Admin Console にログインし、設定に移動します。
連合ゲストアクセスが、内部チームと同じセキュリティおよびアクセス標準を維持しながら、外部パートナーとの共同作業をどのように簡素化するかを学習します。
この機能は次の条件でのみ利用可能です:
- エンタープライズプランをアドビから直接購入した場合。
- 少なくとも 1 つのアクティブな連合ディレクトリが作成されています。
組織がこれらの条件を満たしているにも関わらず、Admin Consoleでこの機能が表示されない場合は、アドビサポートにお問い合わせください。
概要
アドビの連合ゲストアクセス機能を使用すると、エンタープライズ版のお客様は、社外の代理店、ベンダー、またはコンサルタントの担当者を、社内従業員と同じセキュリティおよび認証基準でアドビのエコシステムにオンボードできます。
以前は、連合 ID ユーザーの作成にはドメインの所有権が必要でした。 この要件により、組織は外部ドメインを持つユーザーを追加することができませんでした。これには、gmail.com などの非クレーム可能なドメインや、他の組織が所有するクレーム可能なドメインが含まれます。
連合ゲストアクセス機能により、エンタープライズ版のお客様は、任意のメールアドレスを持つユーザーを自社の連合ユーザーとして追加できます。 社内従業員と外部パートナーの両方で、一貫した SSO の適用を確保します。
この機能は現在、限られた数の製品をサポートしています。サポート対象製品セクションを参照して、フェデレーテッドゲストに割り当てることができる製品を確認してください。
現在、連合ゲストアクセスは、以下の製品でサポートされています。このリストにない製品をフェデレーテッドゲストに割り当てると、ライセンスを消費せずに失敗します。
- Cloud Service としての AEM アセット
- Adobe Express
- GenStudio
- Workfront
その他の製品を外部パートナーに割り当てる必要がある場合は、適切なライセンス付与とシームレスなユーザーエクスペリエンスを確保するために代替のオンボーディング方法を使用することをお勧めします。
連合ゲストアクセスのメリット
連合ゲストアクセス機能のメリットは次のとおりです:
- シームレスな共同作業:外部パートナーは、摩擦なく Adobe ツールにアクセスできます。
- 統合されたセキュリティ:企業は、すべてのユーザーに対して一貫した SSO および認証ポリシーを適用できます。
- 業務効率:以前にベンダーをオンボーディングするために使用されていた回避策の必要性を排除します。
- 管理されたアクセス:連合ゲストアカウントは社内アカウントから分離されており、権限とアセットが分離された状態に保たれます。
ビジネスシナリオとユースケース
連合ゲストアクセスは、企業が外部の専門知識に依存するシナリオで特に価値があります。 代理店と連携するマーケティングチーム、コンサルタントを採用する IT 部門、または複数の企業間で共同作業を行う大規模組織は、セキュリティを損なうことなく外部の共同制作者を統合できます。
例えば、ある企業が短期プロジェクトのために vendor.com の Mary を採用する場合を考えてみましょう。 Mary は既に雇用主との連合アカウントを持っている可能性があります。 以前は、採用企業は Mary を、雇用主によって認証が管理されている既存の連合アカウントを介してのみ、自社の Adobe 環境にオンボードできました。
連合ゲストアクセスにより、採用企業は Mary を連合ゲストとしてディレクトリに追加できます。 この場合、Mary は採用企業の SSO を使用してサインインし、Workfront や AEM Assets などのツールにアクセスできます。 Mary は、採用企業のドメイン上に別個のメールアドレスを必要としません。
Mary の連合ゲストアカウントは雇用主所有のアカウントから完全に独立しており、個別の権限とアセットを持ち、組織データの明確な分離を確保しています。 アカウントスイッチャーを使用してアカウントを切り替えることができます。 アカウントを切り替えるたびに、Mary はログアウトしてから、他のアカウントのログイン方法を使用して再認証する必要があります。 このプロセスにより、アカウント間の分離が維持されます。
採用企業にとって、Mary のような外部パートナーは、社内従業員に使用しているのと同じ認証およびアクセス制御を通じてオンボードおよび管理できます。 Mary の雇用主にとって、連合ゲストアクセスでは変更は必要ありません。 彼女のアカウント、権限、アセットは影響を受けず、どちらの組織も相手の組織のアカウントに対する可視性を持ちません。
連合ゲストアカウント
連合ゲストアクセスでは、連合ゲストという新しいアカウント概念を導入します。 連合ゲストは、既存の連合 ID アカウントタイプの新しいバリエーションであり、企業が所有または要求していないメールドメインをサポートするように拡張されています。
企業は、連合ゲストのメールドメインの所有権を必要とせずに、外部パートナーを自社の連合ディレクトリにオンボードし、組織の IdP を通じて認証できます。 すべての連合 ID アカウントと同様に、各連合ゲストアカウントは、それを作成した組織に範囲が設定され、独自の独立した権限、アセット、連合を持ちます。 同じメールアドレスを他の組織で使用している他のアカウントとは、完全に分離されたままです。
ドメイン管理
採用企業の管理者は、Admin Console の新しい ゲストドメイン タブから外部ドメインを追加できます。 これにより、外部メールドメインを持つユーザーを、自社が所有する個別の連合 ID アカウントとして追加できます。
要求済みドメインとは異なり、ゲストドメインでは所有権の証明は必要ありません。 要求可能なドメインと要求不可能なドメインの両方を追加できます。 別のアドビ組織によって要求されているドメインについては、ドメイン所有者が、そのドメインをゲストドメインとして使用できるかどうかを制御できます。
ドメイン所有者が、自社の要求済みドメインをゲストドメインとして使用できないようにブロックすることを要求している場合、そのドメインをゲストドメインとして追加することはできません。 そのゲストドメインを既に追加している場合、そのドメインで新しい連合ゲストを追加することはできません。 ゲストドメインを持つ既存の連合ゲストは、ドメイン所有者がゲストドメインの使用を再度許可するまでログインできません。
ゲストドメインを Admin Console ディレクトリに直接追加するには、次の手順を実行します。
-
-
ディレクトリリストから、ゲストドメインを追加するディレクトリを開きます。
-
ディレクトリ内のゲストドメインタブに移動し、ゲストドメインを追加します。
デフォルトでは、すべての要求済みドメインは、連合ゲストアクセスのゲストドメイン使用を許可するように設定されています。
ドメイン所有者として、他の組織が自社の要求済みドメインをゲストドメインとして使用することを望まない場合があります。 ゲストドメインの使用は、ドメインの所有権やユーザーに影響を与えませんが、自社の要求済みドメインがどのように使用されているかを確認し、そのような使用を停止するかどうかを判断できます。
アドビ内の他の組織が、自社の要求済みドメインをゲストドメインとしてどのように使用しているかを確認するには
-
Admin Console にログインし、設定/ID 設定に移動します。
-
ID 設定で、「ドメイン」タブに移動します。
-
その他のオプション(…)を選択し、連合ゲストアクセスレポートをダウンロードするを選択します。
すべての組織による自社の要求済みドメインのゲストドメインとしての使用をブロックまたは許可するには、Adobe サポートに連絡してリクエストします。 この変更はドメインごとに適用されます。
ゲストドメインの使用をブロックすると、アドビ内の他の組織はそのドメインをゲストドメインとして追加することができなくなります。 すでにそのゲストドメインを追加している組織には、そのドメインへのアクセスがブロックされていることが表示されます。 さらに、そのドメインで新しい連合ゲストを作成することもできません。 そのゲストドメインを持つ既存の連合ゲストアカウントは、そのアカウントへのサインインがブロックされます。
セキュリティと保護機能
IdP は常に信頼できる唯一の情報源です。 外部パートナーを連合ゲストとしてオンボードするには、そのユーザーが事前にお客様の IDP にアカウントを持っている必要があります。 これは、通常、社内従業員を連合 ID ユーザーとしてオンボードする方法と同様です。
すべての連合ゲストは、初回ログインの前に 1 回限りの確認フローを完了する必要があります。 アドビは連合ゲストのメールアドレスに確認コードを送信し、連合ゲストは招待元組織に連合ゲストとして参加することを確認し、同意するよう求められます。 このフローが完了していない場合、連合ゲストは初回ログインを行う前に、このフローを完了するよう求められます。
管理者エクスペリエンス
管理者の観点では、連合ゲストのオンボーディングは、通常の連合ユーザーのプロセスと同様です。
- 設定:管理者は Admin Console でゲストドメインを設定します。
- プロビジョニング:連合ゲストは、通常の連合ユーザーと同じ方法で追加されます。
- 製品の割り当て:製品は通常の連合ユーザーと同じ方法で割り当てられます。 連合ゲストに割り当てられるのは、サポート対象の製品のみです。サポート対象外の製品(例:Photoshop)を割り当てても、ライセンスを消費することなく失敗します。
- コラボレーション招待:メールには、アセットまたはインスタンスを所有する組織名が含まれるようになり、プロファイルまたはアカウントを切り替える際の混乱が軽減されます。
連合ゲストのログインエクスペリエンスを向上させるために、ディレクトリ固有のログインリンクを提供することを検討してください。ログインリンクはAdmin Consoleで確認できます。
-
Admin Console にログインし、設定/ID 設定に移動します。
-
ゲストドメインタブを開きます。
-
連合ゲストと共有するログインリンクを見つけます。
同じディレクトリ内のユーザーであれば、連合ゲストであるかどうかに関係なく、ログインリンクを使用できます。
エンドユーザーの操作性
エンドユーザーにとって、エクスペリエンスは分かりやすく、かつ安全になるよう設計されています。初回のログイン時に、Adobe はエンドユーザーに対して、一度限りの本人確認フローを完了するよう求めます。連合ゲストはメールを確認し、招待組織への参加に同意する必要があります。 完了すると、連合ゲストは社内の従業員と同様に、採用企業の IdP を使用してアカウントにサインインできます。連合ゲストは、IdP 開始ログインを使用して連合ゲストアカウントにログインすることもできます。
ログインページでメールを入力して連合ゲストアカウントに直接ログインすることはできません。 代わりに、IdP 開始ログインまたは管理者が提供できるログインリンクを使用する必要があります。
メールアドレスがアドビの複数のアカウントにリンクされている場合、アカウント切り替え機能を使用して、同じメールアドレスを共有するすべてのアカウントを見つけることができます。 任意のアカウントにログインすると、切り替え可能なアカウントのリストが表示されます。
新しいアカウント切り替え機能により、ユーザーは同じメールに関連付けられた連合アカウント間を切り替えることができます。 プロファイル切り替えとは異なり、アカウント切り替えでは各アカウントが独自の連合および認証方法を持つため、再認証が必要です。 管理者は、特定のディレクトリに関連付けられた専用ログインリンクを提供することもでき、ユーザーが正しい IdP に誘導されるようにできます。
Global Admin Console 階層
Global Admin Console 階層は、ゲストドメインが組織間でどのように管理および共有されるかを確立します。 連合ゲストアクセス機能が有効になっている組織のみがゲストドメインを追加できます。 親組織が追加すると、階層内のすべての子組織とコンソール全体で表示されるようになり、外部ユーザーと連合ゲストの一貫したオンボーディングを実現できます。
所有組織は、階層内の他の組織と信頼関係を形成し、そのドメインを他の要求済みドメインと同様に使用できます。 すべての組織で連合ゲストアクセスを有効にする必要はないため、一元化された ID 管理はルートレベルで維持できます。 ゲストドメインは階層内の 1 つのディレクトリによってのみ追加でき、階層外の組織は信頼関係が存在してもゲストドメインを表示または使用できないため、制御された可視性が保証されます。 このような場合、ユーザーはアドビまたはドメイン所有者によって管理されるビジネス ID として追加されます。 同じメールアドレスが複数の組織に登録されている場合、個別の連合ゲストアカウントが作成され、ユーザーはアカウント間を切り替える必要があります。
よくある質問
「ゲストドメイン」タブが表示されない場合、組織が連合ゲストアクセスの対象ではない可能性があります。対象となるには、アドビから直接購入したエンタープライズプランを契約しており、少なくとも 1 つのアクティブな連合ディレクトリが必要です。これらの条件を満たしているにもかかわらずタブが表示されない場合は、アドビサポートに連絡して有効化を依頼してください。
追加しようとしている外部ドメインは、以下を含むいくつかの理由により、ゲストドメイン追加プロセス中に失敗する可能性があります:
- ドメイン所有者がそのドメインへのゲストアクセスをブロックしました。
- ドメインは既に組織内のディレクトリでゲストドメインとして追加されています。
- そのドメインは、グローバル管理コンソール階層内の別の組織によって、すでにゲストドメインとして追加されています。
- ドメインが無効または不完全です。
外部パートナーを既に組織にオンボーディングしている場合は、アセットやデータの損失を避けるために、新しい連合ゲストアカウントを作成するのではなく、オンボーディング済みのアカウントを更新することをお勧めします。
外部パートナーを元のメールアドレスを使用して追加している場合は、認証アカウントを更新する必要があります。 ユーザーの ID タイプを変更を参照してください。
要求済みドメインの別のメールアドレスで外部パートナーを連合 ID として追加している場合は、そのユーザーのメールアドレスを更新する必要があります。 詳細については、ユーザーの詳細を編集を参照してください。
連合ゲストに割り当てられるのは、サポート対象の製品のみです。 その他の製品割り当てでは、連合ゲストに対してアクセスなしプロビジョニングステータスとなります。
ユーザー全体の完全なプロビジョニングステータスを確認するには、ライセンスステータスレポートをダウンロードします。
Admin Console にログインし、ユーザーに移動します。
その他のオプション(…)を選択し、ライセンスステータスレポートを選択します。
ドメイン所有者が自社の要求済みドメインに対するゲストドメインアクセスをブロックすると、そのゲストドメインを連合ゲストアクセスの目的で使用できなくなります。
そのようなゲストドメインで新しい連合ゲストを追加することはできません。
そのゲストドメインを持つ既存の連合ゲストは、「取り消された連合ゲスト」ステータスになります。 このステータスでは、取り消された連合ゲストはアカウントへのログインがブロックされます。 以前に割り当てられていたすべての権限は、アクセスなしプロビジョニングステータスになります。
ドメイン所有者がゲストドメインアクセスを復元すると、以前に取り消された連合ゲストが再アクティブ化されます。 各連合ゲストはもう一度サインインでき、権限のプロビジョニングステータスは完了に更新され、割り当てられた製品を引き続き使用できます。
はい、既存のすべてのユーザー管理機能が連合ゲストに適用されます。 ユーザーが連合ゲストかどうかを確認するには、リクエストに federatedGuestInfo=true を追加して、この追加情報の取得をオプトインできます。
連合ゲストアカウントにログインする前に、1 回限りの確認フローを完了する必要があります。
アドビの標準ログインページでメールを直接入力して連合ゲストアカウントにアクセスすることはできません。 代わりに、次のいずれかの方法を使用する必要があります:
- 組織の IdP ポータルまたはイントラネット経由(管理者によって設定されている場合)
- 管理者から提供されたログインリンクを使用する
- メールにリンクされた別のアカウント(法人/個人)へのログイン。 アカウントスイッチャーを使用して連合ゲストアカウントにログインしてください。
アドビサポートにお問い合わせください。 アドビが代理で設定を更新し、変更はドメインごとに適用されます。