OpenAM 10.1.0 以降のバージョンを、Portal for ArcGIS でエンタープライズ ログインを設定するための ID プロバイダー (IDP) として構成できます。構成プロセスでは、主に次の 2 つの手順を実行します。まず、エンタープライズ IDP を Portal for ArcGIS に登録し、次に、Portal for ArcGIS をエンタープライズ IDP に登録します。
必要な情報
Portal for ArcGIS は、ユーザーがエンタープライズ ログインを使用してログインするときに、特定の属性情報を IDP から受信する必要があります。NameID は、Portal for ArcGIS とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。Portal for ArcGIS は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。IDP からユーザーがログインすると、NameID というユーザー名の新しいユーザーが、Portal for ArcGIS によってユーザー ストアに作成されます。NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、 . (ドット) および @ (アット マーク) です。その他の文字はエスケープされ、Portal for ArcGIS によってアンダースコアが付加されたユーザー名が作成されます。
Portal for ArcGIS は、エンタープライズ ログインの givenName 属性と email address 属性を、エンタープライズ IDP から取得して入力することをサポートしています。ユーザーがエンタープライズ ログイン アカウントを使用してサイン インし、Portal for ArcGIS が givenname と email または mail という名前の属性を取得した場合、Portal for ArcGIS はユーザー アカウントのフル ネームと電子メール アドレスに IDP から取得した値を入力します。ユーザーが通知を受信できるようにするために、エンタープライズ IDP から取得した email address を渡すことをお勧めします。
OpenAM をエンタープライズ IDP として Portal for ArcGIS に登録する
- 組織サイトの管理者としてポータル Web サイトにサイン インし、[組織] > [サイト設定] > [セキュリティ] の順にクリックします。
- [エンタープライズ ログイン] セクションで、[1 つの ID プロバイダー] オプションを選択して [エンタープライズ ログインの設定] ボタンをクリックし、表示されたウィンドウに組織名 (たとえば、「City of Redlands」) を入力します。ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、City of Redlands アカウントを使用)。
注意:
ポータル用に登録できるエンタープライズ IDP または IDP のフェデレーションは 1 つだけです。
- ユーザーが [自動] または [アカウントをポータルに追加した後] のどちらで組織に加入できるかを選択します。1 番目のオプションを選択すると、ユーザーは、管理者が介入しなくても、自分のエンタープライズ ログインを使用して組織サイトにサイン インできます。ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。2 番目のオプションを選択すると、管理者は、コマンド ライン ユーティリティまたはサンプル Python スクリプトを使用して必要なアカウントを組織サイトに登録する必要があります。ユーザーは、アカウントが登録された時点で、組織サイトにサイン インできるようになります。
ヒント:
少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。また、[アカウントの作成] ボタンと、ポータル Web サイトのサインアップ ページ (signup.html) を無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。詳細な手順については、「ポータルでの SAML 準拠のアイデンティティ プロバイダーの構成」をご参照ください。
- 次の 3 つのオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
- [URL] - Portal for ArcGIS から OpenAM フェデレーション メタデータの URL にアクセスできる場合は、このオプションを選択しますである場合、「交差ポイントを生成できません。オブジェクト参照がオブジェクトのインスタンスに設定されていません」というエラーが表示され、ツールが失敗します。この URL は、通常 http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp です。
注意:
エンタープライズ IDP に自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定しようとしたときに、エラーが発生することがあります。このエラーは、Portal for ArcGIS が IDP の自己署名証明書を確認できないために発生します。代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して IDP を構成してください。
- [ファイル] - Portal for ArcGIS から URL にアクセスできない場合は、上記の URL から取得したメタデータを XML ファイルとして保存し、そのファイルをアップロードします。
- [パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。これらの情報については、OpenAM 管理者にお問い合わせください。
- [URL] - Portal for ArcGIS から OpenAM フェデレーション メタデータの URL にアクセスできる場合は、このオプションを選択しますである場合、「交差ポイントを生成できません。オブジェクト参照がオブジェクトのインスタンスに設定されていません」というエラーが表示され、ツールが失敗します。この URL は、通常 http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp です。
- 必要に応じて高度な設定を構成します。
- [暗号化アサーション] - SAML アサーションの応答を暗号化するように OpenAM を構成する場合は、このオプションを選択します。
- [署名付きリクエストの有効化] - ADFS に送信される SAML の認証リクエストに Portal for ArcGIS が署名する場合は、このオプションを選択します。
- [エンティティ ID] - 新しいエンティティ ID を使用してポータルを OpenAM に対して一意に識別する場合は、この値を更新します。
- [サイン イン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のログイン以降に変更された場合に Portal for ArcGIS によって更新するには、このオプションを選択します。
- [SAML ベースのグループのメンバーシップを有効化] - このオプションを選択すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、Portal for ArcGISグループにリンクできるようになります。
[暗号化アサーション] 設定と [署名付きリクエストの有効化] 設定では、ポータル キーストア内の samlcert 証明書が使用されます。新しい証明書を使用するには、「ポータルへの証明書のインポート」の手順に従って samlcert 証明書を削除し、同じエイリアス (samlcert) の新しい証明書を作成し、ポータルを再起動します。
注意:
現在、[ID プロバイダーへのログアウトの反映] と [ログアウト URL] はサポートされていません。
Portal for ArcGIS を信頼できるサービス プロバイダーとして OpenAM に登録する
- OpenAM でホストされる IDP を構成します。
- OpenAM 管理コンソールにサイン インします。これは、通常 http://servername:port/<deploy_uri>/console で利用できます。
- [Common Tasks] タブで、[Create Hosted Identity Provider] をクリックします。
- ホストされる IDP を作成し、それを [Circle of Trust] に追加します。[Circle of Trust] がすでに存在する場合、それに追加できますが、存在しない場合は新規作成します。
- デフォルトでは、ホストされる IDP は、OpenDJ (OpenAM に付属する埋め込みユーザー ストア) を操作します。OpenAM を Active Directory などの他のユーザー ストアに接続する場合は、メイン画面の OpenAM 管理コンソールの [Access Control] タブで新しいデータ ソースを作成する必要があります。
- Portal for ArcGIS を信頼できるサービス プロバイダーとして OpenAM に構成します。
- ポータルのメタデータ ファイルを取得し、それを XML ファイルとして保存します。
メタデータ ファイルを取得するには、組織サイトの管理者としてサイン インして、組織のページを開きます。[サイト設定] ボタンをクリックして [セキュリティ] タブをクリックし、[エンタープライズ ログイン] セクションで [サービス プロバイダーの取得] ボタンをクリックします。
- OpenAM 管理コンソールの [Common Tasks] の下で、[Register Remote Service Provider] をクリックします。
- メタデータに対して [File] オプションを選択し、前のステップで保存したメタデータの XML ファイルをアップロードします。
- このサービス プロバイダーを、IDP を追加したのと同じ [Circle of Trust] に追加します。
- ポータルのメタデータ ファイルを取得し、それを XML ファイルとして保存します。
- ユーザー認証後に OpenAM が Portal for ArcGIS に送信する必要のある NameID の形式と属性を構成します。
- OpenAM 管理コンソールで、[Federation] タブをクリックします。このタブには、前に追加した [Circle of Trust]、サービス プロバイダー、および IDP が含まれています。
- [Entity Providers] の下で、IDP をクリックします。
- [Assertion Content] タブの [Name ID Format] の下で、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified が先頭に表示されていることを確認します。これは、Portal for ArcGIS が OpenAM への SAML リクエストで要求する NameID の形式です。
- [Name ID Value Map] の下で、mail や upn などのユーザー プロフィールの属性をマップします。これらの属性は、ユーザー認証後、NameID として Portal for ArcGIS に返されます。
例: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- IDP の [Assertion Processing] タブをクリックします。[Attribute Mapper] の下で、Portal for ArcGIS に送信するユーザー プロフィールの属性を構成します。
Portal for ArcGIS は、エンタープライズ ログインの givenName 属性と email address 属性を、エンタープライズ IDP から取得して入力することをサポートしています。ユーザーがエンタープライズ ログイン アカウントを使用してサイン インし、Portal for ArcGIS が givenname と email または mail という名前の属性を取得した場合、Portal for ArcGIS はユーザー アカウントのフル ネームと電子メール アドレスに IDP から取得した値を入力します。
エンタープライズ IDP から Portal for ArcGIS に電子メール アドレスを渡すことをお勧めします。 そうすると、ユーザーが後で管理者になる場合に役立ちます。アカウントに電子メール アドレスが登録されていると、管理アクティビティに関する通知を受信したり、他のユーザーが組織に加入できるように招待を送信したりできます。
[Save] をクリックして NameID の形式と属性の変更内容を保存します。
- OpenAM 管理コンソールの [Federation] タブの [Entity Providers] の下で、Portal for ArcGIS サービス プロバイダーを参照します。
- OpenAM をエンタープライズ IDP として Portal for ArcGIS に登録するときに高度な設定で [暗号化アサーション] を選択した場合は、[Assertion Content] タブの [Encryption] の下で、[Assertion] オプションを選択します。
- [Name ID Format] の下で、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified が先頭に表示されていることを確認します。これは、Portal for ArcGIS が OpenAM への SAML リクエストで要求する NameID の形式です。を開きます。
- IDP の [Assertion Processing] タブをクリックします。[Attribute Mapper] の下で、Portal for ArcGIS に送信するユーザー プロフィールの属性を構成します。
- [Save] をクリックして [Name ID Format] と属性の変更内容を保存します。
- OpenAM が配置されている Web サーバーを再起動します。