Skip To Content

G Suite の構成

G Suite は、SAML (Security Assertion Markup Language) 準拠の ID プロバイダー (IDP) です。これを ArcGIS Onlineエンタープライズ ログインの IDP として構成できます。構成プロセスでは、主に次の 2 つの手順を実行します。まず、エンタープライズ IDP を ArcGIS Online に登録し、次に、ArcGIS Online をエンタープライズ IDP に登録します。

メモ:

組織のエンタープライズ ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

必要な情報

ArcGIS Online は、ユーザーがエンタープライズ ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、ArcGIS Online とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS OnlineNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Online によってユーザー名が NameID_<url_key_for_org> の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Online によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Online は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。 ユーザーが通知を受信できるようにするために、エンタープライズ IDP から取得した電子メール アドレスを渡すことをお勧めします。 そうすると、ユーザーが後で管理者になる場合に役立ちます。 アカウントに電子メール アドレスが登録されていると、管理アクティビティに関する通知を受信したり、他のユーザーが組織に加入できるように招待を送信したりできます。

エンタープライズ ログインの構成

メモ:

次の手順を実行するには、Google サブスクリプションのスーパー管理者権限付きの G Suite アカウントが必要です。

  1. Google 管理コンソール (http://admin.google.com) にログインして、管理者ダッシュボードにアクセスします。
  2. 管理コンソールのホーム ページから [Apps] に移動します。
    メモ:

    ホーム ページ上に [Apps] を表示するには、下部にある [More controls] をクリックする必要があります。メイン メニューから [Apps] にアクセスすることもできます。

  3. [SAML Apps] をクリックした後、下隅にあるプラス記号 (+) ボタンをクリックします。
  4. 表示されるウィンドウで、[Set up My Own Custom App] をクリックします。
  5. [Google IdP Information] ウィンドウの [Option 2] で、[Download] をクリックして、IDP メタデータをダウンロードします。このファイルをローカル ストレージ上の場所に保存します。
  6. [次へ] をクリックします。
  7. 新しいブラウザー ウィンドウを開いて ArcGIS Online に移動します。
  8. 組織サイトの管理者としてサイン インしていることを確認します。
  9. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  10. ページの左側にある [セキュリティ] をクリックします。
  11. [ログイン] セクションの [エンタープライズ] の下で [エンタープライズ ログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。表示されたウィンドウに、組織名を入力します (たとえば、「City of Redlands」)。ユーザーが組織の Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
  12. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者が介入しなくても、自分のエンタープライズ ログインを使用して組織サイトにサイン インできます。ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は必要なユーザーを組織に招待する必要があります。 ユーザーは、招待を受け取った時点で、組織サイトにサイン インできるようになります。
  13. [ファイル] オプションを選択して、IDP のメタデータ情報を入力します。先にダウンロードした IDP メタデータ ファイルを使用します。
  14. 高度な設定はそのままにして、[保存] をクリックします。
  15. [サービス プロバイダーのメタデータのダウンロード] をクリックして、サービス プロバイダーのメタデータ ファイルをローカルに保存します。

    このファイル内の情報は、信頼できるサービス プロバイダーとして組織を G Suite に登録するために使用されます。

  16. このファイルをメモ帳などのテキスト エディターで開きます。
  17. Google 管理コンソールのブラウザー ウィンドウに戻ります。[Basic Information for your Custom App] ウィンドウで、アプリの名前を入力して [Next] をクリックします。
  18. [Service Provider Details] ウィンドウで、組織のメタデータ ファイル内のコンテンツを使用して、次のパラメーターに値を入力します。
    1. [ACS URL] には、AssertionConsumerService エレメントの値をコピーします。

      例: https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin

    2. [Entity ID] には、entityID 属性の値をコピーします。

      例: [org name].maps.arcgis.com

    3. [Start URL] には、OrganizationURL 属性の値をコピーします。

      例: https://[org name].maps.arcgis.com

    4. [Name ID][Basic Information Primary Email] (または G Suite サブスクリプションで使用されている他の一意の属性) のままにします。
    5. [Name ID Format][Unspecified] のままにします。
  19. [次へ] をクリックします。
  20. [Attribute Mapping] ウィンドウで、「givenName」と入力した後、[Basic Information][First Name] の順に選択します。
  21. [Attribute Mapping] ウィンドウで、「surName」と入力した後、[Basic Information][Last Name] の順に選択します。
  22. [Finish] をクリックして構成を完了します。
  23. [Edit Service] をクリックします。[Service status][On for everyone] を選択して [Save] をクリックします。