OpenID Connect ログインの設定

組織固有のログイン (OpenID Connect ログインなど) を構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Online にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Online システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Online にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IDP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを直接入力します。 メンバーの認証情報の検証時に、IDP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせます。

ArcGIS Online は、OpenID Connect 認証プロトコルをサポートしており、OktaGoogle などの OpenID Connect をサポートしている IDP と統合されています。

OpenID Connect ログイン オプションのみを表示するか、OpenID Connect ログインを ArcGIS ログイン、SAML ログイン (構成済みの場合)、ソーシャル ログイン (構成済みの場合) のいずれかのオプションとともに表示するように、ArcGIS Online のサイン イン ページを構成することができます。

OpenID Connect ログインの構成

OpenID Connect IDP を ArcGIS Online で構成する手順を次に示します。 開始する前に、IDP の管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。 また、ArcGIS/idp GitHub リポジトリにある詳細なサードパーティの IDP 構成のドキュメントにアクセスおよび提供することもできます。

注意:

現時点で、ArcGIS Online 組織に構成できる OpenID Connect IDP は 1 つだけです。 今後、複数の IDP を構成する機能がサポートされる予定です。

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。

    特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。

    1. ページの横にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. 組織のクレジット使用制限が有効になっている場合は、新しいメンバーごとのクレジット割り当てを一定のクレジット数に設定するか、制限なしに設定します。
    6. 新しいメンバーに対して Esri アクセスを有効にするかどうかを選択します。

      Esri アクセスが有効化されているメンバーは、My Esri の使用、トレーニング コースの受講、Esri Community への参加、ArcGIS ブログへのコメントの追加、Esri からの電子メール連絡の管理を実行できます。 メンバーは、これらの Esri リソースへの自分のアクセスを有効/無効にすることができません。

  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [OpenID Connect ログイン] をクリックします。
  6. [ログイン ボタン ラベル] ボックスには、メンバーが OpenID Connect ログインを使用してサイン インする際に使用するボタンに表示するテキストを入力します。
  7. OpenID Connect ログイン アカウントのあるメンバーが組織サイトに加入する方法 (自動または招待) を選択します。

    自動オプションを使用すると、メンバーは OpenID Connect ログインでサイン インすることで、組織サイトに加入できます。 招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。 自動オプションを選択した場合は、組織に加入するようにメンバーを招待するか、OpenID Connect ID を使用してメンバーを直接追加することができます。

  8. [登録済みクライアント ID] ボックスに、IDP から取得したクライアント ID を入力します。
  9. [登録済みクライアント シークレット] ボックスに、IDP から取得したクライアント シークレットを入力します。
  10. [プロバイダーの範囲/権限] ボックスに、認証エンドポイントにリクエストとともに送信する範囲を入力します。
    注意:

    ArcGIS Online は、OpenID Connect の ID、メール アドレス、ユーザー プロフィールなどの属性に対応する範囲をサポートします。 OpenID Connect プロバイダーがサポートしていれば、範囲に openid profile email の標準値を使用できます。 サポートされる範囲については、OpenID Connect プロバイダーのマニュアルをご参照ください。

  11. [プロバイダー発行者 ID] ボックスに、OpenID Connect プロバイダーの識別子を入力します。
  12. OpenID Connect IDP の URL を次のように入力します。
    ヒント:

    以下の情報の入力方法については、よく知られている IDP 構成ドキュメント (例: https:/[IdPdomain]/.well-known/openid-configuration) をご参照ください。

    1. [OAuth 2.0 認証エンドポイント URL] に、IDP の OAuth 2.0 認証エンドポイントの URL を入力します。
    2. [トークン エンドポイント URL] に、アクセスおよび ID トークンを取得する際の IDP のトークン エンドポイントの URL を入力します。
    3. 必要に応じて、[JSON Web キー セット (JWKS) URL] に、IDP の JSON Web キー セット ドキュメントの URL を入力します。

      このドキュメントには、プロバイダーからの署名を検証する際に使用する署名キーが含まれています。 この URL は、[ユーザー プロファイル エンドポイント URL (推奨)] が構成されていない場合にのみ使用されます。

    4. [ユーザー プロファイル エンドポイント URL (推奨)] に、ユーザーの ID 情報を取得する際のエンドポイントを入力します。

      この URL を指定しない場合は、代わりに [JSON Web キー セット (JWKS) URL] が使用されます。

    5. 必要に応じて、[ログアウト エンドポイント URL (オプション)] に、認証サーバーのログアウト エンドポイントの URL を入力します。

      これは、メンバーが ArcGIS からサイン アウトする際に IDP からメンバーをサイン アウトさせるために使用します。

  13. クエリ文字列ではなくヘッダーにトークンを含めて送信する場合は、[ヘッダーのアクセス トークンを送信] 切り替えボタンをオンにします。
  14. 必要に応じて、[PKCE 拡張認証コード フローの使用] 切り替えボタンをオンにします。

    このオプションがオンの場合、OpenID Connect 認証コード フローのセキュリティを高めるために、Proof Key for Code Exchange (PKCE) プロトコルが使用されます。 すべての認証リクエストでは一意の code verifier が作成され、認証コードを取得するために、その変換される値であるコード チャレンジが認証サーバーに送信されます。 この変換に使用されるコード チャレンジ方法は S256 です。つまり、コード チャレンジは code verifier の Base64 URL エンコードの SHA-256 ハッシュです。

  15. 構成プロセスを完了するには、生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IDP の許可されたコールバック URL のリストに追加します。
  16. 完了したら、[保存] をクリックします。

OpenID Connect IDP の変更または削除

OpenID Connect IDP を設定した場合、現在登録されている IDP の横にある [ログインの構成] ボタンをクリックして、その設定を更新できます。 [OpenID Connect ログインの編集] ウィンドウで設定を更新します。

現在登録されている IDP を削除するには、IDP の横にある [ログインの構成] をクリックし、[OpenID Connect ログインの編集] ウィンドウで [ログインの削除] をクリックします。