Skip To Content

エンタープライズ ログインの設定

エンタープライズ ログインを構成すると、組織サイトのメンバーはエンタープライズ情報システムにアクセスするときと同じログインを使用して ArcGIS Online にサイン インすることが可能になります。この方法を使用してエンタープライズ ログイン アカウントを設定するメリットは、メンバーが ArcGIS Online システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、エンタープライズ システム内で設定済みのログイン アカウントを使用できます。メンバーは、ArcGIS Online にサイン インする際に、エンタープライズのログイン マネージャー (エンタープライズ ID プロバイダー (IDP) とも呼ばれる) に自分のエンタープライズ ユーザー名とパスワードを直接入力します。メンバーの認証情報の検証時に、エンタープライズ IDP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせます。エンタープライズ ログイン オプションのみを表示するか、エンタープライズ ログイン オプションと ArcGIS ログイン オプションの両方を表示するように、組織のサイン イン ページを構成することができます。

ArcGIS Online は、エンタープライズ ログイン アカウントの構成に SAML (Security Assertion Markup Language) 2.0 をサポートしています。SAML は、IDP (組織) とサービス プロバイダー (SP) (この場合は ArcGIS Online) との間で認証/認可データを安全に交換するためのオープン規格です。ArcGIS Online は SAML 2.0 に準拠し、SAML 2 Web シングル サインオンをサポートする IDP と統合することができます。

ほとんどの状況で、組織は 1 つの IDP を使用して SAML ベースのエンタープライズ ログインを設定します。この IDP は、複数のサービス プロバイダー間でホストされるセキュアなリソースにアクセスするユーザーを認証します。IDP とすべてのサービス プロバイダーは、同じ組織で管理されます。

エンタープライズ ログインでユーザーを認証するもう 1 つの方法は、IDP の SAML ベースのフェデレーションを使用するように組織を構成することです。複数の組織間の SAML ベースのフェデレーションでは、各メンバー組織は引き続き独自の IDP を使用するものの、フェデレーション内で排他的に機能するように 1 つ以上の SP を構成します。フェデレーション内で共有されるセキュアなリソースにアクセスするには、ユーザーがホームの組織の IDP で ID を認証します。正常に認証されたら、セキュアなリソースをホストする SP に、この検証済みの ID が提示されます。ユーザーのアクセス権限の検証後、この SP がリソースへのアクセスを付与します。

SAML サイン イン操作

ArcGIS Online は、SP が開始するエンタープライズ ログインと IDP が開始するエンタープライズ ログインをサポートしています。サイン イン操作はそれぞれに異なります。

SP が開始するログイン

SP が開始するログインでは、メンバーが組織の Web サイトに直接アクセスすると、そのメンバーのエンタープライズ SP ログインまたは ArcGIS ログインを使用してサイン インするオプションが表示されます。メンバーは、SP オプションを選択すると、Web ページ (エンタープライズのログイン マネージャーと呼ばれる) にリダイレクトされ、エンタープライズ ユーザー名とパスワードを入力するように求められます。メンバーの認証情報の検証時に、エンタープライズ IDP はサイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせ、そのメンバーが組織の Web サイトにもう一度リダイレクトされます。

メンバーが ArcGIS オプションを選択した場合は、組織の Web サイトのサイン イン ページが表示されます。その後、メンバーは、ArcGIS ユーザー名とパスワードを入力して Web サイトにアクセスできます。ArcGIS ログイン オプションを無効にすることはできません。

IDP が開始するログイン

IDP が開始するログインでは、メンバーはエンタープライズ ログイン マネージャーに直接アクセスし、自分のアカウントを使用してサイン インします。メンバーが自分のアカウント情報を送信すると、IDP は SAML レスポンスを直接 ArcGIS Online に送信します。その後、メンバーはサイン インし、組織の Web サイトにリダイレクトされ、再び組織にサイン インしなくても直ちにリソースにアクセスできます。

ArcGIS アカウントをエンタープライズ ログイン マネージャーから直接使用してサイン インするオプションは、IDP ログインでは使用できません。ArcGIS アカウントを使用して組織サイトにサイン インするには、メンバーは、組織の Web サイトに直接アクセスする必要があります。

SAML IDP

次のチュートリアルでは、SAML 対応の IDP を ArcGIS Online で使用する方法を示します。

エンタープライズ ログインの構成

ArcGIS Online を使用して IDP を構成する手順を次に示します。開始する前に、エンタープライズ IDP または IDP のフェデレーションの管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。たとえば、組織サイトで Microsoft Active Directory を使用している場合、エンタープライズ IDP 側で SAML を設定または有効化し、ArcGIS Online 側で構成に必要なパラメーターを取得する際の連絡窓口は、Microsoft Active Directory を担当している管理者になります。

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] をクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。
    1. ページの左側にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. 組織のクレジット使用制限が有効になっている場合は、新しいメンバーごとのクレジット割り当てを一定のクレジット数に設定するか、制限なしに設定します。
    6. 新しいメンバーに対して Esri アクセスを有効にするかどうかを選択します。

      Esri アクセスが有効化されたアカウントを所有しているメンバーは、My Esri およびコミュニティとフォーラム (GeoNet) を使用して、トレーニング Web サイトの E ラーニングにアクセスしたり、Esri からの電子メール連絡を管理したりすることができます。メンバーは、これらの Esri リソースへの自分のアクセスを有効/無効にすることができません。

  4. ページの左側にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [エンタープライズ] の下で、[エンタープライズ ログインの設定] をクリックします。
  6. 表示されるウィンドウで、次のいずれかを選択します。
    • [1 つの ID プロバイダー] - ユーザーが、組織によって管理された既存のエンタープライズ認証情報を使用してサイン インできるようにします。これは、最も一般的な構成です。
    • [ID プロバイダーのフェデレーション] - 既存の組織間のフェデレーション (SWITCHaai フェデレーションなど) に属しているユーザーが、そのフェデレーションによってサポートされている認証情報を使用してサイン インできるようにします。
  7. [次へ] をクリックします。
  8. [1 つの ID プロバイダー] を選択した場合は、次の操作を行います。
    1. 組織の名前を入力します。
    2. エンタープライズ ログイン アカウントのあるメンバーが ArcGIS Online の組織サイトに加入する方法 (自動または招待) を選択します。自動オプションを使用すると、メンバーはエンタープライズ ログイン アカウントでサイン インすることで、組織サイトに加入できます。招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。自動オプションを選択した場合は、組織に加入するようにメンバーを招待したり、エンタープライズ ID を使用してメンバーを直接追加したりすることができます。
    3. 使用しているエンタープライズ IDP に関するメタデータ情報を ArcGIS Online に提供します。

    これを実行するには、エンタープライズ IDP に関するメタデータ情報を取得するために ArcGIS Online がアクセスするソースを指定します。この情報のソースとして、次の 3 つを指定できます。

    • URL - IDP に関するメタデータ情報を返す URL を入力します。
    • ファイル - IDP に関するメタデータ情報を含むファイルをアップロードします。
    • 設定パラメーター - 以下のパラメーターを指定することによって、IDP に関するメタデータ情報を直接入力します。
      • ログイン URL (リダイレクト) - ArcGIS Online がメンバーのサイン インに使用する IDP の URL (HTTP リダイレクト バインドをサポートする) を入力します。
      • ログイン URL (POST) - ArcGIS Online がメンバーのサイン インに使用する IDP の URL (HTTP POST バインドをサポートする) を入力します。
      • 証明書 - BASE 64 形式でエンコードされた、エンタープライズ IDP に対する証明書を指定します。この証明書により、ArcGIS Online は、エンタープライズ IDP から送信された SAML レスポンスのデジタル署名を検証することができます。
    備考:

    指定する必要のあるメタデータ情報のソースがわからない場合は、IDP の管理者に問い合わせてください。

  9. [ID プロバイダーのフェデレーション] を選択した場合は、次の操作を行います。
    1. フェデレーションの名前を入力します。
    2. エンタープライズ ログイン アカウントのあるメンバーが ArcGIS Online の組織サイトに加入する方法 (自動または招待) を選択します。自動オプションを使用すると、メンバーはエンタープライズ ログイン アカウントでサイン インすることで、組織サイトに加入できます。招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。自動オプションを選択した場合は、組織に加入するようにメンバーを招待したり、エンタープライズ ID を使用してメンバーを直接追加したりすることができます。
    3. フェデレーションがホストする一元化された IDP 検出サービスへの URL を入力します https://wayf.samplefederation.com/WAYF
    4. フェデレーション メタデータへの URL を入力します。フェデレーション メタデータとは、フェデレーションに参加しているすべての IDP と SP のメタデータの集約です。
    5. Base64 形式でエンコードされた証明書をコピーして貼り付けます。これにより、組織がフェデレーション メタデータの有効性を検証できます。
  10. [高度な設定を表示] をクリックして、次の高度な設定を必要に応じて構成します。
    • [暗号化アサーション] - SAML IDP に ArcGIS Online が暗号化された SAML アサーションの応答をサポートしていることを示すには、このオプションを有効化します。このオプションを有効化すると、IDP が SAML 応答のアサーション セクションを暗号化します。ArcGIS Online との間で送受信されるすべての SAML トラフィックは、HTTPS を使用しているのですでに暗号化されていますが、このオプションを選択することで暗号化をさらに強化できます。
    • [署名付きリクエストの有効化] - IDP に送信される SAML の認証リクエストに ArcGIS Online が署名する場合は、このオプションを有効化します。ArcGIS Online から送信された初期ログイン要求に署名することにより、IDP は、すべてのログイン要求が信頼できる SP から生成されていることを確認できます。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが IDP からサイン アウトするログアウト URL を ArcGIS Online で使用する場合は、このオプションを有効化します。使用する URL を [ログアウト URL] 設定に入力します。IDP がログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] オプションもオンにする必要があります。このオプションが無効になっている場合、ArcGIS Online[サイン アウト] をクリックするとユーザーは ArcGIS Online からサイン アウトされますが、IDP からはサイン アウトされません。ユーザーの Web ブラウザーのキャッシュがクリアされていない場合は、エンタープライズ ログイン オプションを使って ArcGIS Online にすぐにサイン インし直すと、SAML IDP にユーザー認証情報を提供せずに即時ログインされます。これは、不正ユーザーが簡単にアクセスできたり、一般的に公開されているコンピューターで悪用されるおそれのあるセキュリティの脆弱性です。
    • [サイン イン時にプロフィールを更新] - このオプションを有効化すると、ArcGIS Onlineユーザー プロフィールに保存されているアカウント情報 (フル ネームと電子メール アドレス) が、IDP から受け取った最新のアカウント情報と自動的に同期されます。このオプションを有効化すると、ユーザーがエンタープライズ ログイン アカウントを使用していつサイン インしたか、またはアカウントの作成時以降に IDP 情報が変更されているかどうかを組織サイトで確認できます。また、IDP 情報が変更されている場合、それに合わせてユーザーの ArcGIS Online アカウントのプロフィールを更新できます。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、ArcGIS Online グループにリンクできるようになります。このオプションを有効化した場合、エンタープライズ グループをリンクする権限を持つメンバーは、外部 SAML IDP によって管理されるエンタープライズ グループによりメンバーシップが制御される ArcGIS Online グループを作成できます。グループが外部 SAML ベースのグループに正常にリンクされると、グループ内の各ユーザーのメンバーシップが、そのユーザーがログインするたびに IDP から受信される SAML アサーションの応答に定義されます。

      確実に ArcGIS Online グループが外部エンタープライズ グループに正常にリンクされるようにするには、グループの作成者が、SAML アサーションで属性値として返される外部エンタープライズ グループの正確な名前を入力する必要があります。ユーザーのグループ メンバーシップを定義する属性に使用できる名前は次のとおりです (大文字と小文字の区別なし)。

      • グループ
      • グループ
      • ロール
      • MemberOf
      • member-of
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      たとえば、サイン インしているユーザーがエンタープライズ グループ「FullTimeEmployees」および「GIS Faculty」のメンバーであるとします。次に示すように、IDP から受信される SAML アサーションでは、グループ情報を含む属性の名前は MemberOf です。この例でエンタープライズ グループ GIS Faculty にリンクされているグループを作成するには、グループの作成者が、グループ名として「GIS Faculty」と入力する必要があります。

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • [ログアウト URL] - 前のステップで [1 つの ID プロバイダー] を選択した場合は、現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL を入力します。このプロパティが IDP のメタデータ ファイルで指定されている場合、自動的に設定されます。
    • [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Online の組織サイトを SAML IDP または SAML フェデレーションに対して一意に識別する場合は、この値を更新します。
  11. 完了したら、[保存] をクリックします。
  12. 構成プロセスを完了するには、ArcGIS Online の SP のメタデータをフェデレーションの検索サービス (該当する場合) およびユーザーの IDP に登録することで、これらとの信頼を確立します。このメタデータを取得するには、次の 2 つの方法があります。
    • [サービス プロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータ ファイルをダウンロードします。
    • メタデータ ファイルの URL を開き、XML ファイルとしてコンピューターに保存します。[エンタープライズ ログインの編集] ウィンドウの [サービス プロバイダーのメタデータをダウンロードするリンク] の下で、URL を表示してコピーすることができます。

    SP のメタデータを認定プロバイダーに登録する手順へのリンクは、上記の「SAML IDP」セクションにあります。[ID プロバイダーのフェデレーション] を選択した場合は、SP のメタデータをダウンロードした後、SAML フェデレーションの管理者に連絡して、SP のメタデータをフェデレーションの集約されたメタデータ ファイルに統合する手順を確認してください。また、IDP をフェデレーションに登録する手順についても管理者に問い合わせる必要があります。

エンタープライズ IDP の変更または削除

エンタープライズ IDP を設定した場合、現在登録されている IDP の横にある [その他のオプション] ボタン その他のオプション をクリックし、[編集] をクリックして、その設定を更新できます。[エンタープライズ ログインの編集] ウィンドウで設定を更新します。

現在登録されている IDP を削除するには、現在登録されている IDP の横にある [その他のオプション] ボタン その他のオプション をクリックして、[削除] をクリックします。IDP を削除した後は、必要に応じて新しい IDP または IDP のフェデレーションを設定できます。