こんにちは、サイオステクノロジーの小川です。今回はAdobe Azure AD Connectorの検証を行いましたので設定方法について掲載します。
Adobe Azure AD Connectorとは、Azure ADと Adobe管理コンソールを統合して、Azure ADユーザーでAdobeのSSOを実現します。
Adobe Azure AD Connectorの特徴を以下にまとめました。
- 2つのシステムが直接接続されているため、ドメインのクレームやグループの作成などの手順を重複しておこなう必要がありません。
- ユーザー管理やライセンスのプロビジョニングなど、すべての操作をAzure ADで実行できます。
- Azure ADのグループを連携します。
- Azure ADのグループの入れ子にも対応しています。
構成
前提条件
- Azure ADで連携ドメインをクレームできていること
- Azure AD に関連付けられているドメインは、Adobe管理コンソールで未クレームであること
- Adobe連携用のグループを作成し、連携アカウントをグループのメンバーに設定していること
設定
Adobe管理コンソールに管理者アカウントでログインします。
「設定」選択し、IDのディレクトリタブで「ディレクトリを作成」をクリックします。
ディレクトリ名を入力し、「Federated ID」を選択し、「次へ」をクリックします。
利用するIdPで「Microsoft Azure」を選択し、「次へ」をクリックします。
ID設定についての説明が表示されるので、「Azureにログイン」を選択します。
Microsoftアカウントのサインインページにリダイレクトされます。Microsoftのグローバル管理者権限を持つ管理者の資格情報を入力します。
管理者のログインID、パスワードを入力すると、Adobeのアクセス許可画面が表示されるので、「承諾」をクリックします。
Adobe管理コンソールの設定に戻り、Azure ADのディレクトリの情報が表示されるので、「確定」をクリックします。
Azure ADで検証し、Adobeに同期する対象のドメインを選択し、「次へ」をクリックします。
Adobe Admin Consoleに同期されるグループをグループリストから検索して選択します。アクションボタンを選択することで同期対象のグループを設定することができます。設定できたら「完了」をクリックします。
連携の設定が完了し、Adobe管理コンソール画面が表示され、ディレクトリの同期設定を確認します。現段階では同期が開始されていないので「同期を開始」を選択します。
同期が開始され、グループのメンバーがAdobeに連携されます。対象のドメインやグループを変更する場合は各項目の変更ボタンを選択し、連携対象にするドメイン、グループを設定することができます。
※Adobe Azure AD Connectorはグループでの連携になるためグループのメンバーになっていないアカウントはAdobeへアカウント連携されません。
Adobeのドキュメントには同期時間は15分おきとAdobeのドキュメントに記載がありますが、検証したところ、15分から30分で同期が行われていることを確認しました。
ユーザーグループを選択すると、Adobe管理コンソールのグループを確認することができます。
Azure ADから連携したグループについてはユーザー同様、青で囲ったマークがつき、左側のチェックボックスで選択ができず削除できません。連携グループに対して設定できるのは製品プロファイル(ライセンス)の割り当てになります。
Adobe管理コンソールのユーザータブからユーザーを選択します。Azure ADから連携されたアカウントは青で囲ったようにAzure AD連携のマークがつきます。また、左側のチェックボックスは選択できないようになっており、Adobe管理コンソールでは連携アカウントの編集は行えないようになっています。連携アカウントに対して変更できるのは製品プロファイル(ライセンス)の割り当て、アカウント権限の変更です。
ユーザー削除
Azure ADから連携中のユーザーに関してはAdobeで削除処理を行うことができません。
ディレクトリのユーザーに移動しステータスを確認すると「アクティブ」になっており、左側のチェックボックスには選択できないようになっています。
Adobeからアカウント削除するにはAzure ADからの連携対象のグループから外すことで、次回連携時にAdobeからアカウント論理削除処理が行われます。Adobeのアカウントは無効状態になります。(Adobe管理コンソールの「ユーザー」からは削除されますが、「ディレクトリのユーザー」には残り、無効ステータスとなります。)
Azure ADからの連携対象外となったユーザーはAdobeでアカウントの物理削除処理が行えるようになります。
ディレクトリのユーザーへ移動し、ステータスが無効となっているユーザーにチェックを入れると、右上に「ユーザーを削除」が表示されるので、選択するとAdobeから完全にユーザーが削除されます。
ログイン
端末にログイン後、Adobe Creative Cloudを選択します。
Adobeのログイン画面に遷移するので、IDを入力します。
Office365のログインパスワード入力画面に遷移するので、ログインIDのパスワードを入力します。
Adobe Creative Cloud Desktopにログインできました。
まとめ
Adobe Azure AD Connectorの設定について書きましたが、利用するメリットは以下が挙げられます。
- 2つのシステムが直接接続されているため、ドメインのクレームやグループの作成などの手順を重複しておこなう必要がない
- ユーザー管理やライセンスのプロビジョニングなど、すべての操作をAzure ADで実行できる
- Azure ADのグループを連携するため、管理が容易
