OpenID Connect ログインの構成

組織固有のログイン (OpenID Connect ログインなど) を構成すると、組織サイトのメンバーは組織の内部システムにアクセスするときと同じログインを使用して ArcGIS Enterprise にサイン インすることが可能になります。 この方法を使用して組織固有のログイン アカウントを設定するメリットは、メンバーが ArcGIS Enterprise システム内で追加のログイン アカウントを作成しなくても済むことです。代わりに、ユーザーは、組織で設定済みのログイン アカウントを使用できます。 メンバーは、ArcGIS Enterprise にサイン インする際に、組織のログイン マネージャー (組織の ID プロバイダー (IdP) とも呼ばれる) に自分の組織固有のユーザー名とパスワードを入力します。 メンバーの認証情報の検証時に、IdP は、サイン インしようとしているメンバーの検証済み ID を ArcGIS Enterprise に知らせます。

ArcGIS Enterprise は、OpenID Connect 認証プロトコルをサポートしており、OktaGoogle などの OpenID Connect をサポートしている IdP と統合されています。

OpenID Connect ログイン オプションのみを表示するか、OpenID Connect ログインを ArcGIS ログインと SAML ログイン (構成済みの場合) とともに表示するように、組織のサイン イン ページを構成することができます。

OpenID Connect ログインの設定

OpenID Connect IdP を ArcGIS Enterprise で構成する手順を次に示します。 開始する前に、IdP の管理者に問い合わせて、構成に必要なパラメーターを取得することをお勧めします。 また、ArcGIS/idp GitHub リポジトリにある詳細なサードパーティの IdP 構成のドキュメントにアクセスおよび提供することもできます。

  1. 組織サイトの管理者としてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. メンバーを自動的に加入できるようにする場合は、まず新しいメンバーのデフォルト設定を構成します。

    特定のメンバーが組織に加入した後で、必要に応じて、そのメンバーに対してこれらの設定を変更することができます。

    1. ページの横にある [新しいメンバーのデフォルト設定] をクリックします。
    2. 新しいメンバーのデフォルトのユーザー タイプとロールを選択します。
    3. メンバーが組織に加入した時点でそのメンバーに自動的に割り当てられるアドオン ライセンスを選択します。
    4. メンバーが組織に加入した時点でそのメンバーが追加されるグループを選択します。
    5. メンバーが組織に加入した時点でそのメンバーが追加されるメンバー カテゴリを選択します。
  4. ページの横にある [セキュリティ] をクリックします。
  5. [ログイン] セクションの [OpenID Connect ログイン] をクリックします。
  6. [ログイン ボタン ラベル] ボックスには、メンバーが OpenID Connect ログインを使用してサイン インする際に使用するボタンに表示するテキストを入力します。
  7. OpenID Connect ログイン アカウントのあるメンバーが組織サイトに加入する方法 (自動または管理者による追加) を選択します。

    自動オプションを使用すると、メンバーは OpenID Connect ログインでサイン インすることで、組織サイトに加入できます。 もう一方のオプションでは、管理者が組織サイトにメンバーを追加できるようになります。 自動オプションを選択した場合でも、OpenID Connect ID を使用してメンバーを直接追加することができます。 詳細については、「ポータルへのメンバーの追加」をご参照ください。

  8. [登録済みクライアント ID] ボックスに、IdP から取得したクライアント ID を入力します。
  9. [認証方法] に次のいずれかを指定します。
    • [クライアント シークレット] ‐ IdP から取得した登録済みクライアント シークレットを入力します。
    • [公開キー/プライベート キー] ‐ 認証のために公開キーまたは公開キーの URL を生成するにはこのオプションを選択します。
      注意:

      新しい公開キー/プライベート キー ペアを生成すると、既存の公開キー/プライベート キーは無効になります。 IdP 構成が公開キー URL の代わりに保存済みの公開キーを使用している場合、新しいキー ペアを生成すると、IdP 構成で公開キーを更新してサイン インの中断を防ぐ必要があります。

  10. [プロバイダーの範囲/権限] ボックスに、認証エンドポイントにリクエストとともに送信する範囲を入力します。

    注意:
    ArcGIS Enterprise は、OpenID Connect の ID、メール アドレス、ユーザー プロフィールなどの属性に対応する範囲をサポートします。 OpenID Connect プロバイダーがサポートしていれば、範囲に openid profile email の標準値を使用できます。 サポートされる範囲については、OpenID Connect プロバイダーのマニュアルをご参照ください。

  11. [プロバイダー発行者 ID] ボックスに、OpenID Connect プロバイダーの識別子を入力します。
  12. OpenID Connect IdP の URL を次のように入力します。
    ヒント:

    以下の情報の入力方法については、よく知られている IdP 構成ドキュメント (例: https:/[IdPdomain]/.well-known/openid-configuration) をご参照ください。

    1. [OAuth 2.0 認証エンドポイント URL] に、IdP の OAuth 2.0 認証エンドポイントの URL を入力します。
    2. [トークン エンドポイント URL] に、アクセスおよび ID トークンを取得する際の IdP のトークン エンドポイントの URL を入力します。
    3. 必要に応じて、[JSON Web キー セット (JWKS) URL] に、IdP の JSON Web キー セット ドキュメントの URL を入力します。

      このドキュメントには、プロバイダーからの署名を検証する際に使用する署名キーが含まれています。 この URL は、[ユーザー プロファイル エンドポイント URL (推奨)] が構成されていない場合にのみ使用されます。

    4. [ユーザー プロファイル エンドポイント URL (推奨)] に、ユーザーの ID 情報を取得する際のエンドポイントを入力します。

      この URL を指定しない場合は、代わりに [JSON Web キー セット (JWKS) URL] が使用されます。

    5. 必要に応じて、[ログアウト エンドポイント URL (オプション)] に、認証サーバーのログアウト エンドポイントの URL を入力します。

      これは、メンバーが ArcGIS からサイン アウトする際に IdP からメンバーをサイン アウトさせるために使用します。

  13. クエリ文字列ではなくヘッダーにトークンを含めて送信する場合は、[ヘッダーのアクセス トークンを送信] 切り替えボタンをオンにします。
  14. 必要に応じて、[PKCE 拡張認証コード フローの使用] 切り替えボタンをオンにします。

    このオプションがオンの場合、OpenID Connect 認証コード フローのセキュリティを高めるために、Proof Key for Code Exchange (PKCE) プロトコルが使用されます。 すべての認証リクエストでは一意の code verifier が作成され、認証コードを取得するために、その変換される値であるコード チャレンジが認証サーバーに送信されます。 この変換に使用されるコード チャレンジ方法は S256 です。つまり、コード チャレンジは code verifier の Base64 URL エンコードの SHA-256 ハッシュです。

  15. 必要に応じて、[ArcGIS ユーザー名フィールド/請求名] に、ArcGIS ユーザー名の設定に使用される ID トークンからの請求名を入力します。

    入力する値は、ArcGIS ユーザー名の要件を満たす必要があります。 ArcGIS ユーザー名は、6 ~ 128 文字の英数字で指定する必要があり、使用できる文字は、ドット (.)、アンダースコア (_)、およびアット マーク (@) です。 その他の特殊文字や、アルファベット以外の文字、スペースは使用できません。

    6 文字未満の値を指定した場合や、値が既存のユーザー名と一致している場合は、入力された値に数字が追加されます。 このフィールドを空白のままにすると、可能であれば電子メールの接頭辞からユーザー名が作成されます。それ以外の場合は、ID 請求を使用してユーザー名が作成されます。

  16. 完了したら、[保存] をクリックします。
  17. [OpenID Connect ログイン] の横にある [ログインの構成] リンクをクリックします。
  18. 構成プロセスを完了するには、生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IdP の許可されたコールバック URL のリストに追加します。

OpenID Connect IdP の変更または削除

OpenID Connect IdP を設定した場合、現在登録されている IdP の横にある [ログインの構成] をクリックして、その設定を更新できます。 [OpenID Connect ログインの編集] ウィンドウで設定を更新します。

現在登録されている IdP を削除するには、IdP の横にある [ログインの構成] をクリックし、[OpenID Connect ログインの編集] ウィンドウで [ログインの削除] をクリックします。

注意:

OpenID Connect ログインは、すべてのメンバーがプロバイダーから削除されるまで削除できません。