マニュアル キャンセル

ユーザー同期を使用した教育機関向けデプロイメントの設定

この設定では、Federated ユーザーは同期を使用して追加、更新、削除され、Microsoft Entra または Google Workspace からディレクトリを同期できます。

ビデオデモ

これらのビデオでは、Adobe Express(小中高校向け)について説明します。ユーザーの同期とグループへのライセンスの割り当ては、製品名が異なるだけで、高等教育機関と同じプロセスです。

教育機関の設定 - ユーザーの同期

  1. ディレクトリの作成
  2. Federated ディレクトリの設定
  3. ドメインのクレーム
  4. 同期の設定
  5. 製品プロファイルの準備
  6. 製品プロファイルのグループへの割り当て

このガイドでは、Microsoft Azure (Entra) と Google Workspace による教育機関のユーザーの同期について説明します。

別の同期オプションとして、ユーザー同期ツールを使用してオンプレミスのディレクトリから同期する方法や、アドビのユーザー管理 API (https://developer.adobe.com/UMAPI/
)を使用して直接同期する方法もあります。

  1. ディレクトリの作成

    Adobe Admin Console設定ディレクトリの作成

    ディレクトリの名前(内部で使われる名前であり、公開されません)を入力し、「Federated ディレクトリ」を選択します。 

    ディレクトリ作成ウィザードのスクリーンショットです。ディレクトリ名のテキストボックスと、Federated ID 用と Enterprise ID 用の 2 つのカードが表示されています。Federated ID のカードが選択されています。

  2. Federated ディレクトリの設定

    Azure/Entra、Google、または SAML の手順に従って、ID プロバイダーを使用して Federated ディレクトリを設定します。

    確認画面で、自動アカウント作成を「無効」に設定します。この設定では、ユーザーは同期によって作成および管理されます。

    Azure、Google、その他の SAML のオプションが表示された Federated ディレクトリの作成ウィザードのスクリーンショット

  3. ドメインのクレーム

    ディレクトリ画面が完了したら、Microsoft Global Admin アカウントまたは Google スーパー管理者アカウントを使用してドメインをクレームします。これにより、ID プロバイダーのコンソールで使用可能なすべてのドメインが一覧表示されます。組織で Azure/Entra または Google を使用していない場合は、ドメインレジストラーで DNS のテキストレコードを作成することによって、ドメインの所有権を検証できます。 

    ドメインクレームガイド

    Adobe Admin Console でドメインをクレームしている管理者のスクリーンショット

    Google ポリシーの適用によるドメインの検証を禁止していますか?

    API が原因で Google とのドメインクレームのプロセス中にブロックされた場合は、次の手順で次のクライアント ID 880547366666-6dhr4mqsutv0a98arjksgflfh02kgp98.apps.googleusercontent.com を追加します。

    1. Google 管理コンソールセキュリティアクセスとデータ管理API の制御サードパーティ製アプリを管理
      https://admin.google.com/ac/owl/list?tab=configuredApps
      アプリを追加名前またはクライアント ID で検索
    2. 上記のクライアント ID貼り付ける
    3. 検索する
    4. アドビアプリを選択する
    5. 組織全体で有効にする
    6. 信頼する」を選択

    Google API が権限を更新するには、最大 20 分かかる場合があります。

  4. 同期の設定

    同期タブ
    を選択する ここから「同期を追加」を選択する

    Microsoft または Google から同期を選択する

    選択した同期プロバイダーの設定ウィンドウが開きます。


    Microsoft による同期設定

    新しいディレクトリを設定する場合は、ディレクトリ認証の段階で Adobe Identity Management アプリがインストールされます。 

    アプリにアクセスするために次の場所に移動する

    AzureEnterprise ApplicationsAdobe Identity Management

    プロビジョニング開始を選択する

    Adobe Admin Console の同期設定の画面から値をコピーし、Azure のプロビジョニング設定画面に貼り付けます。

    接続をテストする

    ライセンスを割り当てる必要があるユーザーとグループを選択できます。

    ヒント:ユーザーまたはグループの選択後にプロビジョニングをテストするには、「オンデマンドでのプロビジョニング」を選択し、同期をテストするユーザーを指定します。

    同期が完了したら、Adobe Admin Consoleユーザーユーザーグループを選択すると、同期されたグループとユーザーを確認できます。

    同期をテストしたら、Azure で同期を有効にし、Adobe Admin Console の同期設定画面で設定を確認してください。

    ヒント :

    10 万人を超える大規模なユーザーグループを同期する場合は、オンデマンドでユーザーを同期し、ライセンス割り当てステージ 5 を完了します。

    ライセンスがグループに割り当てられたら、完全同期を有効にして、グループが大きすぎるためにライセンスを割り当てられない事態を回避します。


    Google による同期設定

    新しいディレクトリを設定する場合、ディレクトリ認証の段階でアドビ(SAML)アプリがインストールされます。 

    アプリにアクセスするために次の場所に移動する

    Google 管理コンソールアプリウェブアプリとモバイルアドビウェブ(SAML)

    すべてのユーザーまたは特定の OU に対してアプリを有効にする

    自動プロビジョニングを設定する」を選択する

    Adobe Admin Console の同期設定の画面から値をコピーし、Google のプロビジョニング設定画面に貼り付けます。

    属性マッピング画面で、同期する組織単位フィールドを有効にします。

    urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit は、マッピングする組織単位パス
    です

    ウィザードの完了後、「同期を有効にする」を選択する

    ユーザーが Adobe Admin Console に表示されるまでには最大 10 分かかります。 

    組織単位を選択してアドビの自動プロビジョニングを編集する画面。


    ヒント :

    同期設定中に組織単位のパスのマッピングを追加すると、グループ別にライセンスを割り当てることができます。それ以外の場合、ユーザーはグループメンバーシップなしで組織に追加されます。 

    Google Sync は現在 OU のみをサポートしており、グループはサポートしていません。

    Google の OU グループは階層型 OU であり、同期範囲内のすべてのユーザーが含まれます。これは、Google の組織単位構造によって決まります。例:

    • OU\ - すべてのユーザーを含む
    • OU\Students - 学校 A と学校 B のすべての生徒が含まれる
    • OU\Students\School A - 学校 A のすべての生徒が含まれる
    • OU\Student\School B - 学校 B のすべての生徒が含まれる
    • OU\Staff\ - 学校 A と学校 B のすべての生徒が含まれる
    • OU\Staff\School A - 学校 A のすべての職員が含まれる
    • OU\Staff\School B - 学校 B のすべての職員が含まれる

    既存の Google Sync が設定されている場合は、組織単位の自動プロビジョニング属性マッピングを編集して、完全同期を自動的にトリガーし、OU を Adobe Admin Console に同期します。

  5. 製品プロファイルの設定

    ユーザーに割り当てる製品については、製品と製品プロファイルを選択します。すべての製品にはデフォルトの設定があります。  

    Adobe Admin Console製品製品を選択製品プロファイル

    詳細ボタンがハイライト表示された製品プロファイルのスクリーンショット

    製品プロファイルには、以下の管理機能があります

    • 製品内の管理サービス - 小中高校向けの Firefly
    • ライセンスクォータ:このプロファイルから割り当てることができるライセンスの数
    • メール通知 - ライセンスが割り当てられた場合または削除された場合にユーザーに通知します
    ヒント :

    複数のユーザーにライセンスを割り当てる場合は、メール通知を無効にして、ユーザーにソフトのライセンスをデプロイすることもできます。

    プロファイルのエディターでメール通知を無効にしている画面。

  6. 製品プロファイルのグループへの割り当て

    Adobe Admin Consoleユーザーユーザーグループ

    ユーザーグループ」を選択する

    割り当てられた製品プロファイル」を選択する

    製品プロファイルをグループに割り当てる画面。

    ここでは、グループに割り当てられた製品プロファイルを選択または変更できます。

    ユーザーが同期され、このグループに追加されると、ユーザーはそのグループに割り当てられた製品プロファイルを受け取ります。ユーザーが同期グループから削除された場合(例えば、ユーザーが組織を離れた場合)、このグループからそのユーザーへの製品の割り当てが削除され、ライセンスは別のユーザーに再割り当てされます。

    製品ごとに異なる設定で複数の製品プロファイルを作成できます。1 つの製品に対して複数の製品プロファイルがある場合は、グループに割り当てるときに特定のプロファイルを選択できます。


ユーザーとのクイックログイン URL の共有

Adobe Express の場合は、特定の URL をユーザーと共有します。この URL は、ドメインを所有するディレクトリに構成されているプライマリ IDP への SSO ログインをトリガーします。

URL の形式は以下のとおりです。
https://new.express.adobe.com/a/domain.org
domain.org をディレクトリ内の登録済みドメインに置き換えます。

カラフルな背景のコンピューターのスクリーンショットで、説明は自動的に生成されます


Adobe Express の SSO 起動 URL を Chromebook のタスクバーにピン留めする

Google Workspace の管理者のみ

Google Admin Console/アプリと拡張機能 https://admin.google.com/ac/chrome/apps/user で、次の URL を追加します。

https://new.express.adobe.com/chrome-tab/a/domain.org
domain.org を、Admin Console のフェデレーションディレクトリでクレームされているドメインに置き換えます。

タスクバーにピン留めするには、「自動インストールして ChromeOS タスクバーに固定する」を選択します。

  • フェデレーションディレクトリに複数のドメインが登録されている場合は、どのドメインでも使用できます。
  • 複数のディレクトリがある場合は、そのディレクトリが所有するドメインのいずれか 1 つを使用して、ディレクトリごとにリンクを作成する必要があります。

ユーザー同期のビデオチュートリアル

Microsoft Azure (Entra) による Adobe Express(小中高校向け)のユーザー同期

Google Workspace による Adobe Express(小中高校向け)のユーザー同期

ヘルプをすばやく簡単に入手

新規ユーザーの場合