本記事の内容は、ArcGIS Online で SAML ログインを構成しており、高度な設定で「署名付きリクエストの有効化」または「暗号化アサーションの許可」を有効にしている方のみ対象です。自組織が対象かどうかを判断する方法については FAQ をご参照ください。
目次
概要
SAML セキュリティのベスト プラクティスにある「署名付きリクエストの有効化」または「暗号化アサーション」を有効にしている ArcGIS Online 組織の管理者は、新しい ArcGIS Online サービス プロバイダーのメタデータ ファイルと証明書を取得し、ID プロバイダーと関連付ける必要があります。
これらの高度な SAML オプションを使用しているお客様が、以前の証明書の有効期限 (2023 年 9 月 27 日) が切れる前に、新しい証明書を含む更新された ArcGIS Online メタデータ ファイルを SAML ID プロバイダー (例:Azure Active Directory エンタープライズ アプリケーションの SAML トークン暗号化) にアップロードしなかった場合、IDP 固有のエラーが発生し、エンタープライズ (SAML) アカウントで ArcGIS Online にサインインできなくなります。
ステップ 1 – ArcGIS Online から更新されたメタデータ ファイルをダウンロードする
- 管理者として www.arcgis.com にログインします。
- [組織] → [設定] → [セキュリティ] の順にクリックします。
- [ログイン] → [SAML ログイン] までスクロールし、[サービス プロバイダーのメタデータのダウンロード] (下図参照) をクリックします。この操作によって、SAML ID プロバイダーにアップロードするメタデータ ファイル (更新された証明書が含まれる) がダウンロードされます。
ステップ 2 – メタデータ ファイルを SAML IDP にアップロードする
- SAML ID プロバイダーのエンタープライズ アプリケーション構成で、ArcGIS Online 組織のエントリに移動します。
- ArcGIS Online からダウンロードした更新メタデータ ファイルを IDP にアップロードします。サービス プロバイダー メタデータ XML を IDP に登録する方法に関する IDP 固有の手順については、ArcGIS/idp GitHub リポジトリのガイダンスをご参照ください。
*オプション – 以降のステップ 3 および 4 はオプションのステップであり、SAML ログイン構成内で「暗号化アサーションの許可」を有効にしている ArcGIS Online 組織にのみ必要です。
*ステップ 3 – ArcGIS Online メタデータ ファイルから証明書を抽出する
- <X509Certificate> と <X509Certificate> タグ間の文字をコピーして、データを空のファイルに貼り付け、拡張子を .cer として保存することで、metadata.xml ファイル内の証明書を抽出して検証します。
*ステップ 4 – ID プロバイダー内のトークン暗号化証明書を更新する
- SAML ID プロバイダーのエンタープライズ アプリケーション構成で、ArcGIS Online 組織のエントリに移動します。
- 抽出した証明書を ArcGIS Online アプリケーションの「暗号化」機能にアップロードします。 このワークフローの具体的な手順については、SAML ID プロバイダーのドキュメントをご参照ください。
※本ブログは米国 Esri のブログ「Action Required: ArcGIS Online SAML Customers」を翻訳したものです。