チュートリアル: Microsoft Entra シングルサインオン (SSO) と Adobe Creative Cloud の統合

[アーティクル]
10/28/2023

このチュートリアルでは、Adobe Creative Cloud を Microsoft Entra ID と統合する方法について学習します。 Adobe Creative Cloud を Microsoft Entra ID と統合すると、次のことができます。

Adobe Creative Cloud にアクセスできるユーザーを Microsoft Entra ID で制御する。
ユーザーが自分の Microsoft Entra アカウントを使用して Adobe Creative Cloud に自動的にサインインできるように設定できます。
1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

Microsoft Entra サブスクリプション。サブスクリプションがない場合は、無料アカウントを取得できます。
Adobe Creative Cloud でのシングルサインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

Adobe Creative Cloud では、SP Initiated SSO がサポートされます

ギャラリーからの Adobe Creative Cloud の追加

Microsoft Entra ID への Adobe Creative Cloud の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Adobe Creative Cloud を追加する必要があります。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズアプリケーション]>[新しいアプリケーション] に移動します。
[ギャラリーから追加する] セクションで、検索ボックスに、「Adobe Creative Cloud」と入力します。
結果のパネルから [Adobe Creative Cloud] を選択し、アプリを追加します。お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Adobe Creative Cloud の Microsoft Entra SSO の構成とテスト

B.Simon というテストユーザーを使用して、Adobe Creative Cloud に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるためには、Microsoft Entra ユーザーと Adobe Creative Cloud の関連ユーザーとの間にリンク関係を確立する必要があります。

Adobe Creative Cloud に対して Microsoft Entra SSO を構成してテストするには、次の手順を行います。

Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
1. Microsoft Entra のテストユーザーの作成 - B.Simon を使用して Microsoft Entra シングルサインオンをテストします。
2. Microsoft Entra テストユーザーを割り当てる - B.Simon が Microsoft Entra シングルサインオンを使用できるようにします。
Adobe Creative Cloud の SSO の構成 - アプリケーション側でシングルサインオン設定を構成します。
1. Adobe Creative Cloud のテストユーザーの作成 - Adobe Creative Cloud で B.Simon に対応するユーザーを作成し、Microsoft Entra のこのユーザーにリンクさせます。
SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズアプリケーション]>[Adobe Creative Cloud]>[シングルサインオン] の順に移動します。
[シングルサインオン方式の選択] ページで、 [SAML] を選択します。
[SAML によるシングルサインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。
[基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

a. [サインオン URL] ボックスに、URL として「https://adobe.com」と入力します。

b. [識別子 (エンティティ ID)] ボックスに、次のパターンを使用して URL を入力します。https://www.okta.com/saml2/service-provider/<token>

注意

この識別子の値は実際のものではありません。「Adobe Creative Cloud の SSO の構成」セクションの手順 4. のガイダンスに従ってください。これにより、フェデレーションメタデータ XML ファイルを開いて、そこからエンティティ ID の値を取得し、Microsoft Entra 構成の識別子の値として入力できます。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
Adobe Creative Cloud アプリケーションでは、特定の形式の SAML アサーションを受け取るため、SAML トークン属性の構成にカスタム属性マッピングを追加する必要があります。次のスクリーンショットには、既定の属性一覧が示されています。
その他に、Adobe Creative Cloud アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

名前ソース属性

FirstName User.givenname

LastName User.surname

Email User.mail

注意

ユーザーは、電子メール要求の値を、SAML 応答で設定するために、有効な Microsoft 365 ExO ライセンスを持つ必要があります。
[SAML でシングルサインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [Federation Data XML](フェデレーションデータ XML) を見つけて [ダウンロード] を選択し、XML メタデータファイルをダウンロードしてコンピューターに保存します。
[Adobe Creative Cloud のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

名前	ソース属性
FirstName	User.givenname
LastName	User.surname
Email	User.mail

Microsoft Entra テストユーザーを作成する

このセクションでは、B.Simon というテストユーザーを作成します。

Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
[ユーザー] プロパティで、以下の手順を実行します。
1. "表示名" フィールドに「B.Simon」と入力します。
2. [ユーザープリンシパル名] フィールドに「username@companydomain.extension」と入力します。たとえば、「 B.Simon@contoso.com 」のように入力します。
3. [パスワードを表示] チェックボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
4. [Review + create](レビュー + 作成) を選択します。
[作成] を選択します。

Microsoft Entra テストユーザーを割り当てる

このセクションでは、B.Simon に Adobe Creative Cloud へのアクセスを許可することで、このユーザーが Azure シングルサインオンを使用できるようにします。

ID>アプリケーション>エンタープライズアプリケーション を参照します。
アプリケーションの一覧で [Adobe Creative Cloud] を選択します。
アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。
[ユーザーの追加] を選択します。次に、 [割り当ての追加] ダイアログボックスで [ユーザーとグループ] を選択します。
[ユーザーとグループ] ダイアログボックスで、ユーザーの一覧から [B.Simon] を選択します。次に、画面の下部にある [選択] を選択します。
ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
[割り当ての追加] ダイアログボックスで [割り当て] を選びます。

Adobe Creative Cloud の SSO の構成

別の Web ブラウザーウィンドウで、Adobe Admin Console にシステム管理者としてログインします。
上部のナビゲーションバーの [Settings](設定) に移動し、 [Identity](ID) を選択します。ディレクトリの一覧が開きます。必要なフェデレーションディレクトリを選択します。
[Directory Details](ディレクトリの詳細) ページで、 [Configure](構成) を選択します。
エンティティ ID と ACS URL (Assertion Consumer Service URL、つまり応答 URL) をコピーします。適切なフィールドに URL を入力します。

a. [アプリケーション設定の構成] ダイアログの [識別子] として、Adobe によって提供されたエンティティ ID 値を使用します。

b. [アプリケーション設定の構成] ダイアログの [応答 URL] として、Adobe によって提供された ACS URL (Assertion Consumer Service URL) 値を使用します。
ページの下部で、ダウンロードしたフェデレーションデータ XML ファイルをアップロードします。
[保存] を選択します。

Adobe Creative Cloud のテストユーザーの作成

Microsoft Entra ユーザーが Adobe Creative Cloud にサインインできるようにするには、そのユーザーを Adobe Creative Cloud にプロビジョニングする必要があります。 Adobe Creative Cloud の場合、プロビジョニングは手動で実行します。

ユーザーアカウントをプロビジョニングするには、次の手順に従います。

Adobe Admin Console サイトに管理者としてサインインします。
Adobe のコンソール内でフェデレーション ID としてユーザーを追加し、製品のプロファイルに割り当てます。ユーザーの追加の詳細については、「Add users in Adobe Admin Console (Adobe Admin Console でのユーザーの追加)」を参照してください。
ここで、Adobe サインインフォームにメールアドレス/UPN を入力し、Tab キーを押すと、Microsoft Entra ID にフェデレーションされます。
- Web アクセス: www.adobe.com > サインイン
- デスクトップアプリユーティリティ内 > サインイン
- アプリケーション内 > ヘルプ > サインイン

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングルサインオン構成をテストします。

[このアプリケーションをテストします] をクリックすると、ログインフローを開始できる Adobe Creative Cloud のサインオン URL にリダイレクトされます。
Adobe Creative Cloud のサインオン URL に直接移動し、そこからログインフローを開始します。
Microsoft マイアプリを使用することができます。マイアプリで [Adobe Creative Cloud] タイルをクリックすると、Adobe Creative Cloud サインオン URL にリダイレクトされます。マイアプリの詳細については、マイアプリの概要に関するページを参照してください。

次のステップ

Adobe Creative Cloud を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。

チュートリアル: Microsoft Entra シングル サインオン (SSO) と Adobe Creative Cloud の統合