OpenID Connect ログインの構成

組織固有のログイン (OpenID Connect ログインなど) を構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Enterprise にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Enterprise システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Enterprise にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IDP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを入力します。 メンバーの認証情報の検証時に、IDP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Enterprise に知らせます。

ArcGIS Enterprise は、OpenID Connect 認証プロトコルをサポートしており、OktaGoogle などの OpenID Connect をサポートしている IDP と統合されています。

OpenID Connect ログイン オプションのみを表示するか、OpenID Connect ログインを ArcGIS ログインと SAML ログイン (構成済みの場合) とともに表示するように、組織のサイン イン ページを構成することができます。

OpenID Connect ログインの設定

OpenID Connect IDP を ArcGIS Enterprise で構成する手順を次に示します。 開始する前に、IDP の管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。

    特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。

    1. ページの横にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [OpenID Connect ログイン] をクリックします。
  6. [ログイン ボタン ラベル] ボックスには、メンバーが OpenID Connect ログインを使用してサイン インする際に使用するボタンに表示するテキストを入力します。
  7. OpenID Connect ログイン アカウントのあるメンバーが組織サイトに加入する方法 (自動または管理者による追加) を選択します。

    自動オプションを使用すると、メンバーは OpenID Connect ログインでサイン インすることで、組織サイトに加入できます。 もう一方のオプションでは、管理者が組織サイトにメンバーを追加できるようになります。 自動オプションを選択した場合でも、OpenID Connect ID を使用してメンバーを直接追加することができます。

  8. [登録済みクライアント ID] ボックスに、IDP から取得したクライアント ID を入力します。
  9. [登録済みクライアント シークレット] ボックスに、IDP から取得したクライアント シークレットを入力します。
  10. [プロバイダーの範囲/権限] ボックスに、認証エンドポイントにリクエストとともに送信する範囲を入力します。

    注意:
    ArcGIS Enterprise は、OpenID Connect の ID、メール アドレス、ユーザー プロフィールなどの属性に対応する範囲をサポートします。 OpenID Connect プロバイダーがサポートしていれば、範囲に openid profile email の標準値を使用できます。 サポートされる範囲については、OpenID Connect プロバイダーのマニュアルをご参照ください。

  11. [プロバイダー発行者 ID] ボックスに、OpenID Connect プロバイダーの識別子を入力します。
  12. OpenID Connect IDP の URL を次のように入力します。
    ヒント:

    以下の情報の入力方法については、よく知られている IDP 構成ドキュメント (例: https:/[IdPdomain]/.well-known/openid-configuration) をご参照ください。

    1. [OAuth 2.0 認証エンドポイント URL] に、IDP の OAuth 2.0 認証エンドポイントの URL を入力します。
    2. [トークン エンドポイント URL] に、アクセスおよび ID トークンを取得する際の IDP のトークン エンドポイントの URL を入力します。
    3. 必要に応じて、[JSON Web キー セット (JWKS) URL] に、IDP の JSON Web キー セット ドキュメントの URL を入力します。

      このドキュメントには、プロバイダーからの署名を検証する際に使用する署名キーが含まれています。 この URL は、[ユーザー プロファイル エンドポイント URL (推奨)] が構成されていない場合にのみ使用されます。

    4. [ユーザー プロファイル エンドポイント URL (推奨)] に、ユーザーの ID 情報を取得する際のエンドポイントを入力します。

      この URL を指定しない場合は、代わりに [JSON Web キー セット (JWKS) URL] が使用されます。

    5. 必要に応じて、[ログアウト エンドポイント URL (オプション)] に、認証サーバーのログアウト エンドポイントの URL を入力します。

      これは、メンバーが ArcGIS からサイン アウトする際に IDP からメンバーをサイン アウトさせるために使用します。

  13. クエリ文字列ではなくヘッダーにトークンを含めて送信する場合は、[ヘッダーのアクセス トークンを送信] 切り替えボタンをオンにします。
  14. 必要に応じて、[PKCE 拡張認証コード フローの使用] 切り替えボタンをオンにします。

    このオプションがオンの場合、OpenID Connect 認証コード フローのセキュリティを高めるために、Proof Key for Code Exchange (PKCE) プロトコルが使用されます。 すべての認証リクエストでは一意の code verifier が作成され、認証コードを取得するために、その変換される値であるコード チャレンジが認証サーバーに送信されます。 この変換に使用されるコード チャレンジ方法は S256 です。つまり、コード チャレンジは code verifier の Base64 URL エンコードの SHA-256 ハッシュです。

  15. 構成プロセスを完了するには、生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IDP の許可されたコールバック URL のリストに追加します。
  16. 完了したら、[保存] をクリックします。

OpenID Connect IDP の変更または削除

OpenID Connect IDP を設定した場合、現在登録されている IDP の横にある [ログインの構成] をクリックして、その設定を更新できます。 [OpenID Connect ログインの編集] ウィンドウで設定を更新します。

現在登録されている IDP を削除するには、IDP の横にある [ログインの構成] をクリックし、[OpenID Connect ログインの編集] ウィンドウで [ログインの削除] をクリックします。