Okta を SAML の ArcGIS Enterprise ログインの ID プロバイダー (IDP) として構成できます。 構成プロセスでは、主に次の 2 つの手順を実行します。まず、SAML IDP を ArcGIS Enterprise に登録し、次に、ArcGIS Enterprise を SAML IDP に登録します。
注意:
SAML ログインをセキュアに構成するには、「SAML セキュリティのベスト プラクティス」をご参照ください。
必要な情報
ArcGIS Enterprise は、ユーザーが SAML ログインを使用してサイン インするときに、特定の属性情報を IDP から受信する必要があります。 NameID は、フェデレーションが機能するように、IDP が SAML レスポンスで送信しなければならない必須の属性です。 ArcGIS Enterprise は NameID の値を使用して指定ユーザーを一意に識別するため、ユーザーを一意に識別する定数値を使用することをお勧めします。 IDP からユーザーがサイン インすると、ArcGIS Enterprise 組織サイトによってユーザー名が NameID の新しいユーザーがユーザー ストアに作成されます。 NameID によって送信される値に使用できる文字は、英数字、_ (アンダースコア)、. (ドット) および @ (アット マーク) です。 その他の文字はエスケープされ、ArcGIS Enterprise によってアンダースコアが付加されたユーザー名が作成されます。
ArcGIS Enterprise は、ユーザーの電子メール アドレス、グループ メンバー、名と姓を、SAML ID プロバイダーから取得して入力することをサポートしています。
Okta を SAML IDP として ArcGIS Enterprise に登録する
- 組織サイトの管理者としてサイン インしていることを確認します。
- サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
- ページの左側にある [セキュリティ] をクリックします。
- [ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。 [プロパティの指定] ページで、組織名 (たとえば「City of Redlands」) を入力します。 ユーザーがポータル Web サイトにアクセスすると、このテキストが SAML サイン イン オプションの一部に表示されます (たとえば、「City of Redlands アカウントを使用」)。
注意:
ポータル用に登録できる SAML IDP または IDP のフェデレーションは 1 つだけです。
- [自動] または [管理者から招待されたとき] のいずれかを選択して、ユーザーが組織に加入できる方法を指定します。 1 番目のオプションを選択すると、ユーザーは、管理者から招待されなくても、自分の SAML ログインを使用して組織サイトにサイン インできます。 ユーザーのアカウントは、最初にサイン インしたときに自動的に組織サイトに登録されます。 2 番目のオプションを選択すると、管理者は、コマンド ライン ユーティリティを使用して必要なアカウントを組織サイトに登録する必要があります。 ユーザーは、アカウントが登録された時点で、組織サイトにサイン インできるようになります。
ヒント:
少なくとも 1 つの SAML アカウントをポータルの管理者として指定し、最初の管理者アカウントを降格するか削除することをお勧めします。 また、ポータル Web サイトの [アカウントの作成] ボタンを無効化することで、ユーザーが自分のアカウントを作成できないようにしておくこともお勧めします。 詳細な手順については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。
- 以下のオプションのいずれかを使用して、IDP のメタデータ情報を入力します。
- [ファイル] - Okta からフェデレーション メタデータ ファイルのコピーをダウンロードまたは取得し、[ファイル] オプションを使用して、そのファイルを ArcGIS Enterprise にアップロードします。
注意:
初めてサービス プロバイダーを Okta に登録する場合は、ArcGIS Enterprise を Okta に登録した後にメタデータ ファイルを取得する必要があります。 - [設定パラメーター] - URL にもフェデレーション メタデータ ファイルにもアクセスできない場合は、このオプションを選択します。 値を手動で入力して、要求されたパラメーター (BASE 64 形式でエンコードされたログイン URL および証明書) を指定します。 これらの情報については、Okta 管理者にお問い合わせください。
- [ファイル] - Okta からフェデレーション メタデータ ファイルのコピーをダウンロードまたは取得し、[ファイル] オプションを使用して、そのファイルを ArcGIS Enterprise にアップロードします。
- 必要に応じて高度な設定を構成します。
- [暗号化アサーション] - Okta の SAML アサーションのレスポンスを暗号化する場合は、このオプションを有効化します。
- [署名付きリクエストの有効化] - Okta に送信される SAML の認証リクエストに ArcGIS Enterprise が署名する場合は、このオプションを有効化します。
- [ID プロバイダーへのログアウトの反映] - ユーザーが ArcGIS Enterprise からサイン アウトするログアウト URL を Okta で使用する場合は、このオプションを有効化します。 使用する URL を [ログアウト URL] 設定に入力します。 IDP がログアウト URL を署名する必要がある場合、[署名付きリクエストの有効化] をオンにする必要があります。
- [サイン イン時にプロフィールを更新] - ユーザーの givenName および email address 属性が前回のサイン イン以降に変更された場合に ArcGIS Enterprise によって更新するには、このオプションを有効化します。
- [SAML ベースのグループのメンバーシップを有効化] - このオプションを有効化すると、組織メンバーが、グループ作成処理中に、指定された SAML ベースのグループを、ArcGIS Enterprise グループにリンクできるようになります。
- [ログアウト URL] - 現在サイン インしているユーザーがサイン アウトするのに使用する IDP の URL。
- [エンティティ ID] - 新しいエンティティ ID を使用してポータルを Okta に対して一意に識別する場合は、この値を更新します。
[暗号化アサーション] と [署名付きリクエストの有効化] 設定では、ポータル キーストアの samlcert 証明書を使用します。 新しい証明書を使用するには、samlcert 証明書を削除してから、「ポータルへの証明書のインポート」に記載された手順に従って新しい証明書を同じエイリアス (samlcert) で作成し、ポータルを再起動します。
- 完了したら、[保存] をクリックします。
- [サービス プロバイダーのメタデータのダウンロード] をクリックして、ポータルのメタデータ ファイルをダウンロードします。 このファイル内の情報は、信頼できるサービス プロバイダーとしてポータルを Okta に登録するために使用されます。
ArcGIS Enterprise を信頼できるサービス プロバイダーとして Okta に登録する
- 管理者権限のあるメンバーとして Okta 組織にログインします。
- [Applications] タブの [Add Application] ボタンをクリックします。
- [Create New App] をクリックして、[SAML 2.0] オプションを選択します。 [Create] をクリックします。
- [General Settings] で、ポータルのデプロイメントに使用する [App Name] を入力して、[Next] をクリックします。
- [Configure SAML] タブで、次の手順を実行します。
- [Single sign on URL] の値 (https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin など) を入力します。 この値は、ポータルからダウンロードされたサービス プロバイダーのメタデータ ファイルからコピーできます。
- [Audience URI] の値を入力します。 デフォルト値は portalhostname.domain.com.portalcontext に設定されています。 この値は、ポータルからダウンロードされたサービス プロバイダーのメタデータ ファイルからコピーできます。
- [Name ID format] は [Unspecified] のままにしておきます。
- [Advanced Settings] で、[Assertion Signature] オプションを [Unsigned] に変更します。
- [Attribute Statements] セクションで、次の属性ステートメントを追加します。
givenName を user.firstName に設定
surname を user.lastName に設定
email を user.email に設定
- [Next] をクリックして [Finish] をクリックします。
- 新規に作成した SAML アプリケーションの [Sign On] セクションが表示されます。 Okta IDP メタデータを取得するには、[Sign On] タブをクリックし、[Identity Provider metadata] リンクをクリックします。
- [People] タブを右クリックして、ポータル内でアクセス権を持つ Okta 認証済みユーザーを構成します。