はじめに
SAML 認証はインターネット ドメイン間でユーザー認証を行なうための XML (マークアップ言語) をベースにした標準規格となります。一度のログインで複数のサービスにログインできるシングルサインオンを実現できます。SAML 認証では、ユーザー、サービス プロバイダー、ID プロバイダーの三者間で認証情報をやり取りしていきます。サービス プロバイダーと ID プロバイダーは直接通信できなくても構いません。
ここでは、ArcGIS Enterprise 11.0 を利用して、AWS Directory Service の Managed Microsoft AD に Active Directory Federation Service (以下 AD FS) を構成して、SAML 認証を試してみます。ここでは詳しく説明しませんが、ユーザーが ArcGIS Enterprise にアクセスして SSO するまでの流れを下記に示します (ArcGIS Online/ArcGIS Enterprise 同様の流れになります) 。
主な作業の流れは以下の通りです。
- AWS Managed Microsoft AD の作成
- AD FS の構築 (その1)
- ADFS のメタ情報取得 (その2)
- ArcGIS Enterprise にて SAML IDP を登録 (その2)
- AD FS にサービス プロバイダーを登録 (その2)
- シングルサインオンの確認 (その2)
ADFS を SAML IDP としてポータルに登録する
事前にメタファイルを取得しておいてください。ADFS サーバーにアクセスしてメタファイルをダウンロードします。
例)
Portal for ArcGIS にて [組織] → [設定] タブを選択し、左側の [セキュリティ] をクリックします。[ログイン] セクションの [新しい SAML ログイン] ボタンをクリックし、[1 つの ID プロバイダー] オプションを選択します。
さきほどダウンロードしたメタファイルを選択します。「管理者から招待されたとき」を選択した場合は、事前に Active Directory のユーザーを Portal for ArcGIS に登録しておく必要があります。
SAML ログインを有効化し、サービス プロバイダーのメタデータのダウンロードをします。
詳細は、Active Directory Federation Services の構成 を参照してください。
ポータルを信頼できるサービス プロバイダーとして AD FS に登録する
AD FS 管理コンソールを開き、[証明書利用者信頼] → [証明書利用者信頼の追加] の順に選択します。
サービス プロバイダーのメタデータを選択します。
[完了] のチェックボックスをオンにした場合、[閉じる] ボタンをクリックすると、[要求規則の編集] ダイアログ ボックスが自動的に開きます。
[要求規則名] で、規則の名前を指定し (「[ArcGISRule]」など)、[属性ストア] で、[Active Directory] を選択します。また、[LDAP 属性の出力方向の要求の種類への関連付け] で、ドロップダウン メニューから値を選択して、LDAP 属性が、規則から発行される出力方向の要求の種類に関連付けられる方法を指定します。
LDAP 属性 | 出力方向の要求の種類 | ArcGIS でのユーザー属性の適用先 |
SAM-Account-Name | 名前 ID | ユーザー名 |
Display-Name | 名前 | 名前(名) |
E-mail-Addresses | 電子メール アドレス | 電子メール |
シングルサインオンの確認
Active Directory に検証用のユーザーを追加します。ここでは、aduser03 (検証三郎) というユーザーを追加してます。
事前に Portal for ArcGIS にメンバーを追加しておきます。 (※ユーザーの加入条件で自動を選択していると、この作業は不要です。)
Portal for ArcGIS のサインインをクリックし、SAML 認証 (ここでは、「ESRIJ ADFS認証」) を選択するとADFS サーバーの認証画面が表示されます。
ログインが完了しますと Active Directory のユーザーでログイン表示されます。
ArcGIS Enterprise を利用すれば他の SAML 準拠の ID プロバイダーとの連携が可能となります。GIS 活用の中での DX推進のヒントにしてみてください。