Okta の構成

Okta は、Security Assertion Markup Language (SAML) 準拠の ID プロバイダー (IDP) です。 ArcGIS OnlineSAML ログイン アカウントの IDP として構成できます。 構成プロセスでは、主に次の 2 つの手順を実行します。まず、SAML IDP を ArcGIS Online に登録し、次に、ArcGIS Online を SAML IDP に登録します。

メモ:

SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

必要な情報

ArcGIS Online は、ユーザーが SAML ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、ArcGIS Online とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS OnlineNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Online によってユーザー名が NameID_<url_key_for_org> の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Online によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Online は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。 ユーザーが通知を受信できるようにするために、SAML IDP から取得した電子メール アドレスを渡すことをお勧めします。 そうすると、ユーザーが後で管理者になる場合に役立ちます。 アカウントに電子メール アドレスが登録されていると、管理アクティビティに関する通知を受信したり、他のユーザーが組織に加入できるように招待を送信したりできます。

OktaSAML IDP として ArcGIS Online に登録する

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. [ログイン] セクションの [SAML ログイン] の下で [SAML ログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名を入力します (たとえば、「City of Redlands」)。 ユーザーが組織の Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
    メモ:

    [1 つの ID プロバイダー] オプションを選択することで、SAML 組織用に 1 つの ArcGIS Online IDP を登録できます。 複数の IDP からの SAML ログインでユーザーを認証するには、1 つの IDP ではなく SAML ベースのフェデレーションを登録します。

  5. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者が介入しなくても、自分の SAML ログインを使用して組織サイトにサイン インできます。ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は必要なユーザーを組織に招待する必要があります。 ユーザーは、招待を受け取った時点で、組織サイトにサイン インできるようになります。
  6. 以下のオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
    • [ファイル] - Okta からフェデレーション メタデータ ファイルのコピーをダウンロードまたは取得し、[ファイル] オプションを使用して、そのファイルを ArcGIS Online にアップロードします。
    • [設定パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。 値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。 これらの情報については、Okta 管理者にお問い合わせください。
  7. 必要に応じて高度な設定を構成します。
    • [暗号化アサーション] - Okta の SAML アサーションのレスポンスを暗号化する場合は、このオプションを有効化します。
    • [署名付きリクエストの有効化] - ArcGIS Online に送信される SAML の認証リクエストに Okta が署名する場合は、このオプションを有効化します。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが ArcGIS Online からサイン アウトするログアウト URL を Okta で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IDP がログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] をオンにする必要があります。
    • [サイン イン時にプロフィールを更新] - このオプションを有効化すると、ArcGIS Online ユーザー プロフィールに保存されているアカウント情報 (フル ネームと電子メール アドレス) が、IDP から受け取った最新のアカウント情報と自動的に同期されます。 このオプションを有効化すると、ユーザーが SAML ログイン アカウントを使用していつサイン インしたか、またはアカウントの作成時以降に IDP 情報が変更されているかどうかを組織サイトで確認できます。また、IDP 情報が変更されている場合、それに合わせてユーザーの ArcGIS Online アカウントのプロフィールを更新できます。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、ArcGIS Online グループにリンクできるようになります。
    • [ログアウト URL] - 現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL。
    • [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Online の組織サイトを Okta に対して一意に識別する場合は、この値を更新します。
  8. 完了したら、[保存] をクリックします。
  9. [サービス プロバイダーのメタデータのダウンロード] をクリックして、組織のメタデータ ファイルをダウンロードします。 このファイル内の情報は、信頼できるサービス プロバイダーとして組織を Okta に登録するために使用されます。

ArcGIS Online を信頼できるサービス プロバイダーとして Okta に登録する

  1. 管理者権限のあるメンバーとして Okta 組織にログインします。
  2. [Applications] タブ[Add Application] ボタンをクリックします。
  3. [Create New App] をクリックして、[SAML 2.0] オプションを選択します。 [Create] をクリックします。
  4. [General Settings] で、組織の配置に使用する [App Name] を入力して、[Next] をクリックします。
  5. [Configure SAML] タブで、次の手順を実行します。
    1. [Single sign on URL] の値 (https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin など) を入力します。 この値は、組織からダウンロードされたサービス プロバイダーのメタデータ ファイルからコピーできます。
    2. [Audience URI] の値を入力します。 デフォルト値は [org name].maps.arcgis.com に設定されています。 この値は、組織からダウンロードされたサービス プロバイダーのメタデータ ファイルからコピーできます。
    3. [Name ID format][Unspecified] のままにしておきます。
    4. [Advanced Settings] で、[Assertion Signature] オプションを [Unsigned] に変更します。
    5. [Attribute Statements] セクションで、次の属性ステートメントを追加します。

      givenNameuser.firstName

      surnameuser.lastName

      emailuser.email

  6. [次へ] をクリックして [完了] をクリックします。
  7. 新規に作成した SAML アプリケーションの [Sign On] セクションが表示されます。 Okta IDP メタデータを取得するには、[Sign On] タブをクリックし、[Identity Provider metadata] リンクをクリックします。
  8. [People] タブを右クリックして、組織内でアクセス権を持つ Okta 認証済みユーザーを構成します。