皆さんは WAGRI をご存じでしょうか?
農業データ連携基盤(WAGRI)は、内閣府が実施する戦略的イノベーション創造プログラム (SIP) において構築されたデータプラットフォームです。この記事では WAGRI と ArcGIS Online との認証の連携についてご紹介します。
WAGRI が提供する認証方式 OpenID Connect を使用することで ArcGIS Online と連携することができます。ArcGIS Online では、OpenID Connect 認証プロトコルをサポートしており、Okta や Google などの OpenID Connect をサポートしている IDP (ID プロバイダー) と統合されています。
OpenID Connect 連携により WAGRI ユーザーは、WAGRI のアカウント情報で、ArcGIS Online にログインすることが可能となります。
連携イメージ
OpenID Connect とは
OpenID Connect は、OAuth 2.0 をベースとした ID 連携(フェデレーション)の標準プロトコルです。そのため、OAuth 2.0 による API 認可と合わせてユーザー認証を行うことができるようになっています。詳しい仕様については、OpenID ファウンデーション・ジャパン(OIDF-J)という団体が、OAuth 2.0 や OpenID Connect の標準仕様などのドキュメントを公開しています。また、日本における OpenID 関連技術の普及啓発やエンタープライズ・フェデレーション、安心して ID を利用できる環境の整備、プライバシー保護の推進などの啓発活動を通じて、オープンな API エコシステムの成長を支援するための活動も行っています。
ArcGIS での OpenID Connect ログイン設定
OpenID Connect ログイン設定に必要な情報として、IDP 側で作成するクライアント ID とクライアント シークレット、さらに IDP に関する情報が必要になります。
IDP に関する情報は
・ https://[IdPdomain]/.well-known/openid-configuration
の URL でアクセスすることで、該当の IDP の情報を取得することができます。情報は JSON で返却されます。
必要な設定は、ArcGIS Online の [セキュリティ] の [ログイン] セクションにある [OpenID Connect ログイン] で設定を行います。以下のような OpenID Connect ログインの編集画面が表示されますので、WAGRI 側で用意したクライアント ID とクライアント シークレットの登録、WAGRI の IDP 情報をそれぞれ登録します。
設定を完了するには、生成された [ログイン リダイレクト URI] および [ログアウト リダイレクト URI] (該当する場合) をコピーして、OpenID Connect IDP (WAGRI 側) で許可されるコールバック URL のリストに追加します。
詳細な手順については、ArcGIS Online の OpenID Connect ログイン構成を参照してください。
まとめ
WAGRI が提供する認証システム (OpenID Connect) を使用して ArcGIS Online を連携させることで、WAGRI のユーザーアカウントを使ってシングルサインオン (SSO) による ArcGIS Online への認証が可能になります。WAGRI アカウントで、ArcGIS Online にもログインすることが可能となるため、ユーザーは WAGRI と ArcGIS Online とのアカウントの二重管理の必要が無くなります。
また、WAGRI と ArcGIS Online との認証が統合されるため、双方の強みを活かした農業向けシステム・アプリケーションの開発が行えるようになります。
その他の認証方式として、ArcGIS Online では、SAML (Security Assertion Markup Language) 2.0 プロトコルにも準拠しているため、SAML 2.0 をサポートする IDP と統合することで、シングルサインオンを実現することができます。SAML 2.0 に準拠している Shibboleth との連携ガイドや GeoNet ブログでも「【SSO 第2弾】ArcGIS Online / Enterprise および ADFS の連携ガイドを公開しました」 で紹介しています。
■関連リンク