adobe Admin Console で未クレームであること(または、保留中のドメインクレームは簡単に取り消すことができます。)
カスタム SAML コネクタを使用して Azure AD で SSO を既に構成している場合は、必ず次の操作を行います。
- Azure AD に関連付けられているユーザー、ドメイン、およびディレクトリを削除します。
- ユーザー同期ツールまたはユーザーを同期するための UMAPI 統合を削除します。
| コンポーネント | 機能 | Azure AD コネクタ(現在のバージョン) | Azure AD コネクタ(将来のリリース) |
| ディレクトリの作成 | 検証済みドメインを同期する | ✓ | ✓ |
| ユーザーグループを Federated ID ユーザーに同期する |
✓ | ✓ | |
| ディレクトリの移行 | Adobe でクレームされたドメインを Azure AD 統合設定に移行する | ✗ | ✓ |
| 手動で構成した SSO 設定を Azure AD 統合設定に移動する | ✗ | ✓ |
警告:
ユーザーを削除すると、製品、サービス、およびストレージへのアクセスが削除されます。Azure AD コネクタ同期の準備として、Admin Console から完全に削除する前に、必要なファイルをダウンロードしてバックアップするようにフェデレーションユーザーに指示してください。組織のディレクトリ内に既に多数のアクティブなフェデレーションユーザーが存在する場合、またはユーザー同期ツールなどの別のユーザー管理プロセスを利用している場合は、現時点ではコネクタを採用しないことをお勧めします。
組織には、プライマリまたはトラスティの関係にある複数の Adobe Admin Console があり、トラスティ Admin Console はプライマリ Console で確立された SSO 設定を利用できます。このような場合、Azure AD コネクタはプライマリ Admin Console のユーザーのみを管理します。トラスティ Admin Console は SSO 設定を利用できますが、別の形式のユーザー管理サービス(例:CSV 手動アップロード、ユーザー同期ツールまたはユーザー管理 API)を使用します。
前提条件のセクションに記載されている基準を満たしている場合、統合を設定し、ユーザーに使用権限を与えて運用を開始します。
- ドメインをクレームし、Azure AD を設定します。
- Adobe Admin Console での望ましい分類に基づいて、グループとユーザーを追加します。ユーザーの製品要件に基づいてグループを作成することをお勧めします。
- グループ内のユーザー数が、Admin Console 内の対応する製品プロファイルで使用可能なライセンス数と一致していることを確認してください。ただし、これは後で管理することもできます。
-
Adobe Admin Console にログインし、「設定」をクリックします。ID ページで「ディレクトリを作成」をクリックします。
-
注意:
Connector は Adobe ID を使って Adobe Admin Console 内のユーザーを同期するとともに、対応する Federated ID を作成します。Federated ID への Adobe ID ユーザーの移行については、既存のユーザーアカウントの管理をご覧ください。
最初の同期が完了すると、すべてのユーザーとユーザーグループが Adobe Admin Console に読み込まれます。適切な製品プロファイルを作成し、それらをユーザーグループに関連付けて、ユーザー間の製品の割り当てを微調整します。詳しくは、製品およびプロファイルの管理を参照してください。
注意:
ユーザーに指定の製品が割り当てられると、電子メール通知がユーザー宛てに送信されます。ユーザーは、直接、Creative Cloud デスクトップアプリケーションをダウンロードしてインストールすることができます。管理者権限がない場合は、次の手順に従ってパッケージを作成してデプロイしてください。
エンドユーザーがアプリケーションにアクセスできるようにするには、アプリケーションパッケージを作成してユーザーのコンピューターにデプロイします。ユーザーがアプリケーションやサービスの使用を開始するには、SSO 資格情報を使用してログインする必要があります。
詳しくは、ユーザー指定ライセンスパッケージの作成を参照してください。
ユーザーの既存の Adobe ID を Federated ID タイプに編集するには、またはコネクタ(Admin Console に既に確立されている場合)を介して Azure AD で SSO を再構成するには、追加の手順が必要です。
-
Azure AD Connector をセットアップして、Adobe Admin Console に既に Adobe ID を持っている人を含むユーザーを同期します。これによって既存の Adobe ID を持つすべてのユーザーは、Adobe Admin Console の Adobe ID と Federated ID を持ちます。
-
ID のタイプを一括編集の手順に従って、Adobe ID ユーザーを Federated ID タイプに変更します。以下の詳細と一致していることを確認します。
- ユーザー名フィールドと電子メールフィールドは、Azure AD のユーザー名(UserPrincipalName)フィールドと一致させます。
- FirstName と LastName は、Azure AD の対応するフィールドと一致させます。
新しい Federated ID でログインすると、ユーザーは、クラウドに保存されたアセットを新しいアカウントに自動的に移行するオプションのプロンプトが表示されます。
Azure AD で実行中の SSO 設定を、Azure AD コネクタベースの設定に切り替える場合は、まず既存のディレクトリに関連付けられているすべてのユーザーとドメインを物理的に削除する必要があります。次に、Azure AD コネクタ設定と同期してそれらを再度確立します。
注意:
将来のアップデートでは、Azure AD コネクタにセルフサービスの移行機能が追加され、確立されたフェデレーションディレクトリ(関連付けられたすべてのドメインやディレクトリユーザーを含む)が、コネクタを介して Azure AD から同期されることで移行できるようになります(ディレクトリユーザー、ドメイン、およびディレクトリを削除する必要はありません)。
-
アクティブな Federated ID ユーザーに対し、クラウドに保存したアセットを手動でバックアップするように依頼します。
警告:
アセットをバックアップしないユーザーは、データを完全に失います。
-
設定/ID/ドメインに移動し、既存のディレクトリに関連付けられたドメインを選択します。「ドメインを削除」を選択します。同様の手順に従って、関連付けられたディレクトリを削除します。
-
フェデレーションディレクトリ、関連付けられたドメイン、およびそれぞれの Federated ID が削除された後、Azure AD コネクタの実装を開始します。
Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。