IMS移行参考情報 - SSOの起点方式の違い

このドキュメントの想定読者

SSOを設定済みのMarketoインスタンスの管理者で、お客様社内のIT管理者、Admin Consoleのシステム管理者と協力し、Adobe Admin ConsoleでもSSOを設定予定の方

SAML認証の起点方式の違い 

SSO (Single Sign-On) を実現する方法はいくつかありますが、Adobe では 主に、SAML を利用した認証方式（以下、SAML 認証）を採用しています。 SAML は、異なるドメイン間でユーザー認証を行うための XML ベースの標準規格です。

SAML 認証では、Service Provider (以下、SP) と Identity Provider (以下、IdP) のどちらを起点とするか(どちらに先にアクセスするか)によって、以下の 2 つの方式に分かれます。 

• SP 起点方式 
• IdP 起点方式 

Adobe IMS 移行前後の環境では、この起点方式が異なる点に注意が必要です。 

※ SP は Marketo Engage が該当し、IdP は Azure Entra ID、Google Identity、Okta などのシングルサインオンサービスが該当します。 

参考1：メッセージフロー 

• SP 起点方式 – SP から認証要求（AuthnRequest）を開始し、IdP にリダイレクトする方式 

• IdP 起点方式 – IdP から直接ユーザー認証を開始し、認証済みの SAML Response を SP に返す方式

参考2：Adobe Identity Management FAQ 抜粋 

Does this work with SSO? 

<snip> 

there are differences in the Marketo Engage IdP-initiated support compared to Adobe’s SP-initiated support. 

エラーと対処方法

IMS 移行前後で起点方式が異なるため、異なる起点からSP であるAdmin Console もしくはMarketo Engage の起動を試みるとエラーになります。 

IMS 移行後（SP 起点方式環境）で IdP 起点でログインを試みた場合

• 表示されるエラーメッセージ 

Could not log you in

This might be a sign of an IDP initiated login, which we don't support.

• エラー画面

• 対処方法

Adobe Experience Cloud(https://experience.adobe.com/) からログインしてください。

IMS 移行前（IdP 起点方式環境）で SP 起点でログインを試みた場合

• 表示されるエラーメッセージ 

IdPを使用してログインしてください。 

エラー:メール認証を成功させるにはアクティブなユーザーセッションが必要です。IDプロバイダー(IdP)のURLを使用して、Marketoサブスクリプションにサインインしてください。セッションが確立されたら、受信トレイと認証メールに戻ってください。メール内の「メールアドレスを確認」リンクをもう一度クリックしてください。 

• エラー画面

• 対処方法

IdPにログインしてから、Marketo Engage を起動してください。 

SSO ユーザーについて、メール検証を行いたい場合は、IdP にログインしMarket Engage に起動した状態で、認証メール内の「メールアドレスを確認」リンクをクリックしてください。