Azure Active Directory の構成

Microsoft Azure Active Directory (AD) は、SAML (Security Assertion Markup Language) 準拠の ID プロバイダー (IDP) です。 これを、オンプレミスおよびクラウドで、Portal for ArcGIS の SAML ログインの IDP として構成できます。 構成プロセスでは、主に次の 2 つの手順を実行します。まず、Azure AD を ArcGIS Enterprise ポータルに登録し、次に Portal for ArcGIS を Azure AD ポータルに登録します。

注意:

SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。

Azure AD を ArcGIS Enterprise に登録するには、プレミアム Azure AD サブスクリプションが必要です。

必要な情報

Portal for ArcGIS は、ユーザーが SAML ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、Portal for ArcGIS とのフェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 Portal for ArcGISNameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、Portal for ArcGIS によってユーザー名が NameID の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、Portal for ArcGIS によってアンダースコアが付加されたユーザー名が作成されます。

Portal for ArcGIS は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

Azure AD をポータルの SAML IDP として登録する

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. [ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。 ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
    注意:

    ポータル用に登録できる SAML IDP または IDP のフェデレーションは 1 つだけです。

  5. [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分の SAML ログインを使用して組織サイトにサイン インできます。 ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンド ライン ユーティリティまたはサンプル Python スクリプトを使用して必要なアカウントを組織サイトに登録する必要があります。 ユーザーは、アカウントが登録された時点で、組織サイトにサイン インできるようになります。
    ヒント:

    少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。 また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。 詳細な手順については、「ポータルでの SAML 準拠のアイデンティティ プロバイダーの構成」をご参照ください。

  6. 以下のオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
    • [ファイル] - Azure AD メタデータ ファイルをダウンロードし、[ファイル] オプションを使用して、そのファイルを Portal for ArcGIS にアップロードします。
      注意:
      初めてサービス プロバイダーを Azure AD に登録する場合は、Portal for ArcGIS を Azure AD に登録した後にメタデータ ファイルを取得する必要があります。
    • [パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。 値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。 これらの情報については、Azure AD 管理者にお問い合わせください。
  7. 必要に応じて、以下の高度な設定を構成します。
    • [暗号化アサーション] - Azure AD の SAML アサーションのレスポンスを暗号化する場合は、このオプションを有効化します。
    • [署名付きリクエストの有効化] - Azure AD に送信される SAML の認証リクエストに Portal for ArcGIS が署名する場合は、このオプションを有効化します。
    • [ID プロバイダーへのログアウトの反映] - ユーザーが Azure AD からサイン アウトするログアウト URL を Portal for ArcGIS で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IDP がログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] をオンにします。
    • [サイン イン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のサイン イン以降に変更された場合に Portal for ArcGIS によって更新するには、このオプションを有効化します。
    • [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのエンタープライズ グループを、Portal for ArcGIS グループにリンクできるようになります。
    • [ログアウト URL] - 現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL。
    • [エンティティ ID] - 新しいエンティティ ID を使用してポータルを Azure AD に対して一意に識別する場合は、この値を更新します。

    [暗号化アサーション][署名付きリクエストの有効化] 設定では、ポータル キーストアの samlcert 証明書を使用します。 新しい証明書を使用するには、[samlcert] 証明書を削除してから、「[ポータルへの証明書のインポート]」に記載の手順に従って、同じエイリアス (samlcert) を使用して新しい証明書を作成し、ポータルを再起動します。

  8. 完了したら、[ID プロバイダーの更新] をクリックします。
  9. [サービス プロバイダーのメタデータのダウンロード] をクリックして、ポータルのメタデータ ファイルをダウンロードします。 このファイル内の情報は、信頼できるサービス プロバイダーとしてポータルを Azure AD に登録するために使用されます。

Portal for ArcGIS を信頼できるサービス プロバイダーとして Azure AD に登録する

  1. 管理者権限を持つメンバーとして Azure ポータルにログインします。
  2. Azure のドキュメントにある手順に従いPortal for ArcGIS をギャラリー以外のアプリケーションとして Azure AD に追加して、[シングル サインオン] を構成します。 Portal for ArcGIS からダウンロードした Metadata.xml ファイルを指定する必要があります。

    Azure AD の [エンタープライズ アプリケーション] リストに Portal for ArcGIS が表示されます。

  3. 必要に応じて、ユーザーをアプリケーションに追加および割り当てます
  4. 必要に応じて、ArcGIS Enterprise に渡される SAML 要求を構成およびカスタマイズします。 SAML レスポンスの対象属性は、givenName および emailaddress です。