ポータルでの SAML 準拠の ID プロバイダーの構成—Portal for ArcGIS

SAML (Security Assertion Markup Language) は、エンタープライズ ID プロバイダーとサービスプロバイダー (この場合は Portal for ArcGIS) との間で認証/認可データを安全に交換するためのオープン規格です。これを実現するための方法は、SAML Web シングルサインオンと呼ばれます。

ポータルは SAML 2.0 に準拠し、SAML 2 Web シングルサインオンをサポートする ID プロバイダーと統合することができます。SAML を設定するメリットは、ユーザーが ArcGIS Enterprise ポータルにアクセスする際に追加のログインアカウントを作成する必要がなくなるということです。代わりにユーザーは、エンタープライズアイデンティティストア内ですでに設定されているログインアカウントを使用します。この手順は、「エンタープライズログインの設定」ドキュメントで説明されています。

必要に応じて、アイデンティティストア内のエンタープライズグループに関するメタデータをポータルに提供することもできます。これにより、アイデンティティストア内の既存のエンタープライズグループを利用するグループをポータル内に作成することができます。

メンバーがポータルにログインすると、コンテンツ、アイテム、およびデータへのアクセスは、エンタープライズグループで定義されているメンバーシップルールで管理されます。必要なエンタープライズグループメタデータを指定しなくても、グループは作成できます。しかし、メンバーシップルールはアイデンティティストアではなく、ArcGIS Enterprise ポータルで管理されます。

メモ:

10.6.1 では、SAML ベースの ID プロバイダーとポータルとのフェデレーションを構成することもできます。

ArcGIS Online ポータル内の ArcGIS Enterprise ユーザー名の一致

ArcGIS Online 組織とポータルで同じ SAML 準拠の ID プロバイダーを使用している場合は、エンタープライズユーザー名を同じにすることができます。ArcGIS Online のすべてのエンタープライズユーザー名の末尾には、組織のショートネームが付加されます。同じエンタープライズユーザー名をポータルで使用するには、defaultIDPUsernameSuffix プロパティを ArcGIS Enterprise ポータルのセキュリティ構成内に定義し、組織のショートネームと同じになるように設定します。この操作は、ArcGIS Online とポータルの両方でエンタープライズユーザーが編集したフィーチャサービスに対して編集情報の記録が有効になっている場合に必要となります。

SAML サインイン操作

Portal for ArcGIS は、サービスプロバイダー (SP) で開始されるエンタープライズログインと ID プロバイダー (IDP) で開始されるエンタープライズログインのどちらもサポートしています。これらのログイン操作は、それぞれ異なります。

サービスプロバイダーが開始するログイン

サービスプロバイダーが開始するログインでは、ユーザーがポータルに直接アクセスすると、(ポータルで管理されている)組み込みアカウントまたは SAML 準拠の ID プロバイダーで管理されているアカウントを使用してサインインするオプションが表示されます。ユーザーは、SAML ID プロバイダーオプションを選択すると、Web ページ (エンタープライズのログインマネージャーと呼ばれる) にリダイレクトされ、エンタープライズのユーザー名とパスワードを入力するよう求められます。ユーザーのログインの確認時に、エンタープライズ ID プロバイダーはログインしようとしているユーザーの確認済み ID を Portal for ArcGIS に通知し、ユーザーがポータルの Web サイトにもう一度リダイレクトされます。

ユーザーが組み込みアカウントオプションを選択した場合は、ArcGIS Enterprise ポータルの Web サイトのサインインページが表示されます。その後、ユーザーは、組み込みのユーザー名とパスワードを入力して Web サイトにアクセスできます。SAML 準拠 ID プロバイダーを利用できない場合、ArcGIS アカウントによるサインインのオプションが無効化されていなければ、組み込みアカウントオプションをフェイルセーフとして使用できます。

ID プロバイダーが開始するログイン

ID プロバイダーが開始するログインでは、ユーザーはエンタープライズのログインマネージャーに直接アクセスし、自分のアカウントを使用してサインインします。ユーザーが自分のアカウント情報を送信すると、ID プロバイダーは SAML レスポンスを直接 Portal for ArcGIS に送信します。その後、ユーザーはログインし、ポータルの Web サイトにリダイレクトされ、再び組織にサインインしなくても直ちにリソースにアクセスできます。

組み込みアカウントを使用してサインインするオプションは、エンタープライズのログインマネージャーからは使用できません。組み込みアカウントを使用して組織サイトにサインインするには、メンバーは、ポータルの Web サイトに直接アクセスする必要があります。

メモ:

SAML ID プロバイダーの問題で SAML ログインが機能せず、組み込みアカウントオプションを無効にしている場合、このオプションを再び有効にするまで ArcGIS Enterprise ポータルにはアクセスできません。この方法の手順については、「[よくある問題と解決策]　の次の質問」をご参照ください。

SAML ID プロバイダー

Portal for ArcGIS は、すべての SAML 対応の ID プロバイダーをサポートしています。次のチュートリアルでは、いくつかの一般的な SAML 対応の ID プロバイダーを Portal for ArcGIS で構成する方法を示します。

上記の各リンクには、ID プロバイダーから必要なメタデータを取得する手順の説明があります。Portal for ArcGIS を使用して ID プロバイダーを構成する手順を次に示します。開始する前に、エンタープライズ ID プロバイダーの管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。たとえば、組織で Microsoft Active Directory を使用している場合、エンタープライズ ID プロバイダー側で SAML を構成または有効化し、ポータル側での構成に必要なパラメーターを取得するための連絡先は、Microsoft Active Directory の管理者になります。

必要な情報

Portal for ArcGIS は、ユーザーが SAML ログインを使用してサインインするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、Portal for ArcGIS とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 Portal for ArcGIS は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサインインすると、Portal for ArcGIS によってユーザー名が NameID の新しいユーザーがユーザーストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アットマーク) です。その他の文字はエスケープされ、Portal for ArcGIS によってアンダースコアが付加されたユーザー名が作成されます。

Portal for ArcGIS は、ユーザーの電子メールアドレス、グループメンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

SAML ID プロバイダーでのポータルの構成

ユーザーが既存のオンプレミスのシステムと同じユーザー名とパスワードを使用してサインインできるようにポータルを構成できます。エンタープライズログインを設定する前に、組織のデフォルトのユーザータイプを構成する必要があります。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクションの [エンタープライズ] の下で [エンタープライズログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。[プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サインインオプションの一部に表示されます (たとえば、City of Redlands アカウントを使用)。
ユーザーが [自動] または [管理者から招待されたとき] のどちらで組織に加入できるかを選択します。1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分のエンタープライズログインを使用して組織サイトにサインインできます。ユーザーのアカウントは、最初にサインインしたときに自動的に組織サイトに登録されます。2 番目のオプションを選択すると、管理者は、コマンドラインユーティリティまたはサンプル Python スクリプトを使用して必要なアカウントを組織サイトに登録する必要があります。ユーザーは、アカウントが登録された時点で、組織サイトにサインインできるようになります。
ヒント:
少なくとも 1 つのエンタープライズアカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。手順については、下記の「エンタープライズアカウントを管理者として指定」セクションをご参照ください。
SAML 準拠のエンタープライズ ID プロバイダーに関する必要なメタデータ情報を指定します。これを実行するには、ポータルがアクセスしてメタデータ情報を取得するためのソースを指定します。認定プロバイダーからメタデータを取得する手順の詳細については、上記の「SAML ID プロバイダー」セクションをご参照ください。メタデータ情報のソースとして、次の 3 つを指定できます。
- [URL] - ID プロバイダーに関するメタデータ情報を返す URL を入力します。
  メモ:
  エンタープライズ ID プロバイダーに自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定しようとしたときに、エラーが発生することがあります。このエラーは、Portal for ArcGIS が ID プロバイダーの自己署名証明書を確認できないために発生します。代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して ID プロバイダーを構成してください。
- [ファイル] - ID プロバイダーに関するメタデータ情報を含むファイルをアップロードします。
- [設定パラメーター] - 以下のパラメーターを指定することによって、ID プロバイダーに関するメタデータ情報を直接入力します。
  - [ログイン URL (リダイレクト)] - Portal for ArcGIS がメンバーのサインインに使用する ID プロバイダーの URL (HTTP リダイレクトバインドをサポートする) を入力します。
  - [ログイン URL (POST)] - Portal for ArcGIS がメンバーのサインインに使用するアイデンティティプロバイダーの URL (HTTP POST バインドをサポートする) を入力します。
  - [証明書] - BASE 64 形式でエンコードされた、エンタープライズ ID プロバイダーに対する証明書を指定します。この証明書により、Portal for ArcGIS は、エンタープライズ ID プロバイダーから送信された SAML レスポンスのデジタル署名を検証することができます。
メモ:
指定する必要のあるメタデータ情報のソースがわからない場合は、ID プロバイダーの管理者に問い合わせてください。
構成手順を実行して ID プロバイダーとの信頼を構築するには、使用しているエンタープライズ ID プロバイダーにポータルのサービスプロバイダーのメタデータを登録します。ポータルからメタデータを取得する場合、2 つの方法があります。
- 組織の [設定] タブの [セキュリティ] セクションで、[サービスプロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータファイルをダウンロードします。
- メタデータの URL を開き、XML ファイルとしてコンピューターに保存します。この URL は、https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token> (例: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY) です。https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken を使用して、トークンを生成できます。[Generate Token] ページに URL を入力する場合は、[Webapp URL] フィールドで、ID プロバイダーサーバーの完全修飾ドメイン名を指定します。[IP Address] や [IP Address of this request's origin] など、その他のオプションの選択はサポートされていません。これらのオプションを選択すると、無効なトークンが生成される場合があります。
認定プロバイダーにポータルのサービスプロバイダーのメタデータを登録する手順の詳細については、上記の「SAML ID プロバイダー」セクションをご参照ください。
必要に応じて高度な設定を構成します。
- [暗号化アサーション] - SAML ID プロバイダーに Portal for ArcGIS が暗号化された SAML アサーションの応答をサポートしていることを示すには、このオプションを有効化します。このオプションが選択されていると、ID プロバイダーは SAML 応答のアサーションセクションを暗号化します。Portal for ArcGIS との間で送受信されるすべての SAML トラフィックは、HTTPS を使用しているのですでに暗号化されていますが、このオプションを選択することで暗号化をさらに強化できます。
- [署名付きリクエストの有効化] - ID プロバイダーに送信される SAML の認証リクエストにPortal for ArcGIS が署名する場合は、このオプションを有効化します。Portal for ArcGIS から送信された初期ログイン要求に署名することにより、ID プロバイダーは、すべてのログイン要求が信頼できるサービスプロバイダーから生成されていることを確認できます。
- [ID プロバイダーへのログアウトの反映] - ユーザーが ID プロバイダーからサインアウトするログアウト URL を Portal for ArcGIS で使用する場合は、このオプションを有効化します。使用する URL を [ログアウト URL] 設定に入力します。ID プロバイダーがログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] オプションもオンにする必要があります。このオプションがオンになっていない場合、Portal for ArcGIS で [サインアウト] をクリックするとユーザーは Portal for ArcGIS からサインアウトされますが、ID プロバイダーからはサインアウトされません。ユーザーの Web ブラウザーのキャッシュがクリアされていない場合は、エンタープライズログインオプションを使って Portal for ArcGIS にすぐにサインインし直すと、SAML ID プロバイダーにユーザー認証情報を提供せずに即時ログインされます。これは、不正ユーザーが簡単にアクセスできたり、一般的に公開されているコンピューターで悪用されるおそれのあるセキュリティの脆弱性です。
- [サインイン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のログイン以降に変更された場合に Portal for ArcGIS によって更新するには、このオプションを有効化します。これはデフォルトで選択されています。
- [SAML ベースのグループのメンバーシップを有効化] - ポータル管理者が SAML ID プロバイダー内のグループを ArcGIS Enterprise ポータルで作成されたグループにリンクできるようにするには、このオプションを有効化します。これを選択した場合、Portal for ArcGIS は、SAML アサーションの応答を解析して、メンバーが属しているグループを判別します。その後、[グループに参加できる人] に対して、ポータルに新しいグループを作成するときに、ID プロバイダーが提供するエンタープライズグループを 1 つまたは複数指定できます。デフォルトでは、この機能は選択されていません。
- [ログアウト URL] - 現在サインインしているユーザーがサインアウトするのに使用する ID プロバイダーの URL を入力します。このプロパティが ID プロバイダーのメタデータファイルで指定されている場合、自動的に設定されます。
- [エンティティ ID] - 新しいエンティティ ID を使用してPortal for ArcGIS 組織を SAML ID プロバイダーに対して一意に識別する場合は、この値を更新します。

エンタープライズアカウントを管理者として指定

エンタープライズアカウントをポータルの管理者として指定する方法は、ユーザーが [自動] と [管理者から招待されたとき] のどちらで組織に加入できるかによって決まります。

自動的に組織に加入する

ユーザーが自動的に組織に加入することを許可するオプション ([自動]) を選択した場合は、ポータル管理者として使用するエンタープライズアカウントでログインして、ポータル Web サイトのホームページを開きます。

アカウントが最初に自動的にポータルに追加されるときに、新しいメンバー用に構成されたデフォルトロールが割り当てられます。アカウントのロールを変更できるのは、組織サイトの管理者のみです。そのため、初期管理者アカウントを使用してポータルにサインインし、管理者ロールにエンタープライズアカウントを割り当てる必要があります。

ポータルの Web サイトを開き、SAML ID プロバイダーを使用してサインインするオプションをクリックし、管理者として使用するエンタープライズアカウントの認証情報を入力します。このアカウントが別のユーザーのアカウントである場合、そのユーザーにポータルにサインインさせて、アカウントがポータルに登録されるようにします。
アカウントがポータルに追加されたことを確認して、[サインアウト] をクリックします。ブラウザーのキャッシュと cookie を消去します。
ブラウザーを開いたまま、ポータルの Web サイトを開き、組み込みポータルアカウントを使用してサインインするオプションをクリックし、Portal for ArcGIS を設定したときに作成した初期管理者アカウントの認証情報を入力します。
ポータルの管理に使用するエンタープライズアカウントを検索し、そのロールを [管理者] に変更します。[サインアウト] をクリックします。

これで、選択したエンタープライズアカウントがポータルの管理者になりました。

エンタープライズアカウントをポータルに手動で追加する

アカウントをポータルに追加した後でのみユーザーが組織に加入することを許可するオプション ([管理者から招待されたとき]) を選択した場合は、コマンドラインユーティリティまたはサンプル Python スクリプトを使用して、必要なアカウントを組織に登録する必要があります。ポータルの管理に使用するエンタープライズアカウントに必ず [管理者] ロールを選択してください。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントに別のロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザーが自分のアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。

ArcGIS アカウントを使用したサインインの無効化

ユーザーが ArcGIS アカウントを使用してポータルにサインインできないようにする場合は、サインインページの [ArcGIS アカウント] ボタンを無効化できます。そのための手順は次のとおりです。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクション内の [サインインオプション] の下の [<組織名> ログイン] の切り替え機能を無効化します。

サインインページには、ID プロバイダーアカウントを使用してポータルにログインするためのボタンが表示され、[ArcGIS アカウント] ボタンは使用不可になります。[ログイン] > [サインインオプション]の下の[<組織名> ログイン] をオンにすることにより、ArcGIS アカウントを使用したメンバーログインを再度有効化できます。

SAML ID プロバイダーの変更

ID プロバイダーを設定すると、その横にあるその他のオプションボタンをクリックし、[編集] をクリックすると、その設定を更新できます。[エンタープライズログインの編集] ウィンドウで設定を更新します。これらのボタンは、SAML 準拠の ID プロバイダーを設定した場合にのみ有効化されます。

現在登録されている ID プロバイダーを削除するには、その横にあるその他のオプションボタンをクリックして、[削除] をクリックします。ID プロバイダーを削除したら、必要に応じて新しい ID プロバイダーを設定できます。

このトピックへのフィードバック

メモ:

ArcGIS Online ポータル内の ArcGIS Enterprise ユーザー名の一致

SAML サイン イン操作

サービス プロバイダーが開始するログイン