Skip To Content

OpenAM の構成

OpenAM は、SAML (Security Assertion Markup Language) 準拠の ID プロバイダー (IDP) です。OpenAM 10.1.0 以降のバージョンを、ArcGIS Onlineエンタープライズ ログインを設定するための IDP として構成できます。構成プロセスでは、主に次の 2 つの手順を実行します。まず、エンタープライズ IDP を ArcGIS Online に登録し、次に、ArcGIS Online をエンタープライズ IDP に登録します。

メモ:

組織のエンタープライズ ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

必要な情報

ArcGIS Online は、ユーザーがエンタープライズ ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、ArcGIS Online とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS OnlineNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Online によってユーザー名が NameID_<url_key_for_org> の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Online によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Online は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。 ユーザーが通知を受信できるようにするために、エンタープライズ IDP から取得した電子メール アドレスを渡すことをお勧めします。 そうすると、ユーザーが後で管理者になる場合に役立ちます。 アカウントに電子メール アドレスが登録されていると、管理アクティビティに関する通知を受信したり、他のユーザーが組織に加入できるように招待を送信したりできます。

OpenAM をエンタープライズ IDP として ArcGIS Online に登録する

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. [ログイン] セクションの [エンタープライズ] の下で [エンタープライズ ログインの設定] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 表示されたウィンドウに、組織名を入力します (たとえば、「City of Redlands」)。 ユーザーが組織の Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
    メモ:

    [1 つの ID プロバイダー] オプションを選択することで、ArcGIS Online 組織用に 1 つのエンタープライズ IDP を登録できます。 複数の IDP からのエンタープライズ ログインでユーザーを認証する場合には、1 つの IDP ではなくSAML ベースのフェデレーションを登録します。

  5. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者が介入しなくても、自分のエンタープライズ ログインを使用して組織サイトにサイン インできます。ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は必要なユーザーを組織に招待する必要があります。 ユーザーは、招待を受け取った時点で、組織サイトにサイン インできるようになります。
  6. 次の 3 つのオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
    • [URL] - ArcGIS Online から OpenAM フェデレーション メタデータの URL にアクセスできる場合は、このオプションを選択します この URL は、通常 http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp です。
    • [ファイル] - ArcGIS Online から URL にアクセスできない場合は、このオプションを選択します。 上記の URL からメタデータを取得し、XML ファイルとして保存した後、そのファイルをアップロードします。
    • [設定パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。これらの情報については、OpenAM 管理者にお問い合わせください。
  7. 必要に応じて高度な設定を構成します。
    • [暗号化アサーション] - SAML アサーションの応答を暗号化するように OpenAM を構成する場合は、このオプションを有効化します。
    • [署名付きリクエストの有効化] - OpenAM に送信される SAML の認証リクエストに ArcGIS Online が署名する場合は、このオプションを有効化します。
    • [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Online の組織サイトを OpenAM に対して一意に識別する場合は、この値を更新します。
    • [サイン イン時にプロフィールを更新] - このオプションを有効化すると、ArcGIS Online ユーザー プロフィールに保存されているアカウント情報 (フル ネームと電子メール アドレス) が、IDP から受け取った最新のアカウント情報と自動的に同期されます。 このオプションを有効化すると、ユーザーがエンタープライズ ログイン アカウントを使用していつサイン インしたか、またはアカウントの初回作成時以降に IDP 情報が変更されているかどうかを組織サイトで確認できます。また、IDP 情報が変更されている場合、それに合わせてユーザーの ArcGIS Online アカウントのプロフィールを更新できます。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、ArcGIS Online グループにリンクできるようになります。
    メモ:

    現在、[ID プロバイダーへのログアウトの反映][ログアウト URL] はサポートされていません。

  8. [保存] をクリックします。

ArcGIS Online を信頼できるサービス プロバイダーとして OpenAM に登録する

  1. OpenAM でホストされる IDP を構成します。
    1. OpenAM 管理コンソールにサイン インします。これは、通常 https://servername:port/<deploy_uri>/console で利用できます。
    2. [Common Tasks] タブで、[Create Hosted Identity Provider] をクリックします。
    3. ホストされる IDP を作成し、それを [Circle of Trust] に追加します。[Circle of Trust] がすでに存在する場合、それに追加できますが、存在しない場合は新規作成します。
    4. デフォルトでは、ホストされる IDP は、OpenDJ (OpenAM に付属する埋め込みユーザー ストア) を操作します。OpenAM を Active Directory などの他のユーザー ストアに接続する場合は、メイン画面の OpenAM 管理コンソールの [Access Control] タブで新しいデータ ソースを作成する必要があります。
  2. ArcGIS Online を信頼できるサービス プロバイダーとして OpenAM に構成します。
    1. ArcGIS Online の組織サイトのメタデータ ファイルを取得し、それを XML ファイルとして保存します。

      メタデータ ファイルを取得するには、組織サイトの管理者としてサイン インして、組織のページを開きます。[設定] タブをクリックして、ページの左側にある [セキュリティ] をクリックします。[ログイン] セクションの [エンタープライズ] の下で、[サービス プロバイダーのメタデータのダウンロード] ボタンをクリックします。

    2. OpenAM 管理コンソールの [Common Tasks] の下で、[Register Remote Service Provider] をクリックします。
    3. メタデータに対して [File] オプションを選択し、前のステップで保存したメタデータの XML ファイルをアップロードします。
    4. このサービス プロバイダーを、IDP を追加したのと同じ [Circle of Trust] に追加します。
  3. ユーザー認証後に OpenAMArcGIS Online に送信する必要のある NameID の形式と属性を構成します。
    1. OpenAM 管理コンソールで、[Federation] タブをクリックします。このタブには、前に追加した [Circle of Trust]、サービス プロバイダー、および IDP が含まれています。
    2. [Entity Providers] の下で、IDP をクリックします。
    3. [Assertion Content] タブの [Name ID Format] の下で、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified が先頭に表示されていることを確認します。これは、ArcGIS OnlineOpenAM への SAML リクエストで要求する NameID の形式です。
    4. [Name ID Value Map] の下で、mailupn などのユーザー プロフィールの属性をマップします。これらの属性は、ユーザー認証後、NameID として ArcGIS Online に返されます。

      例: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn

    5. IDP の [Assertion Processing] タブをクリックします。[Attribute Mapper] の下で、ArcGIS Online に送信するユーザー プロフィールの属性を構成します。

      [Save] をクリックして NameID の形式と属性の変更内容を保存します。

    6. OpenAM 管理コンソールの [Federation] タブの [Entity Providers] の下で、ArcGIS Online サービス プロバイダーを参照します。
    7. OpenAM をエンタープライズ IDP として ArcGIS Online に登録するときに高度な設定で [暗号化アサーション] を選択した場合は、[Assertion Content] タブの [Encryption] の下で、[Assertion] オプションを選択します。
    8. [Name ID Format] の下で、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified が先頭に表示されていることを確認します。これは、ArcGIS OnlineOpenAM への SAML リクエストで要求する NameID の形式です。
    9. IDP の [Assertion Processing] タブをクリックします。[Attribute Mapper] の下で、ArcGIS Online に送信するユーザー プロフィールの属性を構成します。
    10. [Save] をクリックして [Name ID Format] と属性の変更内容を保存します。
  4. OpenAM が配置されている Web サーバーを再起動します。