NetIQ Access Manager の構成—ArcGIS Enterprise on Kubernetes

NetIQ Access Manager　3.2 以降のバージョンを SAML の　ArcGIS Enterprise ログインの ID プロバイダー (IDP) として構成できます。構成プロセスでは、主に次の 2 つの手順を実行します。まず、SAML IDP を ArcGIS Enterprise に登録し、次に、ArcGIS Enterprise を　SAML IDP に登録します。

注意:

SAML ログインをセキュアに構成するには、「SAML セキュリティのベストプラクティス」をご参照ください。

必要な情報

ArcGIS Enterprise は、ユーザーが SAML ログインを使用してサインインするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、フェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS Enterprise は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサインインすると、ArcGIS Enterprise 組織サイトによってユーザー名が NameID の新しいユーザーがユーザーストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アットマーク) です。その他の文字はエスケープされ、ArcGIS Enterprise によってアンダースコアが付加されたユーザー名が作成されます。

ArcGIS Enterprise は、ユーザーの電子メールアドレス、グループメンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。

NetIQ Access Manager を SAML IDP として ArcGIS Enterprise に登録する

組織サイトの管理者としてサインインしていることを確認します。
サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
ページの左側にある [セキュリティ] をクリックします。
[ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サインインオプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
注意:
ポータル用に登録できる SAML IDP または IDP のフェデレーションは 1 つだけです。
[自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分の SAML ログインを使用して組織サイトにサインインできます。ユーザーのアカウントは、最初にサインインしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンドラインユーティリティを使用して必要なアカウントを組織サイトに登録する必要があります。ユーザーは、アカウントが登録された時点で、組織サイトにサインインできるようになります。
ヒント:
少なくとも 1 つの　SAML アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。詳細な手順については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。
次の 3 つのオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
- [URL] - NetIQ Access Manager から ArcGIS Enterprise フェデレーションメタデータの URL にアクセスできる場合は、このオプションを選択します。 URL は、通常、NetIQ Access Manager が実行されているコンピューター上の https://<host>:<port>/nidp/saml2/metadata です。
  注意:
  SAML IDP に自己署名証明書が含まれている場合、メタデータの HTTPS URL を指定しようとしたときに、エラーが発生することがあります。このエラーは、ArcGIS Enterprise が ID プロバイダーの自己署名証明書を確認できないために発生します。代わりに、URL 内で HTTP を使用するか、下記の他のオプションのいずれかを使用するか、信頼できる証明書を使用して IDP を構成してください。
- [ファイル] - ArcGIS Enterprise から URL にアクセスできない場合は、このオプションを選択します。上記の URL からメタデータを取得し、XML ファイルとして保存した後、そのファイルをアップロードします。
- [設定パラメーター] - URL にもフェデレーションメタデータファイルにもアクセスできない場合は、このオプションを選択します。値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。これらの情報については、NetIQ Access Manager 管理者にお問い合わせください。
必要に応じて高度な設定を構成します。
- [暗号化アサーション] - NetIQ Access Manager アサーションの応答を暗号化するように SAML を構成する場合は、このオプションを有効化します。
- [署名付きリクエストの有効化] - NetIQ Access Manager に送信される SAML の認証リクエストに ArcGIS Enterprise が署名する場合は、このオプションを有効化します。
- [ID プロバイダーへのログアウトの反映] - ユーザーが Net IQ Access Manager からサインアウトする [ログアウト URL] を ArcGIS Enterprise で使用する場合は、このオプションを有効化します。使用する URL を [ログアウト URL] 設定に入力します。 IDP が [ログアウト URL] を署名する必要がある場合、[署名付きリクエストの有効化] をオンにする必要があります。
- [サインイン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のサインイン以降に変更された場合に ArcGIS Enterprise によって更新するには、このオプションを有効化します。
- [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのグループを、ArcGIS Enterprise グループにリンクできるようになります。
- [ログアウト URL] - 現在サインインしているユーザーがサインアウトするのに使用する IDP の URL。この値は、IDP のメタデータファイル内に定義されている場合には、自動的に入力されます。必要に応じて、この URL を更新することができます。
- [エンティティ ID] - 新しいエンティティ ID を使用してポータルを NetIQ Access Manager に対して一意に識別する場合は、この値を更新します。
[暗号化アサーション] と [署名付きリクエストの有効化] 設定では、ポータルキーストアの samlcert 証明書を使用します。新しい証明書を使用するには、samlcert 証明書を削除してから、「ポータルへの証明書のインポート」に記載された手順に従って新しい証明書を同じエイリアス (samlcert) で作成し、ポータルを再起動します。
[保存] をクリックします。

ArcGIS Enterprise を信頼できるサービスプロバイダーとして NetIQ Access Manager　に登録する

属性セットを構成します。
以下の手順に従って新しい属性セットを作成し、ユーザー認証後、SAML アサーションの一部として ArcGIS Enterprise に属性を送信できるようにします。 NetIQ Access Manager ですでに既存の属性セットを構成している場合、代わりにそのセットを使用することもできます。
1. NetIQ Access Manager 管理コンソールにサインインします。これは、通常 https://<host>:<port>/nps で利用できます。
2. NetIQ 管理コンソールで ID サーバーを参照し、[Shared Settings] タブをクリックします。作成済みの属性があれば、[Attribute Sets] の下に表示されます。 [New] をクリックし、新しい属性セットを作成します。 [Set Name] の下に「Portal」と入力して [Next] をクリックします。
3. 属性マッピングを定義し、それらを前のステップで作成した属性セットに追加します。
[New] リンクをクリックし、新しい属性マッピングを追加します。以下のスクリーンキャプチャは、givenName、email address、および uid の属性マッピングの追加を示しています。これらの例の代わりに、認証ソースから任意の属性を選択できます。
[Create Attribute Set] ウィザード内の [Finish] をクリックします。これによって、[Portal] という名前の新しい属性セットが作成されます。
以下の手順に従って、ArcGIS Enterprise を信頼できるプロバイダーとして NetIQ Access Manager に追加します。
1. NetIQ 管理コンソールにサインインし、ID サーバーを選択して、[Edit] リンクをクリックします。
  [General] タブが表示されます。
2. [SAML 2.0] タブをクリックし、[New] > [Service Provider] の順にクリックします。
  [Service Provider] ウィンドウでは、ArcGIS Enterprise を信頼できるサービスプロバイダーとして NetIQ Access Manager　に追加します。
3. [Create Trusted Service Provider] ウィザードで、[Source] として [Metadata Text] をクリックし、ArcGIS Enterprise の組織のメタデータを [Text] ボックス内に貼り付けます。
  ArcGIS Enterprise ポータルのメタデータを取得するには、管理者として組織サイトにサインインし、[設定] タブ、ページの左側にある [セキュリティ] タブの順にクリックします。 [ログイン] セクションの [SAML ログイン] の下で [サービスプロバイダーのメタデータのダウンロード] ボタンをクリックして、組織のメタデータファイルをダウンロードします。
  [次へ] → [完了] の順にクリックして、信頼できるサービスプロバイダーの追加を終了します。
以下の手順に従って、ArcGIS Enterprise と NetIQ Access Manager のフェデレーションプロパティを構成します。
1. [SAML 2.0] タブの [サービスプロバイダー] の下で、サービスプロバイダーのリンクをクリックします[構成] タブが開きます。 [メタデータ] タブをクリックし、ArcGIS Enterprise の組織のメタデータが正しいことを確認します。
2. [構成] タブをクリックして、構成の [信頼] セクションに戻ります。 NetIQ Access Manager を　SAML IDP として ArcGIS Enterprise に登録するときに高度な設定で [暗号化アサーション] を選択した場合は、[Encrypt assertions] オプションを選択します。
3. [属性] タブをクリックします。
  このステップでは、以前に作成したセットから属性マッピングを追加します。これによって NetIQ Access Manager は、SAML アサーションで属性を ArcGIS Enterprise に送信できるようになります。
  上のステップ 2.1 で定義した属性セットを選択します。属性セットを選択すると、そのセットに定義された属性が [利用可能] ボックスに表示されます。 givenName 属性と email 属性を [認証で送信] ボックスに移動します。
4. サービスプロバイダーの [構成] タブの下の [認証応答] タブをクリックし、以下のようにして認証応答を設定します。
  [バインド] ドロップダウンメニューから [ポスト] をクリックします。
  [名前識別子] 列で、[未指定] の横にあるチェックボックスをオンにします。
  [デフォルト] 列で、[未指定] の横にあるラジオボタンを選択します。
  [値] 列で、[LDAP 属性 UID] を選択します
  注意:
  認証ソースから NameID として送信される他の任意の一意の属性を、属性セットで構成できます。このパラメーターの値は、組織サイトでユーザー名として使用されます。
  [適用] をクリックします。
5. [構成] の下で [オプション] タブをクリックし、ユーザー認証方式 (たとえば、[名前/パスワード形式]) を選択して、[適用] をクリックします。
ID サーバーを参照して [すべて更新] リンクをクリックすることによって、NetIQ Access Manager を再起動します。