Adobe CC をAzure ADでSSOする構成にしてみた

8/22/2020

Adobe CC Azure AD Microsoft 365 Office 365

 AzureAD(Office365)でSSOする構成にしてみたシリーズも第5弾。今回はAdobe CCをOffice365にシングルサインオンする設定をしてみた。

Adobe CCをAzure ADにSSOする構成は、Azure AD コネクタ(Azure AD Connectと名前は似てるけど、ベツモノ)を使うのだけど、ユーザープロビジョニングも一括で設定できる。ということで手順をまとめてみた。

前提条件
SSOの構成(Adobe CC上の設定)
SSOの構成(Azure AD上の設定)
SSOの構成(Adobe CC上の設定)
感想やもろもろ
参考資料

1.前提条件

SaaSによっては「どのライセンスでもSSOできます」「特定のレベル以上のライセンスが必要」「SSO追加オプションを購入してください」等の条件があるけど、Adobe CC の場合は「エンタープライズ版」かつ「Federated ID」であることが前提。

1.1 IDのタイプ

Adobeのアカウントタイプは3種類あるけど、SSOさせたい場合はFederate IDじゃなきゃいけない。

Adobe ID・・・個人用アカウント。アカウント管理は個人が行う。SSO不可。Enterprise ID・・・企業向けアカウント。アカウント管理は組織が行う。SSO不可。Federated ID・・・企業向けアカウント。アカウント管理は組織が行う。SSO可。SSOしたければ、Federated IDが必須になる。

1.2 エンタープライズ版が必須

Federated IDを使うには、Adobe CC エンタープライズ版でなければならない。もう一つあるグループ版では、Federated IDは使えない。
またAdobe CCのエンタープライズ版とグループ版と2通りあり、Federated IDはエンタープライズ版でないと利用できない。くわしくは、Adobe - ID タイプの管理を参照。

ざっくりまとめると、こんな感じと解釈してる。  

 エンタープライズ版を調達して、Federated IDであることが前提。

2.SSOの構成(Adobe CC上の設定)

Adobe 管理コンソールで実施する。今回はAzure AD コネクタを使った構成。SAMLプロバイダーで行う手順より、かなり手数少ないです。

2-1.ディレクトリを作成する

上部にある、設定をクリックし、ディレクトリの作成から実施。
ディレクトリで、任意の名前を付ける。Adobe_from_AzureADとかでもOK。
そのあと、Federated IDを選択。

2-2.Azure ADにサインインして、同意する

Azure、Google、SAMLプロバイダが表示されるので、Azureを選択。

image.png

Azure ADへのログインを求められるので、Azureグローバル管理者orOffice365全体管理者でログイン。
Adobeに各種読み取りの権限を付与する旨、同意する。

image.png

3.SSOの構成(Azure ポータル上の設定)

実は・・・SAML設定などは不要だったりする。
さっきの手順2-2で読み取り権限渡すという方法で委任しているから。

Azure ADのエンタープライズアプリケーションに、Adobe Identity Managentってのが作成されてればOK。

ユーザーには、手順2-2でAzure ADにログインしているアカウントが設定されてます。

image.png


4.SSOの構成(Adobe CC上の設定)

再びAdobe 管理コンソール。

4-1.同期対象のドメインとグループを設定

上記の2-2で設定した画面にもどり、AzureAD上で登録されているドメインのうち、Adobeへ同期させたいドメインを選択する。

image.png


それから、同期させたいグループを選択する。
いずれも、複数選択OK。

グループは、メールが可能なセキュリティグループ、配布リスト、365グループ、セキュリティグループも候補に出てくる。

表示名であれば検索できるけど、メールアドレス形式では検索不可でした。

4-2.ユーザーの同期を待つ。

大体、30分程度で同期されます。
30分経っても表示されないときは、ユーザー一覧画面で表示できる数を変更すると表示されます。
それでも表示されてないときは、同期設定で何か足りないか漏れている可能性が高いようです。

あとは、必要なライセンスを付与してください。

5.感想やもろもろ

SAML設定でキーの交換をしないでも設定できる、というのには驚いた。確かにこのほうがラク。ますますSSOのハードルが下がる。

今回はMSの資料が参考にならず(苦笑)、Adobeの資料を参考して進めた。

余談だけど、Adobe IDとFederated IDで同じアカウントの場合は、ログイン時に「どっち使うのさ?」と聞かれる。

Azure ADアカウントと、Microsoft アカウントで同じアカウントの場合に聞かれるのと同じ。

image.png


6.参考資料

Adobe - IDの概要
https://helpx.adobe.com/jp/enterprise/using/identity.html

Adobe - Azure AD コネクタによる SSO の設定
https://helpx.adobe.com/jp/enterprise/using/sso-setup-azure.html

Microsoft - チュートリアル:Azure Active Directory シングル サインオン (SSO) と Adobe Creative Cloud の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/adobe-creative-cloud-tutorial
※Azure AD コネクタを使うほうが便利、と書かれている。リンク先はAdobeのドキュメントだったりする。

ほかのSaaSもいくつかまとめてみました。各種SaaSとAzure Active Directoryのシングルサインオン対応状況を調べてみたを参照してください。