OpenID Connect ログインの設定

組織固有のログイン (OpenID Connect ログインなど) を構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Online にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Online システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Online にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IdP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを入力します。 メンバーの認証情報の検証時に、IdP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせます。

ArcGIS Online は、OpenID Connect 認証プロトコルをサポートしており、OktaGoogle などの OpenID Connect をサポートしている IdP と統合されています。

OpenID Connect ログイン オプションのみを表示するか、OpenID Connect ログインを ArcGIS ログイン、SAML ログイン (構成済みの場合)、ソーシャル ログイン (構成済みの場合) のいずれかのオプションとともに表示するように、ArcGIS Online のサイン イン ページを構成することができます。

OpenID Connect ログインの構成

OpenID Connect IdP を ArcGIS Online で構成する手順を次に示します。 開始する前に、IdP の管理者に問い合わせて、構成に必要なパラメーターを取得することをおすすめします。 また、ArcGIS/idp GitHub リポジトリにある詳細なサードパーティの IdP 構成のドキュメントにアクセスおよび提供することもできます。

注意:

現時点で、ArcGIS Online 組織に構成できる OpenID Connect IdP は 1 つだけです。 今後、複数の IdP を構成する機能がサポートされる予定です。

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. 招待メールを送信せずにメンバーを自動的に加入できるようにする場合は、はじめに新しいメンバーのデフォルト設定を構成します。 そうでない場合は、この手順をスキップしてください。

    特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。

    1. ページの横にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. 組織のクレジット使用制限が有効になっている場合は、新しいメンバーごとのクレジット割り当てを一定のクレジット数に設定するか、制限なしに設定します。
    6. 新しいメンバーに対して Esri アクセスを有効にするかどうかを選択します。

      Esri アクセスが有効化されているメンバーは、My Esri の使用、トレーニング コースの受講、Esri Community への参加、ArcGIS ブログへのコメントの追加、Esri からの電子メール連絡の管理を実行できます。 メンバーは、これらの Esri リソースへの自分のアクセスを有効/無効にすることができません。

  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [OpenID Connect ログイン] をクリックします。
  6. [ログイン ボタン ラベル] ボックスには、メンバーが OpenID Connect ログインを使用してサイン インする際に使用するボタンに表示するテキストを入力します。
  7. OpenID Connect ログイン アカウントのあるメンバーが組織サイトに加入する方法 (自動または招待) を選択します。

    [自動] オプションを使用すると、メンバーは OpenID Connect ログインでサイン インすることで、組織サイトに加入できます。 [管理者から招待されたとき] オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。 [自動] オプションを選択した場合は、組織に加入するようにメンバーを招待するか、OpenID Connect ID を使用してメンバーを直接追加することができます。 詳細については、「メンバーの招待と追加」をご参照ください。

  8. [登録済みクライアント ID] ボックスに、IdP から取得したクライアント ID を入力します。
  9. [認証方法] に次のいずれかを指定します。
    • [クライアント シークレット] ‐ IdP から取得した登録済みクライアント シークレットを入力します。
    • [公開キー/プライベート キー] ‐ 認証のために公開キーまたは公開キーの URL を生成するにはこのオプションを選択します。
      注意:

      新しい公開キー/プライベート キー ペアを生成すると、既存の公開キー/プライベート キーは無効になります。 IdP 構成が公開キー URL の代わりに保存済みの公開キーを使用している場合、新しいキー ペアを生成すると、IdP 構成で公開キーを更新してサイン インの中断を防ぐ必要があります。

  10. [プロバイダーの範囲/権限] ボックスに、認証エンドポイントにリクエストとともに送信する範囲を入力します。
    注意:

    ArcGIS Online は、OpenID Connect の ID、メール アドレス、ユーザー プロフィールなどの属性に対応する範囲をサポートします。 OpenID Connectプロバイダーがサポートしていれば、範囲に openid profile email の標準値を使用できます。 サポートされる範囲については、OpenID Connect プロバイダーのマニュアルをご参照ください。

  11. [プロバイダー発行者 ID] ボックスに、OpenID Connect プロバイダーの識別子を入力します。
  12. OpenID Connect IdP の URL を次のように入力します。
    ヒント:

    以下の情報の入力方法については、よく知られている IdP 構成ドキュメント (例: https:/[IdPdomain]/.well-known/openid-configuration) をご参照ください。

    1. [OAuth 2.0 認証エンドポイント URL] に、IdP の OAuth 2.0 認証エンドポイントの URL を入力します。
    2. [トークン エンドポイント URL] に、アクセスおよび ID トークンを取得する際の IdP のトークン エンドポイントの URL を入力します。
    3. 必要に応じて、[JSON Web キー セット (JWKS) URL] に、IdP の JSON Web キー セット ドキュメントの URL を入力します。

      このドキュメントには、プロバイダーからの署名を検証する際に使用する署名キーが含まれています。 この URL は、[ユーザー プロファイル エンドポイント URL (推奨)] が構成されていない場合にのみ使用されます。

    4. [ユーザー プロファイル エンドポイント URL (推奨)] に、ユーザーの ID 情報を取得する際のエンドポイントを入力します。

      この URL を指定しない場合は、代わりに [JSON Web キー セット (JWKS) URL] オプションが使用されます。

    5. 必要に応じて、[ログアウト エンドポイント URL (オプション)] に、認証サーバーのログアウト エンドポイントの URL を入力します。

      これは、メンバーが ArcGIS からサイン アウトする際に IdP からメンバーをサイン アウトさせるために使用します。

  13. クエリ文字列ではなくヘッダーにトークンを含めて送信する場合は、[ヘッダーのアクセス トークンを送信] 切り替えボタンをオンにします。
  14. 必要に応じて、[PKCE 拡張認証コード フローの使用] 切り替えボタンをオンにします。

    このオプションがオンの場合、OpenID Connect 認証コード フローのセキュリティを高めるために、PKCE (Proof Key for Code Exchange) プロトコルが使用されます。 すべての認証リクエストでは一意の code verifier が作成され、認証コードを取得するために、その変換される値であるコード チャレンジが認証サーバーに送信されます。 この変換に使用されるコード チャレンジ方法は S256 です。つまり、コード チャレンジは code verifier の Base64 URL エンコードの SHA-256 ハッシュです。

  15. 必要に応じて、[グループのメンバーシップに基づいて OpenID Connect ログインを有効化] ボタンをオンにし、メンバーが、グループ作成処理中に、指定された OpenID Connect ベースのグループを ArcGIS Online グループにリンクできるようにします。

    このオプションを有効化した場合、OpenID Connect グループをリンクする権限を持つ組織メンバーは、外部的に管理された OpenID Connect ID プロバイダーによりメンバーシップが制御される ArcGIS Online グループを作成できます。 グループが外部の OpenID Connect ベースのグループに正常にリンクされると、グループ内の各ユーザーのメンバーシップが、そのユーザーがサイン インするたびに ID プロバイダーから受信される OpenID Connect グループ要求応答に定義されます。

    確実に ArcGIS Online グループが外部 OpenID Connect グループに正常にリンクされるようにするには、OpenID Connect グループ要求の属性値で返されるので、グループの作成者が外部 OpenID Connect グループの正確な値を入力する必要があります。 OpenID Connect ID プロバイダーからのグループ要求応答を表示して、グループの参照に使用される値を判定します。

    [グループのメンバーシップに基づいて OpenID Connect ログインを有効化] ボタンをオンにした場合、[プロバイダーの範囲/権限] ボックスにグループ スコープを必ず追加してください。 サポートの範囲については、OpenID Connect プロバイダーのマニュアルをご参照ください。

  16. 必要に応じて、[ArcGIS ユーザー名の要求] に、ArcGIS ユーザー名の設定に使用する ID トークンからの請求名を入力します。

    入力する値は、ArcGIS ユーザー名の要件を満たす必要があります。 ArcGIS ユーザー名は、6 ~ 128 文字の英数字で指定する必要があり、使用できる文字は、ドット (.)、アンダースコア (_)、およびアット マーク (@) です。 その他の特殊文字や、アルファベット以外の文字、スペースは使用できません。

    6 文字未満の値を指定した場合や、値が既存のユーザー名と一致している場合は、入力された値に数字が追加されます。 このフィールドを空白のままにすると、可能であれば電子メールの接頭辞からユーザー名が作成されます。それ以外の場合は、ID 請求を使用してユーザー名が作成されます。

  17. OpenID Connect ログインを使用している場合、OpenID Connect プロバイダーから ID トークンで送信されるデフォルトの件名 ID (sub) 属性をユーザー ID として保持します。 ユーザー ID にカスタム要求を使用する必要がある場合、ユーザー ID の設定に使用される ID トークンから要求名を指定します。
    注意:

    ユーザー ID の要求は、OpenID Connect ログインの初期設定時に、一度だけ構成する必要があります。 OpenID Connect ログインを設定後に、デフォルト値からカスタム値または、あるカスタム値から別のカスタム値にユーザー ID を変更すると、変更前に作成したユーザー アカウントは使用できなくなります。

  18. 完了したら、[保存] をクリックします。
  19. [OpenID Connect ログイン] の横にある [ログインの構成] リンクをクリックします。
  20. 構成プロセスを完了するには、生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IdP の許可されたコールバック URL のリストに追加します。 該当する場合、OpenID Connect IdP の公開キーまたは公開キーの URL をコピーします。

OpenID Connect IdP の変更または削除

OpenID Connect IdP を設定した場合、現在登録されている IdP の横にある [ログインの構成] をクリックして、その設定を更新できます。 [OpenID Connect ログインの編集] ウィンドウで設定を更新します。

現在登録されている IdP を削除するには、IdP の横にある [ログインの構成] をクリックし、[OpenID Connect ログインの編集] ウィンドウで [ログインの削除] をクリックします。

注意:

OpenID Connect ログインは、すべてのメンバーがプロバイダーから削除されるまで削除できません。