OpenID Connect ログインの設定

組織固有のログイン (OpenID Connect ログインなど) を構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Online にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Online システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Online にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IDP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを直接入力します。 メンバーの認証情報の検証時に、IDP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせます。

ArcGIS Online は、OpenID Connect 認証プロトコルをサポートしており、OktaGoogle などの OpenID Connect をサポートしている IDP と統合されています。

OpenID Connect ログイン オプションのみを表示するか、OpenID Connect ログインを ArcGIS ログイン、SAML ログイン (構成済みの場合)、ソーシャル ログイン (構成済みの場合) のいずれかのオプションとともに表示するように、ArcGIS Online のサイン イン ページを構成することができます。

OpenID Connect ログインの構成

OpenID Connect を使用して ArcGIS Online IDP を構成する手順を次に示します。 開始する前に、IDP の管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。

メモ:

現時点で、OpenID Connect に構成できる ArcGIS Online IDP は 1 つだけです。 今後、複数の IDP を構成する機能がサポートされる予定です。

  1. ArcGIS Online 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。 特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。
    1. ページの左側にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. 組織のクレジット使用制限が有効になっている場合は、新しいメンバーごとのクレジット割り当てを一定のクレジット数に設定するか、制限なしに設定します。
    6. 新しいメンバーに対して Esri アクセスを有効にするかどうかを選択します。

      Esri アクセスが有効化されているメンバーは、My Esri の使用、トレーニング コースの受講、コミュニティおよびフォーラム (GeoNet) への参加、ArcGIS ブログへのコメントの追加、Esri からの電子メール連絡の管理を実行できます。 メンバーは、これらの Esri リソースへの自分のアクセスを有効/無効にすることができません。

  4. ページの左側にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [OpenID Connect ログイン] で、[OpenID Connect ログインの設定] をクリックします。
  6. [ログイン ボタン ラベル] ボックスには、メンバーが OpenID Connect ログインを使用してサイン インする際に使用するボタンに表示するテキストを入力します。
  7. OpenID Connect ログイン アカウントのあるメンバーが ArcGIS Online の組織サイトに加入する方法 (自動または招待) を選択します。 自動オプションを使用すると、メンバーは OpenID Connect ログインでサイン インすることで、組織サイトに加入できます。 招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。 自動オプションを選択した場合は、組織に加入するようにメンバーを招待するか、OpenID Connect ID を使用してメンバーを直接追加することができます。
  8. [登録済みクライアントID] ボックスに、IDP から取得したクライアント ID を入力します。
  9. [登録済みクライアント シークレット] ボックスに、IDP から取得したクライアント シークレットを入力します。
  10. [プロバイダーの範囲/権限] ボックスに、認証エンドポイントにリクエストとともに送信する範囲を入力します。 入力しない場合は、電子メールのプロフィール範囲がデフォルトで送信されます。
  11. [プロバイダー発行者 ID] ボックスに、OpenID Connect プロバイダーの識別子を入力します。
  12. OpenID Connect IDP の URL を次のように入力します。
    ヒント:

    以下の情報の入力方法については、よく知られている IDP 構成ドキュメント (例: https:/[IdPdomain]/.well-known/openid-configuration) をご参照ください。

    1. [OAuth 2.0 認証エンドポイント URL] に、IDP の OAuth 2.0 認証エンドポイントの URL を入力します。
    2. [トークン エンドポイント URL] に、アクセスおよび ID トークンを取得する際の IDP のトークン エンドポイントの URL を入力します。
    3. [JSON Web キー セット (JWKS) URL] に、必要に応じて IDP の JSON Web キー セット ドキュメントの URL を入力します。 このドキュメントには、プロバイダーからの署名を検証する際に使用する署名キーが含まれています。 この URL は、[ユーザー プロファイル エンドポイント URL (推奨)] が構成されていない場合にのみ使用されます。
    4. [ユーザー プロファイル エンドポイント URL (推奨)] に、ユーザーの ID 情報を取得する際のエンドポイントを入力します。 この URL を指定しない場合は、代わりに [JSON Web キー セット (JWKS) URL] が使用されます。
    5. [ログアウト エンドポイント URL (オプション)] に、必要に応じて認証サーバーのログアウト エンドポイントの URL を入力します。 これは、メンバーが ArcGIS からサインアウトする際に IDP からメンバーをサイン アウトさせるために使用します。
  13. クエリ文字列ではなくヘッダーにトークンを含めて送信する場合は、[ヘッダーのアクセス トークンを送信] トグル ボタンをオンにします。
  14. 完了したら、[保存] をクリックします。
  15. 構成プロセスを完了するには、[ログイン] セクションで生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IDP の許可されたコールバック URL のリストに追加します。

OpenID Connect IDP の変更または削除

OpenID Connect IDP を設定した場合、現在登録されている IDP の横にある [編集] ボタン 編集 をクリックして、その設定を更新できます。 [OpenID Connect ログインの編集] ウィンドウで設定を更新します。

現在登録されている IDP を削除するには、IDP の横にある [編集] ボタン 編集 をクリックし、[OpenID Connect ログインの編集] ウィンドウで [ログインの削除] をクリックします。