NetIQ Access Manager の構成

NetIQ Access Manager は、Security Assertion Markup Language (SAML) 準拠の ID プロバイダー (IDP) です。 NetIQ Access Manager 3.2 以降のバージョンを、ArcGIS Online で SAML ログインを設定するための IDP として構成できます。 構成プロセスでは、主に次の 2 つの手順を実行します。まず、SAML IDP を ArcGIS Online に登録し、次に、ArcGIS Online を SAML IDP に登録します。

メモ:

SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

必要な情報

ArcGIS Online は、ユーザーが SAML ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、ArcGIS Online とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS OnlineNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Online によってユーザー名が NameID_<url_key_for_org> の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Online によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Online は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。 ユーザーが通知を受信できるようにするために、SAML IDP から取得した電子メール アドレスを渡すことをお勧めします。 そうすると、ユーザーが後で管理者になる場合に役立ちます。 アカウントに電子メール アドレスが登録されていると、管理アクティビティに関する通知を受信したり、他のユーザーが組織に加入できるように招待を送信したりできます。

NetIQ Access ManagerSAML IDP として ArcGIS Online に登録する

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. [ログイン] セクションの [SAML ログイン] の下で [SAML ログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名を入力します (たとえば、「City of Redlands」)。 ユーザーが組織の Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
    メモ:

    [1 つの ID プロバイダー] オプションを選択することで、SAML 組織用に 1 つの ArcGIS Online IDP を登録できます。 複数の IDP からの SAML ログインでユーザーを認証するには、1 つの IDP ではなく SAML ベースのフェデレーションを登録します。

  5. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者が介入しなくても、自分の SAML ログインを使用して組織サイトにサイン インできます。ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は必要なユーザーを組織に招待する必要があります。 ユーザーは、招待を受け取った時点で、組織サイトにサイン インできるようになります。
  6. 次の 3 つのオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
    • [URL] - ArcGIS Online から NetIQ Access Manager フェデレーション メタデータの URL にアクセスできる場合は、このオプションを選択します。 URL は、通常、NetIQ Access Manager が実行されているコンピューター上の http(s)://<host>:<port>/nidp/saml2/metadata です。
    • [ファイル] - ArcGIS Online から URL にアクセスできない場合は、このオプションを選択します。 上記の URL からメタデータを取得し、XML ファイルとして保存した後、そのファイルをアップロードします。
    • [設定パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。 値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。 これらの情報については、NetIQ Access Manager 管理者にお問い合わせください。
  7. 必要に応じて高度な設定を構成します。
    • [暗号化アサーション] - SAML アサーションの応答を暗号化するように NetIQ Access Manager を構成する場合は、このオプションを有効化します。
    • [署名付きリクエストの有効化] - ArcGIS Online に送信される SAML の認証リクエストに NetIQ Access Manager が署名する場合は、このオプションを有効化します。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが Net IQ Access Manager からサイン アウトする [ログアウト URL]ArcGIS Online で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IDP が [ログアウト URL] を署名する必要がある場合、[署名付きリクエストの有効化] をオンにする必要があります。
    • [サイン イン時にプロフィールを更新] - このオプションを有効化すると、ArcGIS Online ユーザー プロフィールに保存されているアカウント情報 (フル ネームと電子メール アドレス) が、IDP から受け取った最新のアカウント情報と自動的に同期されます。 このオプションを有効化すると、ユーザーが SAML ログイン アカウントを使用していつサイン インしたか、またはアカウントの作成時以降に IDP 情報が変更されているかどうかを組織サイトで確認できます。また、IDP 情報が変更されている場合、それに合わせてユーザーの ArcGIS Online アカウントのプロフィールを更新できます。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、ArcGIS Online グループにリンクできるようになります。
    • [ログアウト URL] - 現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL。 この値は、IDP のメタデータ ファイル内に定義されている場合には、自動的に入力されます。 必要に応じて、この URL を更新することができます。
    • [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Online 組織サイトを NetIQ Access Manager に対して一意に識別する場合は、この値を更新します。
  8. [保存] をクリックします。

ArcGIS Online を信頼できるサービス プロバイダーとして NetIQ Access Manager に登録する

  1. 属性セットを構成します。

    以下の手順に従って新しい属性セットを作成し、ユーザー認証後、SAML アサーションの一部として ArcGIS Online に属性を送信できるようにします。 NetIQ Access Manager ですでに既存の属性セットを構成している場合、代わりにそのセットを使用することもできます。

    1. NetIQ Access Manager 管理コンソールにサイン インします。 これは、通常 http(s)://<host>:<port>/nps で利用できます。
    2. NetIQ 管理コンソールで ID サーバーを参照し、[Shared Settings] タブをクリックします。 作成済みの属性があれば、[Attribute Sets] の下に表示されます。 [New] をクリックし、新しい属性セットを作成します。 [Set Name] の下に「ArcGISOnline」と入力して [Next] をクリックします。

      属性セットの作成

    3. 属性マッピングを定義し、それらを前のステップで作成した属性セットに追加します。

    [New] リンクをクリックし、新しい属性マッピングを追加します。 以下のスクリーン キャプチャは、givenNameemail address、および uid の属性マッピングの追加を示しています。 これらの例の代わりに、認証ソースから任意の属性を選択できます。

    givenName 属性
    email 属性
    uid 属性

    [Create Attribute Set] ウィザード内の [Finish] をクリックします。 これによって、[ArcGISOnline] という名前の新しい属性セットが作成されます。

  2. 以下の手順に従って、ArcGIS Online を信頼できるプロバイダーとして NetIQ Access Manager に追加します。
    1. NetIQ 管理コンソールにサイン インし、ID サーバーを選択して、[Edit] リンクをクリックします。
      管理コンソール

      [General] タブが表示されます。

    2. [SAML 2.0] タブをクリックし、[New] > [Service Provider] の順にクリックします。

      [Service Provider] ウィンドウでは、ArcGIS Online を信頼できるサービス プロバイダーとして NetIQ Access Manager に追加します。

    3. [Create Trusted Service Provider] ウィザードで、[Source] として [Metadata Text] をクリックし、ArcGIS Online の組織のメタデータを [Text] ボックス内に貼り付けます。

      ArcGIS Online の組織のメタデータを取得するには、管理者として組織サイトにサイン インし、[設定] タブ、ページの左側にある [セキュリティ] タブの順にクリックします。 [ログイン] セクションの [SAML ログイン] の下で [サービス プロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータ ファイルをダウンロードします。

      信頼できるサービス プロバイダーの作成

      [次へ][完了] の順にクリックして、信頼できるサービス プロバイダーの追加を終了します。

      信頼できるプロバイダー
  3. 以下の手順に従って、ArcGIS OnlineNetIQ Access Manager のフェデレーション プロパティを構成します。
    1. [SAML 2.0] タブの [サービス プロバイダー] の下で、サービス プロバイダーのリンクをクリックします(たとえば、上のスクリーン キャプチャでは、リンクの名前は [ArcGISOnlineSAMLTest] です)。[構成] タブが開きます。 [メタデータ] タブをクリックし、ArcGIS Online の組織のメタデータが正しいことを確認します。
    2. [構成] タブをクリックして、構成の [信頼] セクションに戻ります。 NetIQ Access Manager を SAML IDP として ArcGIS Online に登録するときに高度な設定で [暗号化アサーション] を選択した場合は、[Encrypt assertions] オプションを選択します。
    3. [属性] タブをクリックします。

      このステップでは、以前に作成したセットから属性マッピングを追加します。これによって NetIQ Access Manager は、SAML アサーションで属性を ArcGIS Online に送信できるようになります。

      上のステップ 2.1 で定義した属性セットを選択します。 属性セットを選択すると、そのセットに定義された属性が [利用可能] ボックスに表示されます。 givenName 属性と email 属性を [認証で送信] ボックスに移動します。

      属性セット
    4. サービス プロバイダーの [構成] タブの下の [認証応答] タブをクリックし、以下のようにして認証応答を設定します。

      [バインド] ドロップダウン メニューから [ポスト] をクリックします。

      [名前識別子] 列で、[未指定] の横にあるチェックボックスをオンにします。

      [デフォルト] 列で、[未指定] の横にあるラジオ ボタンを選択します。

      [値] 列で、[LDAP 属性 UID] を選択します

      メモ:

      認証ソースから NameID として送信される他の任意の一意の属性を、属性セットで構成できます。 このパラメーターの値は、組織サイトでユーザー名として使用されます。

      [適用] をクリックします。 表示されたページが、以下のスクリーン キャプチャと一致することを確認してください。

      認証応答
    5. [構成] の下で [オプション] タブをクリックし、ユーザー認証方式 (たとえば、[名前/パスワード形式]) を選択して、[適用] をクリックします。

      構成オプション

  4. ID サーバーを参照して [すべてを更新] リンクをクリックすることによって、NetIQ Access Manager を再起動します。

    NetIQ の再起動