ポータルでの SAML 準拠の ID プロバイダーの構成—Portal for ArcGIS

SAML (Security Assertion Markup Language) は、エンタープライズ ID プロバイダーとサービスプロバイダー (この場合は Portal for ArcGIS) との間で認証/認可データを安全に交換するためのオープン規格です。これを実現するための方法は、SAML Web シングルサインオンと呼ばれます。

ポータルは SAML 2.0 に準拠し、SAML 2 Web シングルサインオンをサポートする ID プロバイダーと統合することができます。 SAML を設定するメリットは、ユーザーが ArcGIS Enterprise ポータルにアクセスする際に追加のログインアカウントを作成する必要がなくなるということです。代わりにユーザーは、エンタープライズアイデンティティストア内ですでに設定されているログインアカウントを使用します。この手順は、「エンタープライズログインの設定」ドキュメントで説明されています。

必要に応じて、アイデンティティストア内のエンタープライズグループに関するメタデータをポータルに提供することもできます。これにより、ポータル内にアイデンティティストア内の既存のエンタープライズグループを利用するグループを作成することができます。

メンバーがポータルにログインすると、コンテンツ、アイテム、およびデータへのアクセスは、エンタープライズグループで定義されているメンバーシップルールで管理されます。必要なエンタープライズグループメタデータを指定しなくても、グループは作成できます。しかし、メンバーシップルールはアイデンティティストアではなく、ArcGIS Enterprise ポータルで管理されます。

ArcGIS Enterprise ポータル内の ArcGIS Online ユーザー名の一致

ArcGIS Online 組織とポータルで同じ SAML 準拠の ID プロバイダーを使用している場合は、エンタープライズユーザー名を同じにすることができます。 ArcGIS Online のすべてのエンタープライズユーザー名の末尾には、組織のショートネームが付加されます。同じエンタープライズユーザー名をポータルで使用するには、defaultIDPUsernameSuffix プロパティを ArcGIS Enterprise ポータルのセキュリティ構成内に定義し、組織のショートネームと同じになるように設定します。この操作は、ArcGIS Online とポータルの両方でエンタープライズユーザーが編集したフィーチャサービスに対して編集情報の記録が有効になっている場合に必要となります。

SAML サインイン操作

Portal for ArcGIS は、サービスプロバイダー (SP) で開始されるエンタープライズログインと ID プロバイダー (IDP) で開始されるエンタープライズログインのどちらもサポートしています。これらのログイン操作は、それぞれ異なります。

サービスプロバイダーが開始するログイン

サービスプロバイダーが開始するログインでは、ユーザーがポータルに直接アクセスすると、(ポータルで管理されている)組み込みアカウントまたは SAML 準拠の ID プロバイダーで管理されているアカウントを使用してサインインするオプションが表示されます。ユーザーは、SAML ID プロバイダーオプションを選択すると、Web ページ (エンタープライズのログインマネージャーと呼ばれる) にリダイレクトされ、エンタープライズのユーザー名とパスワードを入力するよう求められます。ユーザーのログインの確認時に、エンタープライズ ID プロバイダーはログインしようとしているユーザーの確認済み ID を Portal for ArcGIS に通知し、ユーザーがポータルの Web サイトにもう一度リダイレクトされます。

ユーザーが組み込みアカウントオプションを選択した場合は、ArcGIS Enterprise ポータルの Web サイトのサインインページが表示されます。その後、ユーザーは、組み込みのユーザー名とパスワードを入力して Web サイトにアクセスできます。 SAML 準拠 ID プロバイダーを利用できない場合、ArcGIS アカウントによるサインインのオプションが無効化されていなければ、組み込みアカウントオプションをフェイルセーフとして使用できます。

ID プロバイダーが開始するログイン

ID プロバイダーが開始するログインでは、ユーザーはエンタープライズのログインマネージャーに直接アクセスし、自分のアカウントを使用してサインインします。ユーザーが自分のアカウント情報を送信すると、ID プロバイダーは SAML レスポンスを直接 Portal for ArcGIS に送信します。その後、ユーザーはログインし、ポータルの Web サイトにリダイレクトされ、再び組織にサインインしなくても直ちにリソースにアクセスできます。

組み込みアカウントを使用してサインインするオプションは、エンタープライズのログインマネージャーからは使用できません。組み込みアカウントを使用して組織サイトにサインインするには、メンバーは、ポータルの Web サイトに直接アクセスする必要があります。

メモ:

SAML ID プロバイダーの問題で SAML ログインが機能せず、組み込みアカウントオプションを無効にしている場合、このオプションを再び有効にするまで ArcGIS Enterprise ポータルにはアクセスできません。この方法の手順については、「[よくある問題と解決策]　の次の質問」をご参照ください。

SAML ID プロバイダー

Portal for ArcGIS は、すべての SAML 準拠 ID プロバイダーをサポートしています。いくつかの一般的な SAML 準拠 ID プロバイダーの構成に関する詳細な手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。

ArcGIS Enterprise を使用して ID プロバイダーを構成する手順を次に示します。開始する前に、SAML ID プロバイダーの管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。

必要な情報

Portal for ArcGIS は、ユーザーが SAML ログインを使用してサインインするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、Portal for ArcGIS とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 Portal for ArcGIS は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサインインすると、Portal for ArcGIS によってユーザー名が NameID の新しいユーザーがユーザーストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アットマーク) です。その他の文字はエスケープされ、Portal for ArcGIS によってアンダースコアが付加されたユーザー名が作成されます。

Portal for ArcGIS は、ユーザーの電子メールアドレス、グループメンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

SAML ID プロバイダーでのポータルの構成

ユーザーが既存のオンプレミスのシステムと同じユーザー名とパスワードを使用してサインインできるようにポータルを構成できます。エンタープライズログインを設定する前に、組織のデフォルトのユーザータイプを構成する必要があります。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクションの [エンタープライズ] の下で [エンタープライズログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サインインオプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
ユーザーが [自動] または [管理者から招待されたとき] のどちらで組織に加入できるかを選択します。 1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分のエンタープライズログインを使用して組織サイトにサインインできます。ユーザーのアカウントは、最初にサインインしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンドラインユーティリティまたはサンプル Python スクリプトを使用して必要なアカウントを組織サイトに登録する必要があります。ユーザーは、アカウントが登録された時点で、組織サイトにサインインできるようになります。
ヒント:
少なくとも 1 つのエンタープライズアカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。手順については、下記の「エンタープライズアカウントを管理者として指定」セクションをご参照ください。
SAML 準拠のエンタープライズ ID プロバイダーに関する必要なメタデータ情報を指定します。これを実行するには、ポータルがアクセスしてメタデータ情報を取得するためのソースを指定します。認定プロバイダーからメタデータを取得する手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。メタデータ情報のソースとして、次の 3 つを指定できます。
- [URL] - ID プロバイダーに関するメタデータ情報を返す URL を入力します。
  メモ:
  エンタープライズ ID プロバイダーに自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定しようとしたときに、エラーが発生することがあります。このエラーは、Portal for ArcGIS が ID プロバイダーの自己署名証明書を確認できないために発生します。代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して ID プロバイダーを構成してください。
- [ファイル] - ID プロバイダーに関するメタデータ情報を含むファイルをアップロードします。
- [設定パラメーター] - 以下のパラメーターを指定することによって、ID プロバイダーに関するメタデータ情報を直接入力します。
  - [ログイン URL (リダイレクト)] - Portal for ArcGIS がメンバーのサインインに使用する ID プロバイダーの URL (HTTP リダイレクトバインドをサポートする) を入力します。
  - [ログイン URL (POST)] - Portal for ArcGIS がメンバーのサインインに使用する ID プロバイダーの URL (HTTP POST バインドをサポートする) を入力します。
  - [証明書] - BASE 64 形式でエンコードされた、エンタープライズ ID プロバイダーに対する証明書を指定します。この証明書により、Portal for ArcGIS は、エンタープライズ ID プロバイダーから送信された SAML レスポンスのデジタル署名を検証することができます。
メモ:
指定する必要のあるメタデータ情報のソースがわからない場合は、ID プロバイダーの管理者に問い合わせてください。
構成手順を実行して ID プロバイダーとの信頼を構築するには、使用しているエンタープライズ ID プロバイダーにポータルのサービスプロバイダーのメタデータを登録します。ポータルからメタデータを取得する場合、2 つの方法があります。
- 組織の [設定] タブの [セキュリティ] セクションで、[サービスプロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータファイルをダウンロードします。
- メタデータの URL を開き、*.xml ファイルとしてコンピューターに保存します。この URL は、https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token> (例: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY) です。 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken を使用して、トークンを生成できます。 [Generate Token] ページに URL を入力する場合は、[Webapp URL] フィールドで、ID プロバイダーサーバーの完全修飾ドメイン名を指定します。 [IP Address] や [IP Address of this request's origin] など、その他のオプションの選択はサポートされていません。これらのオプションを選択すると、無効なトークンが生成される場合があります。
認定プロバイダーにポータルのサービスプロバイダーのメタデータを登録する手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。
必要に応じて高度な設定を構成します。
- [暗号化アサーション] - SAML ID プロバイダーに Portal for ArcGIS が暗号化された SAML アサーションの応答をサポートしていることを示すには、このオプションを有効化します。このオプションが選択されていると、ID プロバイダーは SAML 応答のアサーションセクションを暗号化します。 HTTPS を利用して Portal for ArcGIS との間のすべての SAML トラフィックがすでに暗号化されていますが、このオプションにより別の暗号化レイヤーが追加されます。
- [署名付きリクエストの有効化] - ID プロバイダーに送信される SAML の認証リクエストに Portal for ArcGIS が署名する場合は、このオプションを有効化します。 Portal for ArcGIS から送信された初回ログインリクエストに署名すると、ID プロバイダーはすべてのログインリクエストが信頼されたサービスプロバイダーから発信されていることを検証できます。
- [ID プロバイダーへのログアウトの反映] - ユーザーが ID プロバイダーからサインアウトするログアウト URL を Portal for ArcGIS で使用する場合は、このオプションを有効化します。使用する URL を [ログアウト URL] 設定に入力します。 ID プロバイダーがログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] オプションもオンにする必要があります。このオプションがオンになっていない場合、Portal for ArcGIS で [サインアウト] をクリックするとユーザーは Portal for ArcGIS からサインアウトされますが、ID プロバイダーからはサインアウトされません。ユーザーの Web ブラウザーのキャッシュがクリアされていない場合は、エンタープライズログインオプションを使って Portal for ArcGIS にすぐにサインインし直すと、SAML ID プロバイダーにユーザー認証情報を提供せずに即時ログインされます。これは、不正ユーザーや一般ユーザーが簡単にアクセスできるコンピューターで悪用されるおそれのあるセキュリティの脆弱性です。
- [サインイン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のログイン以降に変更された場合に Portal for ArcGIS によって更新するには、このオプションを有効化します。これはデフォルトで選択されています。
- [SAML ベースのグループのメンバーシップを有効化] - ポータル管理者が SAML ID プロバイダー内のグループを ArcGIS Enterprise ポータルで作成されたグループにリンクできるようにするには、このオプションを有効化します。これを選択した場合、Portal for ArcGIS は、SAML アサーションの応答を解析して、メンバーが属しているグループを判別します。その後、[グループに参加できる人] に対して、ポータルにグループを作成するときに、ID プロバイダーが提供するエンタープライズグループを 1 つまたは複数指定できます。デフォルトでは、この機能は選択されていません。
- ログアウト URL - 現在サインインしているユーザーがサインアウトするのに使用する ID プロバイダーの URL を入力します。このプロパティが ID プロバイダーのメタデータファイルで指定されている場合、自動的に設定されます。
- [エンティティ ID] - 新しいエンティティ ID を使用して Portal for ArcGIS 組織を SAML ID プロバイダーに対して一意に識別する場合は、この値を更新します。

可用性の高いポータルの SAML 準拠 IDP の構成

Portal for ArcGIS は、(ログイン/ログアウトの) 署名付きリクエストを IDP に送信するとき、および IDP からの暗号化された応答を暗号解除するときに、エイリアス samlcert を含む証明書を使用します。可用性の高い ArcGIS Enterprise ポータルを構成し、SAML 準拠の IDP を使用している場合、IDP と通信する際に、Portal for ArcGIS の各インスタンスが同じ証明書を必ず使用するようにする必要があります。

すべてのインスタンスが SAML に同一の証明書を使用するようにする最適な方法は、エイリアス samlcert で新しい証明書を生成し、可用性の高い配置で Portal for ArcGIS の各インスタンスにその証明書をインポートすることです。

https://example.domain.com:7443/arcgis/portaladmin で Portal Administrator Directory にサインインします。
[Security] > [sslcertificates] の順に参照して、既存の samlcert 証明書をクリックします。
[delete] をクリックします。
ステップ 1 ～ 3 を繰り返し、可用性の高いポータルのすべてのインスタンス内にある既存の samlcert 証明書を削除します。
ArcGIS Portal Administrator Directory から新しい自己署名証明書を作成します。
証明書を構成するとき、samlcert を [エイリアス] として指定し、[Common Name] と [Subject Alternative Name] の DNS エイリアスの両方に配置のロードバランサーのホスト名を指定します。
証明書が生成されたら、その証明書を .pfx ファイルにエクスポートします。
1. ターミナルセッションを開始し、Portal for ArcGIS をインストールしたユーザーで認証します。
2. コマンドラインから、<Portal installation location>/etc/ssl ディレクトリを参照します。
3. 次のコマンドを入力して、samlcert を *.pfx ファイル形式でエクスポートします。
```
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
```
[Security] > [sslcertificates] > [Import Existing Server Certificate] ページから Portal for ArcGIS の各インスタンスに新しい証明書をインポートします。
可用性の高いポータルの各インスタンスで Portal for ArcGIS を再起動します。

ArcGIS Enterprise ポータルにあるサービスプロバイダーのメタデータファイルを使用して、SAML IDP との通信に使用されている証明書が、可用性の高い配置全体で同じであるかどうかを確認できます。

[組織] タブで [サイト設定] > [セキュリティ] の順に参照します。
[セキュリティ] ページの [SAML を使用したエンタープライズログイン] アイテムで [ID プロバイダーの編集] をクリックします。 [高度な設定を表示] メニューを開き、[暗号化アサーション] オプションが選択されていることを確認します。選択されていない場合は選択して、[ID プロバイダーの更新] をクリックして、変更内容を保存します。
[SAML を使用したエンタープライズログイン] アイテムに戻り、[サービスプロバイダーの取得] を選択します。これにより、サービスプロバイダーのメタデータが *.xml ファイルとしてコンピューターにエクスポートされます。
ダウンロードされた *.xml ファイルを開きます。「<md:KeyDescriptor use="encryption">」というフレーズが存在することを確認します。これは、暗号化の証明書が存在することを示しています。
<ds:KeyInfo> サブセクションの値を書き留めておきます。
配置内の Portal for ArcGIS のインスタンスごとに、この手順を繰り返して、各インスタンスからサービスプロバイダーのメタデータを取得します。

エクスポートされたすべてのメタデータファイルで <ds:KeyInfo> サブセクションの情報が同じである必要があります。これは、SAML 準拠の IDP と通信する際に Portal for ArcGIS の各インスタンスにより同じ証明書が使用されていることを示しています。

エンタープライズアカウントを管理者として指定

エンタープライズアカウントをポータルの管理者として指定する方法は、ユーザーが [自動] と [管理者から招待されたとき] のどちらで組織に加入できるかによって決まります。

自動的に組織に加入する

ユーザーが自動的に組織に加入することを許可するオプション ([自動]) を選択した場合は、ポータル管理者として使用するエンタープライズアカウントでログインして、ポータル Web サイトのホームページを開きます。

アカウントが最初に自動的にポータルに追加されるときに、新しいメンバー用に構成されたデフォルトロールが割り当てられます。アカウントのロールを変更できるのは、組織サイトの管理者のみです。そのため、初期管理者アカウントを使用してポータルにサインインし、管理者ロールにエンタープライズアカウントを割り当てる必要があります。

ポータルの Web サイトを開き、SAML ID プロバイダーを使用してサインインするオプションをクリックし、管理者として使用するエンタープライズアカウントの認証情報を入力します。このアカウントが別のユーザーのアカウントである場合、そのユーザーにポータルにサインインさせて、アカウントがポータルに登録されるようにします。
アカウントがポータルに追加されたことを確認して、[サインアウト] をクリックします。ブラウザーのキャッシュと cookie を消去します。
ブラウザーを開いたまま、ポータルの Web サイトを開き、組み込みポータルアカウントを使用してサインインするオプションをクリックし、Portal for ArcGIS を設定したときに作成した初期管理者アカウントの認証情報を入力します。
ポータルの管理に使用するエンタープライズアカウントを検索し、そのロールを [管理者] に変更します。 [サインアウト] をクリックします。

これで、選択したエンタープライズアカウントがポータルの管理者になりました。

エンタープライズアカウントをポータルに手動で追加する

アカウントをポータルに追加した後でのみユーザーが組織に加入することを許可するオプション ([管理者から招待されたとき]) を選択した場合は、コマンドラインユーティリティまたはサンプル Python スクリプトを使用して、必要なアカウントを組織に登録する必要があります。ポータルの管理に使用するエンタープライズアカウントに必ず [管理者] ロールを選択してください。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントに別のロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザーが自分のアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。

ArcGIS アカウントを使用したサインインの無効化

ユーザーが ArcGIS アカウントを使用してポータルにサインインできないようにする場合は、サインインページの [ArcGIS アカウント] ボタンを無効化できます。そのための手順は次のとおりです。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクション内の [サインインオプション] の下の [<組織名> ログイン] の切り替え機能を無効化します。

サインインページには、ID プロバイダーアカウントを使用してポータルにログインするためのボタンが表示され、[ArcGIS アカウント] ボタンは使用不可になります。 [ログイン] > [サインインオプション]の下の[<組織名> ログイン] をオンにすることにより、ArcGIS アカウントを使用したメンバーログインを再度有効化できます。

SAML ID プロバイダーの変更

ID プロバイダーを設定すると、その横にあるその他のオプションボタンをクリックし、[編集] をクリックすると、その設定を更新できます。 [エンタープライズログインの編集] ウィンドウで設定を更新します。これらのボタンは、SAML 準拠の ID プロバイダーを設定した場合にのみ有効化されます。

現在登録されている ID プロバイダーを削除するには、その横にあるその他のオプションボタンをクリックして、[削除] をクリックします。 ID プロバイダーを削除したら、必要に応じて新しい ID プロバイダーを設定できます。

このトピックへのフィードバック

ArcGIS Enterprise ポータル内の ArcGIS Online ユーザー名の一致

SAML サイン イン操作

サービス プロバイダーが開始するログイン