SAML ログインの設定

SAML ログイン (これまでのエンタープライズ ログイン) などの組織固有のログインを構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Online にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Online システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Online にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IdP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを直接入力します。 メンバーの認証情報の検証時に、IdP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせます。

ArcGIS Online は、SAML ログイン アカウントの構成に SAML 2.0 をサポートしています。 SAML は、IdP (自分の組織) とサービス プロバイダー (SP) との間で認証/認可データを安全に交換するためのオープン規格です。 この場合、ArcGIS OnlineSAML 2.0 プロトコルに準拠し、SAML 2.0 をサポートする Active Directory Federation Services (AD FS)Google WorkspaceOkta などの IdP と連携します。

SAML ログイン オプションのみを表示するか、SAML ログインを ArcGIS ログイン、OpenID Connect ログイン (構成済みの場合)、ソーシャル ログイン (構成済みの場合) のいずれかのオプションとともに表示するように、ArcGIS Online のサイン イン ページを構成することができます。

SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

ほとんどの状況で、組織は 1 つの IdP を使用して SAML ログインを設定します。 この IdP は、複数のサービス プロバイダー間でホストされるセキュアなリソースにアクセスするユーザーを認証します。 IdP とすべてのサービス プロバイダーは、同じ組織で管理されます。

注意:

新しいバージョンの ArcGIS Online SAML 署名と暗号化証明書が利用できるようになった時点で、管理者は新しい証明書に更新する必要があります。

SAML ログインでユーザーを認証するもう 1 つの方法は、IdP の SAML ベースのフェデレーションを使用するように組織を構成することです。 複数の組織間の SAML ベースのフェデレーションでは、各メンバー組織は引き続き独自の IdP を使用するものの、フェデレーション内で排他的に機能するように 1 つ以上の SP を構成します。 フェデレーション内で共有されるセキュアなリソースにアクセスするには、ユーザーがホームの組織の IdP で ID を認証します。 正常に認証されたら、セキュアなリソースをホストする SP に、この検証済みの ID が提示されます。 ユーザーのアクセス権限の検証後、この SP がリソースへのアクセスを付与します。

SAML サイン イン操作

ArcGIS Online は、SP が開始する SAML ログインと IdP が開始する SAML ログインをサポートしています。 サイン イン操作はそれぞれに異なります。

SP が開始するログイン

SP が開始するログインでは、メンバーが ArcGIS Online の Web サイトに直接アクセスすると、そのメンバーの SAML SP ログインまたは ArcGIS ログインを使用してサイン インするオプションが表示されます。 メンバーは、SP オプションを選択すると、Web ページ (ログイン マネージャーと呼ばれる) にリダイレクトされ、SAML ユーザー名とパスワードを入力するように求められます。 メンバーの認証情報の検証時に、IdP はサイン インしようとしているメンバーの検証済み ID を ArcGIS Online に知らせ、そのメンバーが ArcGIS Online の Web サイトにもう一度リダイレクトされます。

メンバーが ArcGIS オプションを選択した場合は、ArcGIS Online のサイン イン ページが表示されます。 その後、メンバーは、ArcGIS ユーザー名とパスワードを入力して Web サイトにアクセスできます。

IdP が開始するログイン

IdP が開始するログインでは、メンバーは組織サイトのログイン マネージャーに直接アクセスし、自分のアカウントを使用してサイン インします。 メンバーが自分のアカウント情報を送信すると、IdP は SAML レスポンスを直接 ArcGIS Online に送信します。 その後、メンバーはサイン インし、ArcGIS Online の Web サイトにリダイレクトされ、再び組織にサイン インしなくても直ちにリソースにアクセスできます。

ArcGIS アカウントをログイン マネージャーから直接使用してサイン インするオプションは、IdP ログインでは使用できません。 ArcGIS アカウントを使用して ArcGIS Online にサイン インするには、メンバーは、ArcGIS Online の Web サイトに直接アクセスする必要があります。

SAML ログインの構成

ArcGIS Online を使用して IdP を構成する手順を次に示します。 開始する前に、IdP または IdP のフェデレーションの管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。 たとえば、組織サイトで Microsoft Entra ID を使用している場合、IdP 側で SAML を設定または有効化し、ArcGIS Online 側で構成に必要なパラメーターを取得する際の連絡窓口は、Microsoft Azure Active Directory を担当している管理者になります。 また、ArcGIS/idp GitHub リポジトリにある詳細なサードパーティの IdP 構成のドキュメントにアクセスおよび提供することもできます。

  1. 管理者またはセキュリティ設定を構成する権限を持つカスタム ロールとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。 特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。
    1. ページの横にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. 組織のクレジット使用制限が有効になっている場合は、新しいメンバーごとのクレジット割り当てを一定のクレジット数に設定するか、制限なしに設定します。
    6. 必要に応じて、Esri による新しいメンバーへのアクセスを有効にします。

      Esri アクセスが有効化されているメンバーは、My Esri の使用、トレーニング コースの受講、Esri Community への参加、ArcGIS ブログへのコメントの追加、Esri からの電子メール連絡の管理を実行できます。 メンバーは、これらの Esri リソースへの自分のアクセスを有効/無効にすることができません。

  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [新しい SAML ログイン] をクリックします。
  6. 表示されるウィンドウで、次のいずれかを選択します。
    • [1 つの ID プロバイダー] - ユーザーが、組織によって管理された既存の SAML 認証情報を使用してサイン インできるようにします。 これは、最も一般的な構成です。
    • [ID プロバイダーのフェデレーション] - 既存の組織間のフェデレーション (SWITCHaai フェデレーションなど) に属しているユーザーが、そのフェデレーションによってサポートされている認証情報を使用してサイン インできるようにします。
  7. [次へ] をクリックします。
  8. [1 つの ID プロバイダー] を選択した場合は、次の操作を行います。
    1. 組織の名前を入力します。
    2. SAML ログイン アカウントのあるメンバーが ArcGIS Online の組織サイトに加入する方法 (自動または招待) を選択します。 自動オプションを使用すると、メンバーは SAML ログインでサイン インすることで、組織サイトに加入できます。 招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。 自動オプションを選択した場合は、組織に加入するようにメンバーを招待するか、SAML ID を使用してメンバーを直接追加することができます。
    3. IdP に関するメタデータ情報を取得するために ArcGIS Online がアクセスするソースを指定することで、ArcGIS Online に IdP に関するメタデータ情報を入力します。

      この情報のソースとして、次の 3 つを指定できます。

      • [URL] - IdP に関するメタデータ情報を返す URL を入力します。
      • [ファイル] - IdP に関するメタデータ情報を含むファイルをアップロードします。
      • [設定パラメーター] - 以下のパラメーターを指定することによって、IdP に関するメタデータ情報を直接入力します。
        • [ログイン URL (リダイレクト)] - ArcGIS Online がメンバーのサイン インに使用する IdP の URL (HTTP リダイレクト バインドをサポートする) を入力します。
        • [ログイン URL (POST)] - ArcGIS Online がメンバーのサイン インに使用する IdP の URL (HTTP POST バインドをサポートする) を入力します。
        • [証明書] - BASE 64 形式でエンコードされた、IdP に対する証明書を指定します。 この証明書により、ArcGIS Online は、IdP から送信された SAML レスポンスのデジタル署名を検証することができます。

      注意:

      指定する必要のあるメタデータ情報のソースがわからない場合は、IdP の管理者に問い合わせてください。

  9. [ID プロバイダーのフェデレーション] を選択した場合は、次の操作を行います。
    1. フェデレーションの名前を入力します。
    2. SAML ログイン アカウントのあるメンバーが ArcGIS Online の組織サイトに加入する方法 (自動または招待) を選択します。 自動オプションを使用すると、メンバーは SAML ログインでサイン インすることで、組織サイトに加入できます。 招待オプションを使用する場合、組織サイトへの加入方法を記載した招待メールを ArcGIS Online で生成します。 自動オプションを選択した場合は、組織に加入するようにメンバーを招待するか、SAML ID を使用してメンバーを直接追加することができます。
    3. フェデレーションがホストする一元化された IdP 検出サービスへの URL を入力します (例: https://wayf.samplefederation.com/WAYF)。
    4. フェデレーション メタデータへの URL を入力します。フェデレーション メタデータとは、フェデレーションに参加しているすべての IdP と SP のメタデータの集約です。
    5. Base64 形式でエンコードされた証明書をコピーして貼り付けます。これにより、組織がフェデレーション メタデータの有効性を検証できます。
  10. [高度な設定を表示] をクリックして、次の高度な設定を必要に応じて構成します。
    • [暗号化アサーションの許可] - SAML IdP に ArcGIS Online が暗号化された SAML アサーションの応答をサポートしていることを示すには、このオプションを有効化します。 このオプションを有効化すると、IdP が SAML 応答のアサーション セクションを暗号化します。 HTTPS を利用して ArcGIS Online との間のすべての SAML トラフィックがすでに暗号化されていますが、このオプションにより別の暗号化レイヤーが追加されます。
      注意:

      一部の IdP は、デフォルトでアサーションを暗号化しません。 暗号化アサーションが有効になっていることを IdP 管理者に確認することをお勧めします。

    • [署名付きリクエストの有効化] - IdP に送信される SAML の認証リクエストに ArcGIS Online が署名する場合は、このオプションを有効化します。 ArcGIS Online から送信された初期ログイン要求に署名することにより、IdP は、すべてのログイン要求が信頼できる SP から生成されていることを確認できます。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが IdP からサイン アウトするログアウト URL を ArcGIS Online で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IdP がログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] オプションもオンにする必要があります。 このオプションが無効になっている場合、ArcGIS Online[サイン アウト] をクリックするとユーザーは ArcGIS Online からサイン アウトされますが、IdP からはサイン アウトされません。 ユーザーの Web ブラウザーのキャッシュがクリアされていない場合は、SAML ログイン オプションを使って ArcGIS Online にすぐにサイン インし直すと、SAML IdP にユーザー認証情報を提供せずに即時ログインされます。 これは、不正ユーザーが簡単にアクセスできたり、一般的に公開されているコンピューターで悪用されるおそれのあるセキュリティの脆弱性です。
    • [サイン イン時にプロフィールを更新] - このオプションを有効化すると、ArcGIS Online ユーザー プロフィールに保存されているアカウント情報 (フル ネームと電子メール アドレス) が、IdP から受け取った最新のアカウント情報と自動的に同期されます。 このオプションを有効化すると、ユーザーが SAML ログイン アカウントを使用していつサイン インしたか、またはアカウントの作成時以降に IdP 情報が変更されているかどうかを組織サイトで確認できます。また、IdP 情報が変更されている場合、それに合わせてユーザーの ArcGIS Online アカウントのプロフィールを更新できます。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織サイトのメンバーは、グループ作成処理中に、指定された SAML ベースのグループを ArcGIS Online グループにリンクできるようになります。 このオプションを有効化した場合、SAML グループをリンクする権限を持つ組織メンバーは、外部 SAML IdP によって管理される SAML グループによりメンバーシップが制御される ArcGIS Online グループを作成できます。 グループが外部の SAML ベースのグループに正常にリンクされると、グループ内の各ユーザーのメンバーシップが、そのユーザーがサイン インするたびに IdP から受信される SAML アサーションの応答に定義されます。

      確実に ArcGIS Online グループが外部 SAML グループに正常にリンクされるようにするには、SAML アサーションの属性値で返されるので、グループの作成者が外部 SAML グループの正確な値を入力する必要があります。 SAML IdP からの SAML アサーションの応答を表示して、グループの参照に使用される値を判定します。 ユーザーのグループ メンバーシップを定義する属性に使用できる名前 (大文字と小文字の区別なし) は次のとおりです。

      • グループ
      • グループ
      • ロール
      • ロール
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      たとえば、サイン インしているユーザーが SAML グループ「FullTimeEmployees」および「GIS Faculty」のメンバーであるとします。 次に示すように、IdP から受信される SAML アサーションでは、グループ情報を含む属性の名前は MemberOf です。 この例で SAML グループ GIS Faculty にリンクされているグループを作成するには、グループの作成者がグループ名として「GIS Faculty」と入力する必要があります。

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      ID 値を使用してグループを識別する別の例を次に示します。

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • [ログアウト URL] - 前のステップで [1 つの ID プロバイダー] を選択した場合は、現在サイン インしているユーザーがサイン アウトするのに使用する IdP の URL を入力します。 このプロパティが IdP のメタデータ ファイルで指定されている場合、自動的に設定されます。
    • [エンティティ ID] - 新しいエンティティ ID を使用して ArcGIS Online の組織サイトを SAML IdP または SAML フェデレーションに対して一意に識別する場合は、この値を更新します。
  11. 完了したら、[保存] をクリックします。
  12. 構成プロセスを完了するには、ArcGIS Online の SP のメタデータをフェデレーションの検索サービス (該当する場合) およびユーザーの IdP に登録することで、これらとの信頼を確立します。
    このメタデータを取得するには、次の 2 つの方法があります。
    • [サービス プロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータ ファイルをダウンロードします。
    • メタデータ ファイルの URL を開き、.xml ファイルとしてコンピューターに保存します。 [SAML ログインの編集] ウィンドウの [サービス プロバイダーのメタデータをダウンロードするリンク] の下で、URL を表示してコピーすることができます。

    SP のメタデータを認定プロバイダーに登録する手順へのリンクは、上記の「SAML IdP」セクションにあります。 [ID プロバイダーのフェデレーション] を選択した場合は、SP のメタデータをダウンロードした後、SAML フェデレーションの管理者に連絡して、SP のメタデータをフェデレーションの集約されたメタデータ ファイルに統合する手順を確認してください。 また、IdP をフェデレーションに登録する手順についても管理者に問い合わせる必要があります。

SAML IdP の変更または削除

SAML IdP を設定した場合、現在登録されている SAML IdP の横にある [ログインの構成] ボタンをクリックして、その設定を更新できます。 [SAML ログインの編集] ウィンドウで設定を更新します。

現在登録されている IdP を削除するには、IdP の横にある [ログインの構成] をクリックし、[SAML ログインの編集] ウィンドウで [ログインの削除] をクリックします。 IdP を削除した後は、必要に応じて新しい IdP または IdP のフェデレーションを設定できます。

SAML セキュリティのベスト プラクティス

SAML ログインを有効にするには、ArcGIS OnlineSAML IdP の SP として構成します。 セキュリティを確保するため、次のベスト プラクティスを検討してください。

SAML ログイン/ログアウト リクエストおよび SAML アサーションの応答へのデジタル署名

シグネチャは SAML メッセージの整合性を確保するために使用され、中間者 (MITM) 攻撃に対する保護措置として機能します。 SAML リクエストにデジタル署名することによって、そのリクエストが信頼できる SP から送信されることが保証され、IdP はサービス拒否 (DOS) 攻撃をより適切に扱うことができます。 SAML ログインを構成するときに、高度な設定の [署名付きリクエストの有効化] オプションをオンにします。

注意:

  • 署名付きリクエストを有効化するには、SP が使用する署名付きリクエストが更新されるか置き換えられるたびに、IdP を更新する必要があります。
  • 署名付きリクエストを有効化するには、IdP が使用する署名付きリクエストが更新されるか置き換えられるたびに、SP (ArcGIS Online) を更新する必要があります。

SAML アサーションの応答が送信中に変更されないようにするために、SAML 応答に署名するように SAML IdP を構成します。

IdP の HTTPS エンドポイントの使用

SP、IdP、ユーザーのブラウザー間で、内部ネットワークまたはインターネット上で送信される暗号化されていない形式の通信は、悪意のあるアクターによって傍受される可能性があります。 SAML IdP が HTTPS をサポートしている場合は、HTTPS エンドポイントを使用して、SAML ログイン時に送信されるデータの機密性を確保することをお勧めします。

SAML アサーションの応答の暗号化

SAML 通信に HTTPS を使用すると、IdP と SP の間で送信される SAML メッセージがセキュリティ保護されます。ただし、サイン インしたユーザーはこれまでどおり Web ブラウザーで SAML メッセージをデコードし表示できます。 アサーションの応答の暗号化を有効にすると、IdP と SP の間でやり取りされる重要な情報や機密情報をユーザーが表示できないようにすることができます。

注意:

暗号化アサーションを有効化するには、SP (ArcGIS Online) が使用する暗号化証明書が更新されるか置き換えられるたびに、IdP を更新する必要があります。

SAML IdP の署名と証明書の安全な管理

SAML アサーション応答にデジタル署名するための強力な暗号化鍵を持つ証明書を使用するように SAML IdP を構成することをお勧めします。 SAML IdP 証明書が更新された場合は、ただちに新しい証明書を使用して ArcGIS Online 組織の SAML 構成を更新し、引き続き SAML ログインが機能するようにする必要があります。 ArcGIS Online 組織に対して定期メンテナンスが行われている場合は、SAML IdP 証明書の更新をお勧めします。

注意:

SAML リクエストの署名とアサーションの応答の暗号化に使用される証明書は、ArcGIS Online によって管理され、毎年更新されます。

SAML IdP 管理者から BASE 64 形式でエンコードされた新しい IdP 証明書を入手したら、次の手順を実行して、組織の SAML ログイン構成の証明書を置き換えます。

  1. SAML IdP 管理者から最新の SAML IdP メタデータを取得します。
  2. 管理者またはセキュリティ設定を構成する権限を持つカスタム ロールとしてサイン インしていることを確認します。
  3. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションで、[SAML ログイン] 切り替えボタンの横の [ログインの構成] をクリックします。
  6. [SAML ログインの編集] ウィンドウで、[エンタープライズ ID プロバイダーのメタデータ ソース] の下の [ファイル] をクリックします。
  7. [ファイルの選択] をクリックし、SAML IdP 管理者から受け取った新しい IdP メタデータ ファイルを参照して選択します。
  8. [保存] をクリックし、新しい証明書を使用するように ArcGIS Online SAML ログイン構成を更新します。