ポータルでの SAML 準拠の ID プロバイダーの構成—Portal for ArcGIS

Security Assertion Markup Language (SAML) は、組織固有の ID プロバイダーとサービスプロバイダー (この場合は ArcGIS Enterprise 組織) との間で認証/認可データを安全に交換するために使用されるオープン規格です。この方法は、SAML Web シングルサインオンと呼ばれます。

組織サイトは SAML 2.0 に準拠し、SAML 2 Web シングルサインオンをサポートする ID プロバイダーと一体化しています。 SAML を設定するメリットは、ユーザーが組織サイトにアクセスする際に追加のログインアカウントを作成する必要がなくなるということです。代わりにユーザーは、アイデンティティストア内ですでに設定されているログインアカウントを使用します。この手順は、「組織固有のログインの設定」ドキュメントで説明されています。

必要に応じて、アイデンティティストア内の SAML グループに関するメタデータをポータルに提供することもできます。これにより、ポータル内に、アイデンティティストア内の既存の SAMLすることができます。

メンバーがポータルにサインインすると、コンテンツ、アイテム、およびデータへのアクセスは、SAML グループで定義されているメンバーシップルールで管理されます。必要な SAML グループメタデータを指定しなくても、グループは作成できます。しかし、メンバーシップルールはアイデンティティストアではなく、ArcGIS Enterprise ポータルで管理されます。

注意:

SAML ベースの ID プロバイダーとポータルとのフェデレーションを構成することもできます。

ArcGIS Enterprise ポータル内の ArcGIS Online ユーザー名の一致

ArcGIS Online 組織とポータルで同じ SAML 対応の ID プロバイダーを使用している場合は、同じ組織固有のユーザー名を設定することができます。 ArcGIS Online のすべての組織固有のユーザー名の末尾には、組織のショートネームが付加されます。同じ組織固有のユーザー名をポータルで使用するには、defaultIDPUsernameSuffix プロパティを ArcGIS Enterprise ポータルのセキュリティ構成内に定義し、組織のショートネームと同じになるように設定します。この操作は、ArcGIS Online とポータルの両方で組織固有のユーザーが編集したフィーチャサービスに対して編集情報の記録が有効になっている場合に必要となります。

SAML サインイン

ArcGIS Enterprise は、サービスプロバイダー (SP) で開始される組織固有のログインと ID プロバイダー (IDP) で開始される組織固有のログインのどちらもサポートしています。これらのサインイン操作は、それぞれ異なります。

サービスプロバイダーが開始するログイン

サービスプロバイダーが開始するログインでは、ユーザーがポータルに直接アクセスすると、(ポータルで管理されている) 組み込みアカウントまたは SAML 準拠の ID プロバイダーで管理されているアカウントを使用してサインインするオプションが表示されます。ユーザーは、SAML ID プロバイダーオプションを選択すると、Web ページ (ログインマネージャーと呼ばれる) にリダイレクトされ、SAML のユーザー名とパスワードを入力するよう求められます。ユーザーのログイン認証情報の確認時に、SAML 準拠 ID プロバイダーはサインインしようとしているユーザーの確認済み ID を ArcGIS Enterprise に通知し、ユーザーがポータルの Web サイトにもう一度リダイレクトされます。

ユーザーが組み込みアカウントオプションを選択した場合は、ArcGIS Enterprise ポータルの Web サイトのサインインページが表示されます。その後、ユーザーは、組み込みのユーザー名とパスワードを入力して Web サイトにアクセスします。 SAML 準拠 ID プロバイダーを利用できない場合、ArcGIS アカウントによるサインインのオプションが無効化されていなければ、組み込みアカウントオプションをフェイルセーフとして使用できます。

ID プロバイダーが開始するログイン

ID プロバイダーが開始するログインでは、ユーザーはログインマネージャーに直接アクセスし、自分のアカウントを使用してサインインします。ユーザーが自分のアカウント情報を送信すると、ID プロバイダーは SAML レスポンスを直接 ArcGIS Enterprise に送信します。その後、ユーザーはサインインし、ポータルの Web サイトにリダイレクトされ、再び組織にサインインしなくても直ちにリソースにアクセスできます。

組み込みアカウントを使用してサインインするオプションは、ログインマネージャーからは使用できません。組み込みアカウントを使用して組織サイトにサインインするには、メンバーは、ポータルの Web サイトに直接アクセスする必要があります。

注意:

ID プロバイダーの問題で SAML ログインが機能せず、組み込みアカウントオプションが無効化されている場合、このオプションを再び有効にするまで ArcGIS Enterprise ポータルにはアクセスできません。手順については、「[よくある問題と解決策]　の次の質問」をご参照ください。

SAML ID プロバイダー

ArcGIS Enterprise は、すべての SAML 準拠 ID プロバイダーをサポートしています。いくつかの一般的な SAML 準拠 ID プロバイダーの構成に関する詳細な手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。

ArcGIS Enterprise を使用して ID プロバイダーを構成する手順を次に示します。開始する前に、SAML ID プロバイダーの管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。たとえば、組織で Microsoft Active Directory を使用している場合、組織固有の ID プロバイダー側で SAML を構成または有効化し、ポータル側での構成に必要なパラメーターを取得するための連絡先は、Microsoft Active Directory の管理者になります。

必要な情報

ArcGIS Enterprise は、ユーザーが SAML ログインを使用してサインインするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、フェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS Enterprise は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサインインすると、ArcGIS Enterprise 組織サイトによってユーザー名が NameID の新しいユーザーがユーザーストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アットマーク) です。その他の文字はエスケープされ、ArcGIS Enterprise によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Enterprise は、ユーザーの電子メールアドレス、グループメンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

SAML ID プロバイダーでのポータルの構成

ユーザーが既存のオンプレミスのシステムと同じユーザー名とパスワードを使用してサインインできるようにポータルを構成できます。組織固有のログインを設定する前に、組織のデフォルトのユーザータイプを構成する必要があります。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。
ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サインインオプションの一部に表示されます (たとえば、City of Redlands アカウントを使用)。
[自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に自動的に加入できるか、招待されたときに加入できるかを指定します。
1 番目のオプションを使用すると、ユーザーは、管理者から招待されなくても、組織固有のログインを使用して組織サイトにサインインできます。ユーザーのアカウントは、最初にサインインしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンドラインユーティリティを使用して必要なアカウントを組織サイトに登録する必要があります。ユーザーは、アカウントが登録された時点で、組織サイトにサインインできるようになります。
ヒント:
少なくとも 1 つの　SAML アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。手順については、下記の「組織固有のアカウントを管理者として指定」セクションをご参照ください。
ポータルがアクセスしてメタデータ情報を取得するためのソースを指定します。これは、SAML 準拠 ID プロバイダーに関する必要なメタデータ情報を提供します。認定プロバイダーからメタデータを取得する手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。メタデータ情報のソースとして、次の 3 つを指定できます。
- [URL] - ID プロバイダーに関するメタデータ情報を返す URL を入力します。
  注意:
  ID プロバイダーに自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定するとエラーが発生することがあります。このエラーは、ArcGIS Enterprise が ID プロバイダーの自己署名証明書を確認できないために発生します。代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して ID プロバイダーを構成してください。
- [ファイル] - ID プロバイダーに関するメタデータ情報を含むファイルをアップロードします。
- [設定パラメーター] - 以下を指定することによって、ID プロバイダーに関するメタデータ情報を直接入力します。
  - [ログイン URL (リダイレクト)] - ArcGIS Enterprise がメンバーのサインインに使用する ID プロバイダーの URL (HTTP リダイレクトバインドをサポートする) を指定します。
  - [ログイン URL (POST)] - ArcGIS Enterprise がメンバーのサインインに使用する ID プロバイダーの URL (HTTP POST バインドをサポートする) を指定します。
  - [証明書] - BASE 64 形式でエンコードされた、ID プロバイダーに対する証明書を指定します。この証明書により、ArcGIS Enterprise は、ID プロバイダーから送信された SAML レスポンスのデジタル署名を検証することができます。
注意:
指定する必要のあるメタデータ情報のソースがわからない場合は、ID プロバイダーの管理者に問い合わせてください。
ポータルのサービスプロバイダーのメタデータを ID プロバイダーに登録して、構成手順を実行し、ID プロバイダーとの信頼を構築します。ポータルからメタデータを取得するには、次のいずれかを実行します。
- 組織の [設定] タブの [セキュリティ] セクションで、[サービスプロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータファイルをダウンロードします。
- メタデータの URL を開き、*.xml ファイルとしてコンピューターに保存します。この URL は、https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token> (例: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY) です。 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken を使用して、トークンを生成できます。 [Generate Token] ページに URL を入力する場合は、[Webapp URL] テキストボックスに ID プロバイダーサーバーの完全修飾ドメイン名を指定します。 [IP Address] や [IP Address of this request's origin] などのその他のオプションはサポートされておらず、無効なトークンが生成される場合があります。
認定プロバイダーにポータルのサービスプロバイダーのメタデータを登録する手順については、「ArcGIS/idp GitHub リポジトリ」をご参照ください。
必要に応じて高度な設定を構成します。
- [暗号化アサーション] - SAML ID プロバイダーに ArcGIS Enterprise が暗号化された SAML アサーションの応答をサポートしていることを示します。このオプションが選択されていると、ID プロバイダーは SAML 応答のアサーションセクションを暗号化します。 HTTPS を利用して ArcGIS Enterprise との間のすべての SAML トラフィックがすでに暗号化されていますが、このオプションにより別の暗号化レイヤーが追加されます。
- [署名付きリクエストの有効化] - ID プロバイダーに送信される SAML の認証リクエストに ArcGIS Enterprise が署名します。 ArcGIS Enterprise から送信された初回ログインリクエストに署名すると、ID プロバイダーはすべてのログインリクエストが信頼されたサービスプロバイダーから発信されていることを検証できます。
  ヒント:
  この設定を有効にすると、SAML リクエストの整合性が確保されます。このオプションは、ポータルの初期構成中に省略した場合でも、高度な設定でいつでも有効にすることができます。
- [ID プロバイダーへのログアウトの反映] - ユーザーが ID プロバイダーからサインアウトするログアウト URL を ArcGIS Enterprise で使用します。使用する URL を [ログアウト URL] 設定に入力します。 ID プロバイダーがログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] 設定も有効にする必要があります。この設定がオンになっていない場合、ArcGIS Enterprise で [サインアウト] をクリックするとユーザーは ArcGIS Enterprise からサインアウトされますが、ID プロバイダーからはサインアウトされません。ユーザーの Web ブラウザーのキャッシュがクリアされていない場合は、組織固有のログインオプションを使って ArcGIS Enterprise にすぐにサインインし直すと、SAML ID プロバイダーにユーザー認証情報を提供せずにログインされます。これはセキュリティの脆弱性で、権限のないユーザーまたは一般ユーザーがアクセスできるコンピューターを使用したときに悪用される可能性があります。
- [サインイン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のログイン以降に変更された場合に ArcGIS Enterprise によって更新します。これはデフォルトで有効になっています。
- [SAML ベースのグループのメンバーシップを有効化] - ポータル管理者が SAML ID プロバイダー内のグループを ArcGIS Enterprise ポータルで作成されたグループにリンクできるようにします。この設定が有効な場合、ArcGIS Enterprise は、SAML アサーションの応答を解析して、メンバーが属しているグループを識別します。その後、[グループに参加できるユーザー] に対して、ポータルに新しいグループを作成するときに、ID プロバイダーが提供する SAML グループを 1 つまたは複数指定できます。
  注意:
  ArcGIS Enterprise ポータルで新しいグループを作成するとき、ここで入力するグループ名は、SAML アサーションの属性値で返されるので、外部の SAML グループの値と完全に一致していなければなりません。正しい値がわからない場合は、組織の SAML システムを構成した管理者に問い合わせてください。
  
  この機能はデフォルトで無効化されています。
- ログアウト URL - 現在サインインしているユーザーがサインアウトするのに使用する ID プロバイダーの URL を入力します。このプロパティが ID プロバイダーのメタデータファイルで指定されている場合、自動的に設定されます。
- [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Enterprise 組織を SAML ID プロバイダーに対して一意に識別する場合は、この値を更新します。

組織固有のアカウントを管理者として指定

組織固有のアカウントをポータルの管理者として指定する方法は、ユーザーが組織に自動的に加入できるか、管理者から招待されたときに加入できるかによって決まります。

自動的に組織に加入する

ユーザーが自動的に組織に加入することを許可する [自動] オプションを選択した場合は、ポータル管理者として使用する組織固有のアカウントでサインインして、ポータル Web サイトのホームページを開きます。

アカウントが最初に自動的にポータルに追加されるときに、新しいメンバー用に構成されたデフォルトロールが割り当てられます。アカウントのロールを変更できるのは、組織サイトの管理者のみです。初期管理者アカウントを使用してポータルにサインインし、管理者ロールに組織固有のアカウントを割り当てる必要があります。

ポータルの Web サイトを開き、SAML ID プロバイダーを使用してサインインするオプションをクリックし、管理者として使用する SAML アカウントの認証情報を入力します。このアカウントが別のユーザーのアカウントである場合、そのユーザーにポータルにサインインさせて、アカウントがポータルに登録されるようにします。
アカウントがポータルに追加されたことを確認して、[サインアウト] をクリックします。ブラウザーのキャッシュと cookie を消去します。
ブラウザーでポータルの Web サイトを開き、組み込みポータルアカウントを使用してサインインするオプションをクリックし、ArcGIS Enterprise を設定したときに作成した初期管理者アカウントの認証情報を入力します。
ポータルの管理に使用する SAML アカウントを検索し、そのロールを [管理者] に変更します。 [サインアウト] をクリックします。

これで、選択した SAML アカウントがポータルの管理者になりました。

組織固有のアカウントをポータルに手動で追加する

招待でのみユーザーが組織に加入することを許可する [管理者から招待されたとき] オプションを選択した場合は、コマンドラインユーティリティを使用して、必要なアカウントを組織に登録する必要があります。ポータルの管理に使用する SAML アカウントに [管理者] ロールを選択します。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントに別のロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザーが自分のアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。

ユーザーが ArcGIS アカウントを使用してサインインできないようにする

ユーザーが ArcGIS アカウントを使用してポータルにサインインできないようにするには、サインインページの [ArcGIS ログイン] 切り替えボタンをオフにします。

組織サイトの管理者としてポータル Web サイトにサインインし、[組織] > [設定] > [セキュリティ] の順にクリックします。
[ログイン] セクションで、[ArcGIS ログイン] 切り替えボタンをオフにします。

サインインページには、ID プロバイダーアカウントを使用してポータルにログインするためのボタンが表示され、[ArcGIS ログイン] ボタンは使用不可になります。 ArcGIS アカウントを使用したメンバーログインを再度有効化するには、[ログイン] セクションで [ArcGIS ログイン] 切り替えボタンをオンにします。

SAML IDP の変更または削除

SAML IDP を設定した場合、現在登録されている SAML IDP の横にある [編集] ボタンをクリックして、その設定を更新できます。 [SAML ログインの編集] ウィンドウで設定を更新します。

現在登録されている IDP を削除するには、IDP　の横にある　[編集] ボタンをクリックし、[SAML ログインの編集] ウィンドウで [ログインの削除] をクリックします。 IDP を削除した後は、必要に応じて新しい IDP または IDP のフェデレーションを設定できます。

SAML セキュリティのベストプラクティス

SAML ログインを有効にするには、ArcGIS Enterprise を SAML IDP の SP として構成します。セキュリティを堅牢にするためには、以下に説明するベストプラクティスを検討してください。

SAML ログイン/ログアウトリクエストおよび SAML アサーションの応答へのデジタル署名

シグネチャは SAML メッセージの整合性を確保するために使用され、中間者 (MITM) 攻撃に対する保護措置として機能します。 SAML リクエストにデジタル署名することによって、そのリクエストが信頼できる SP から送信されることが保証され、IDP はサービス拒否 (DOS) 攻撃をより適切に扱うことができます。 SAML ログインを構成するときに、高度な設定の [署名付きリクエストの有効化] オプションをオンにします。

注意:

署名付きリクエストを有効化するには、SP が使用する署名証明書が更新されるか置き換えられるたびに、IDP を更新する必要があります。

SAML アサーションの応答が送信中に変更されないようにするために、SAML 応答に署名するように SAML IDP を構成します。

注意:

署名付きリクエストを有効化するには、IDP が使用する署名証明書が更新されるか置き換えられるたびに、SP (ArcGIS Enterprise) を更新する必要があります。

IDP の HTTPS エンドポイントの使用

SP、IDP、ユーザーのブラウザー間で、内部ネットワークまたはインターネット上で送信される暗号化されていない形式の通信は、悪意のあるアクターによって傍受される可能性があります。 SAML IDP が HTTPS をサポートしている場合は、HTTPS エンドポイントを使用して、SAML ログイン時に送信されるデータの機密性を確保することをお勧めします。

SAML アサーションの応答の暗号化

SAML 通信に HTTPS を使用すると、IDP と SP の間で送信される SAML メッセージがセキュリティ保護されます。ただし、サインインしたユーザーはこれまでどおり Web ブラウザーで SAML メッセージをデコードし表示できます。アサーションの応答の暗号化を有効にすると、IDP と SP の間でやり取りされる重要な情報や機密情報をユーザーが表示できないようにすることができます。

注意:

暗号化アサーションを有効化するには、SP (ArcGIS Enterprise) が使用する暗号化証明書が更新されるか置き換えられるたびに、IDP を更新する必要があります。

署名証明書と暗号化証明書の安全な管理

SAML メッセージにデジタル署名するか暗号化するための強力な暗号化鍵で証明書を使用し、3 ～ 5 年ごとに証明書を更新または置き換えてください。

このトピックへのフィードバック

注意: