
AdobeCC 「エンタープライズ版」 SSO運用時のFederated IDとユーザーデータ削除の注意
こんにちは。コーポレートITなどを担当しているクボエです。
先日登壇させていただいた以下のAdobeCCセミナーの補足説明としてGsuiteのユーザーを消去するとSSO連携しているAdobe側のユーザーデータは本当に完全に削除されるのかを検証しましたのでご紹介します。
Adobe 「エンタープライズ版(VIP)」に加入するとSSO(シングルサインオン)が使えるようになります。
Gsuiteの「ユーザー作成・停止・削除」のみでAdobe側のユーザーを連動して管理できるので管理者的にはとても楽になります。
先にSSO運用の結論を言うと
Gsuiteユーザーを削除してもFederated IDユーザーが事前に「ファイル共有したURL」は無効になりません。
え?結局SSO使えないじゃん、、
回避策はありました。
では順を追って説明したいと思います。
ユーザー追加の連動テスト
事前にGsuiteとAdobeのSSO連携は設定終了している前提とします。
・まずはGsuite側でユーザーを追加します。
するとAdobeのコンソール側に数分ほどで該当の新規ユーザーが自動で同期され反映されます。
※正直感動※
あとはこのIDにライセンスを割り当てるだけです。
Gsuiteに100ユーザーが存在する場合、SSO連携が終わるとライセンス未割り当てのAdobe IDが自動で100ユーザー自動で作成されています。
ユーザーが多い場合、管理者が泣いて喜ぶ機能です。
ライセンスを割り当てられたユーザーはいつも通りのメールを受信するので「使用を開始」で初回アクティベーションは完了です。
SSOですのでログインはもちろん「Googleでログイン」を選択してもらってください。
ユーザーが退社するなどしてAdobeID側のデータを完全に削除しなくてはならない場合
続いてユーザーデータの取り扱いです。
大前提としてライセンス未割り当ての無料AdobeIDユーザーは
「クラウドに汎用ファイルをアップロードできません」
(2020-03-07現時点では)
が、有料ライセンスを割り当てると以下のURLから汎用のファイルをアップロード・ダウンロード・共有などが行なえます。
Gsuite側でユーザーを削除した場合、きちんとAdobe ID側のデータが削除されるかどうかを確認します。これが実現できればSSO運用のメリットをバリバリ享受できます。
検証のためAdobe IDユーザーを消す前に共有用URLを「リンクを取得」しておきます。
「リンクを取得」するとURLだけで他人にファイルを公開可能になります。
便利ですけど該当のGusiteユーザー削除とともにURLは無効になって当然です。
・URL発行で誰でもファイルをやり取りできるようになります。
ではユーザー削除のSSO同期テストを行います。
Gsuiteユーザー「停止」の場合
Gsuiteユーザーを削除の前に一時使用停止にする「停止」ステータスの場合にAdobe側のSSO連携はどうなるかテストしました。
Gsuite側ユーザーを「停止」状態にします。
■ Gsuite側でユーザーを「停止」を実行すると
・Adobeコンソール側からは該当ユーザーの「Federated ID」がすぐに見えなくなりました。
削除だけではなく「停止」ステータスも連動するようです。
・Adobe IDログイン:即座に「ログイン不可」になります
・ただし「ファイル共有したURL」は依然そのまま見えてしまう状態。
※え?
■ ユーザー停止を「再開」させた場合
・Adobeコンソール側からはすぐに「Federated ID」ユーザーが復帰。
※ただし割り当てたライセンスは全て解除され、ライセンスの再割り当てが必要。
Gsuiteユーザーを「削除」した場合
Gsuite側のユーザーを「削除」します。
・Adobe側のFederated IDユーザーが消えるのは10分くらいかかりました。
・Adobe管理側ではすぐにユーザーは消えないが、Gsuite側のユーザーを削除した瞬間にSSO経由のログイン不可になりました。
・「ファイル共有したURL」は依然そのまま見えてしまう状態。
※ええ!?
「ファイル共有したURL」はユーザー削除でも有効のままです。
社員が退社した際のセキュリティ状態としては問題です、、
Enterprise ID ・ Federated IDでユーザーを「完全に削除」する方法
Enterprise ID ・ Federated ID運用においてAdobe IDを完全に削除するには「ユーザー削除」だけではなく、「ディレクトリユーザー」も削除しなくてはならないようです。
うっかりAdobe IDを削除してしまっても救済措置として復活できるような仕様だそうです。
SSO運用時にGsuite側のユーザー削除してもAdobe ID 側の保持データは完全には削除されません。
SSO運用と『楽ちん~』と油断するとセキュリティー上はやや危ない仕様になっています。
「ユーザー」と「ディレクトリユーザー」をどちらも削除すると
・「ファイル共有したURL」はやっと無効になります
※Enterprise ID/Federated IDの場合
Admin Console「アセット設定」でポリシーを変更
初期状態のクラウド上のアセットセキュリティーポリシーは「制限なし」になっています。
SSO運用の場合は安全運用のため「公開リンクの共有をしない」「ドメインユーザーとのみ共有する」に変更をおすすめします。
※ただし通常のAdobe IDは管理外でEnterprise ID/Federated IDにしか適用されません。
まとめ
GsuiteとAdobe IDの「Federated ID」SSO連携は本当に楽なのでおすすめです。
※ただしGsuiteが死ぬとAdobeIDにログインできなくなるリスクはあります。
運用の最大の落とし穴として同一ドメインでEnterprise ID ・ Federated IDを混在運用できません。
どちらかを選択する排他仕様になっています。(初回セットアップ時に選択)
よって「エンタープライズ版」のID運用は以下の2択から選択せねばなりません。
・AdobeID + Enterprise ID
・AdobeID + Federated ID
エンタープライズ版の管理者としては最大の悩みどころかつ最大の不満点です。このあたりを考慮し運用・設計する必要があります。
以上「Adobe エンタープライズ版(VIP)」Federated IDの運用メモでした。
AdobeIDを結局手動でセットアップするはめになり正直「Adobe エンタープライズ版(VIP)」に強い憤りを感じましたが、
「グループ版」から「AdobeID + Federated ID」運用に移行して楽になったことは事実です笑
※AdobeIDはCSVから一括登録することは可能です。(パスワードは登録不可)
現在AdobeにはAdobe Consoleに以下の設定を追加するように要望を出しています。
・該当ユーザーが「ユーザー」リストになく、「ディレクトリユーザー」にのみ存在している場合は「URL共有を無効にする」のON/OFF設定の設置
・Enterprise ID/Federated IDにおいて「ユーザーを即座に永続的に削除」のON/OFF設定の設置
本内容に賛同していただけるAdobe 「エンタープライズ版」管理者さまは是非上記リクエストをサポートに投げていただけると助かります!!