Active Directory Federation Services の構成

Active Directory Federation Services (AD FS) オペレーティング システムの Microsoft Windows Server を SAML の ArcGIS Enterprise ログインの ID プロバイダー (IDP) として構成できます。 構成プロセスでは、主に次の 2 つの手順を実行します。まず、SAML IDP を ArcGIS Enterprise に登録し、次に、ArcGIS Enterprise を SAML IDP に登録します。

注意:

SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

必要な情報

ArcGIS Enterprise は、ユーザーが SAML ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、フェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS EnterpriseNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Enterprise 組織サイトによってユーザー名が NameID の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Enterprise によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Enterprise は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

AD FSSAML IDP としてポータルに登録する

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. [ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。 ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
    注意:

    ポータル用に登録できる SAML IDP または IDP のフェデレーションは 1 つだけです。

  5. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分の SAML ログインを使用して組織サイトにサイン インできます。 ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンド ライン ユーティリティを使用して必要なアカウントを組織サイトに登録する必要があります。 ユーザーは、アカウントが登録された時点で、組織サイトにサイン インできるようになります。
    ヒント:

    少なくとも 1 つの SAML アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。 また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。 詳細な手順については、「ポータルでの SAML 準拠のアイデンティティ プロバイダーの構成」をご参照ください。

  6. 以下のオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
    • [URL] - AD FS フェデレーション メタデータの URL にアクセスできる場合は、このオプションを選択して URL (たとえば、https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml) を入力します。
      注意:

      SAML IDP に自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定しようとしたときに、エラーが発生することがあります。 このエラーは、ArcGIS Enterprise が IDP の自己署名証明書を確認できないために発生します。 代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して IDP を構成してください。

    • [ファイル] - URL にアクセスできない場合は、このオプションを選択します。 AD FS からフェデレーション メタデータ ファイルのコピーをダウンロードまたは取得し、[ファイル] オプションを使用して、そのファイルを ArcGIS Enterprise ポータルにアップロードします。
    • [設定パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。 値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。 これらの情報については、AD FS 管理者にお問い合わせください。
  7. 必要に応じて高度な設定を構成します。
    • [暗号化アサーション] - AD FSSAML アサーションのレスポンスを暗号化する場合は、このオプションを有効化します。
    • [署名付きリクエストの有効化] - AD FS に送信される SAML の認証リクエストに ArcGIS Enterprise が署名する場合は、このオプションを有効化します。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが AD FS からサイン アウトするログアウト URL を ArcGIS Enterprise で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IDP が [ログアウト URL] を署名する必要がある場合、[署名付きリクエストの有効化] をオンにする必要があります。
      注意:

      デフォルトでは、AD FS は、SHA-256 を使用してログアウト リクエストを署名する必要があるため、[署名付きリクエストの有効化] 切り替えボタンおよび [SHA256 を使用した署名] を有効にする必要があります。

    • [サイン イン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のサイン イン以降に変更された場合に ArcGIS Enterprise によって更新するには、このオプションを有効化します。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのグループを、ArcGIS Enterprise グループにリンクできるようになります。
    • [ログアウト URL] - 現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL。
    • [エンティティ ID] - 新しいエンティティ ID を使用してポータルを AD FS に対して一意に識別する場合は、この値を更新します。

    [暗号化アサーション][署名付きリクエストの有効化] 設定では、ポータル キーストアの samlcert 証明書を使用します。 新しい証明書を使用するには、samlcert 証明書を削除してから、「ポータルへの証明書のインポート」に記載された手順に従って新しい証明書を同じエイリアス (samlcert) で作成し、ポータルを再起動します。

  8. [保存] をクリックします。

ポータルを信頼できるサービス プロバイダーとして AD FS に登録する

  1. AD FS 管理コンソールを開きます。
  2. [証明書利用者信頼] > [証明書利用者信頼の追加] の順に選択します。
  3. [証明書利用者信頼の追加] で、[開始] ボタンをクリックします。
  4. [データソースの選択] で、証明書利用者に関するデータを取得するためのオプション (URL からインポート、ファイルからインポート、手動入力) を選択します。

    URL およびファイル オプションからインポートする場合は、組織のメタデータを取得する必要があります。 メタデータ URL またはファイルにアクセスできない場合、手動で情報を入力できます。 場合によっては、手動で入力する方法が最も簡単です。

    • オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータのインポート

      このオプションは、ArcGIS Enterprise の組織サイトの URL メタデータを使用します。 この URL は、https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token> (例: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY) です。 https://organization.example.com/<context>/sharing/rest/generateToken を使用して、トークンを生成できます。 [Generate Token] ページで URL を入力する際には、[Webapp URL] フィールドで AD FS サーバーの完全修飾ドメイン名を指定します。 [IP Address][IP Address of this request's origin] などのその他のオプションの選択はサポートされておらず、それらを選択すると無効なトークンが生成される場合があります。

    • 証明書利用者についてのデータをファイルからインポートする

      このオプションは、ArcGIS Enterprise の組織サイトにある metadata.xml ファイルを使用します。 メタデータの *.xml ファイルを取得するには、次の 2 つの方法があります。

      • 組織ページの [設定] タブをクリックして、ページの左側にある [セキュリティ] をクリックします。 [ログイン] セクションの [SAML ログイン] の下で [サービス プロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータ ファイルをダウンロードします。
      • ArcGIS Enterprise の組織サイトにあるメタデータの URL を開き、*.xml ファイルとしてコンピューターに保存します。 この URL は、https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token> (例: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY) です。 https://organization.example.com/<context>/sharing/rest/generateToken を使用して、トークンを生成できます。 [Generate Token] ページで URL を入力する際には、[Webapp URL] フィールドで AD FS サーバーの完全修飾ドメイン名を指定します。 [IP Address][IP Address of this request's origin] などのその他のオプションの選択はサポートされておらず、それらを選択すると無効なトークンが生成される場合があります。
    • 証明書利用者についてのデータを手動で入力する

      このオプションを使用すると、[証明書利用者信頼の追加] によって、データを手動で入力するためのウィンドウが表示されます。 これについては、以下のステップ 6 〜 8 で説明します。

  5. [表示名の指定] に、表示名を入力します。

    表示名は、AD FS 内で証明書利用者を識別するために使用されます。 AD FS の外部では、識別されません。 これには、ArcGIS または ArcGIS 内の組織名 (ArcGIS—SamlTest など) のいずれかを設定します。

    ヒント:

    URL またはファイルからデータ ソースをインポートする場合、手順 9 に進みます

  6. (手動によるデータ ソースのみ) [プロファイルの選択] で、ご使用の環境内の適用可能な AD FS プロファイルを選択します。
  7. (手動によるデータ ソースのみ) [URL の構成] で、[SAML 2.0 WebSSO プロトコルのサポートを有効にする] チェックボックスをオンにして、証明書利用者の SAML 2.0 SSO サービスの URL を入力します。

    証明書利用者の URL は、ユーザーを認証した後に AD FSSAML レスポンスを送信する URL である必要があります。 これは、HTTPS URL: https://organization.example.com/<context>/sharing/rest/oauth2/saml/signin です。

  8. [(手動によるデータ ソースのみ)] [識別子の構成] で、証明書利用者の信頼の識別子の URL を入力します。

    これは、portal.domain.com.arcgis です。

  9. [発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択します。
  10. [信頼追加の準備完了] で、証明書利用者のすべての設定を確認します。

    メタデータの URL は、URL からデータ ソースをインポートする場合のみ指定されます。

    ヒント:

    [証明書利用者を監視する] オプションを有効にすると、AD FS は、定期的にフェデレーション メタデータ URL をチェックし、それを証明書利用者の信頼の現在の状態と比較します。 ただし、フェデレーション メタデータ URL 内のトークンの有効期限が切れると、この監視は失敗します。 この失敗は、AD FS のイベント ログに記録されます。 失敗に関するメッセージを抑制するには、監視を無効にするか、トークンを更新することをお勧めします。

  11. [次へ] をクリックします。
  12. [完了] のチェックボックスをオンにした場合、[閉じる] ボタンをクリックすると、[要求規則の編集] ダイアログ ボックスが自動的に開きます。
  13. 要求規則を設定するには、[要求規則の編集] ウィザードを開いて、[規則の追加] をクリックします。
  14. [規則テンプレートの選択] ステップで、作成する要求規則の [LDAP 属性を要求として送信] テンプレートを選択します。 [次へ] をクリックします。
  15. [要求規則の構成] ステップで、以下の指示に従って要求規則を編集します。
    1. [要求規則名] で、規則の名前を指定します (「[DefaultClaims]」など)。
    2. [属性ストア] で、[Active Directory] を選択します。
    3. [LDAP 属性の出力方向の要求の種類への関連付け] で、ドロップダウン メニューから値を選択して、LDAP 属性が、規則から発行される出力方向の要求の種類に関連付けられる方法を指定します。

      次の表をガイドとして使用してください。

      LDAP 属性出力方向の要求の種類

      一意のユーザー名を含む LDAP 属性 ([User-Principal-Name][SAM-Account-Name] など)

      名前 ID

      Given-Name

      名前

      Surname

      E-Mail-Addresses

      電子メール アドレス

      Token-Groups - 名前の指定なし

      グループ

    規則の構成 - デフォルトの要求

    注意:

    ドロップダウン メニューから値を選択する代わりに値を手動で入力すると、ユーザー定義の属性が作成され、エラーが発生する可能性があります。 最適な結果を得るためには、ドロップダウン メニューを使用して値を指定してください。

    この規則の場合、AD FS は、ユーザーを認証した後、givennamesurnameemail、および group membership という名前の属性を ArcGIS Enterprise に送信します。 ArcGIS Enterprise は、次に、givennamesurname、および email 属性で受信した値を使用して、ユーザー アカウントの姓名および電子メール アドレスを入力します。 グループ属性の値を使って、ユーザーの所属グループを更新します。

    注意:

    AD FS を SAML IDP として登録する際、[SAML ベースのグループのメンバーシップを有効化] オプションを選択すると、各ユーザーのメンバーシップを、ユーザーが正常にサイン インする都度、IDP から受け取った SAML アサーション レスポンスから取得するようになります。 SAML グループのリンクについては、「グループの作成」をご参照ください。

  16. [完了] をクリックすると、ArcGIS Enterprise が証明書利用者として含まれるように AD FS の IDP を構成する手順が完了します。