Windows Active Directory および PKI を使用してポータルへのアクセスのセキュリティを保護する
このトピックの内容
- ポータルで Windows Active Directory を構成する
- ポータルにエンタープライズ アカウントを追加する
- Active Directory クライアント証明書マッピング認証のインストールと有効化
- SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する
- Windows Active Directory と PKI を使用してポータルにアクセスできることを確認する
- ユーザーが独自の組み込みアカウントを作成できないようにする
Windows Active Directory でユーザー認証を行う場合、PKI (Public Key Infrastructure) を使用して、ポータルへのアクセスのセキュリティを確保することができます。
統合 Windows 認証と PKI を使用するには、Microsoft の IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (IIS) をポータルにインストールして構成します。
注意:
ポータルに ArcGIS Server サイトを追加して、サーバーで Windows Active Directory と PKI を使用する場合は、ポータルに追加する前に、ArcGIS Server サイトで PKI ベースのクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで PKI ベースのクライアント証明書認証を使用していない場合、上記の操作は必要ありません。サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
ポータルで Windows Active Directory を構成する
最初に、すべての通信に SSL を使用するようにポータルを構成します。次に、Windows Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
すべての通信に HTTPS を使用するようにポータルを構成します。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] ページで [サイト設定] をクリックしてから [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] をオンにします。
- [保存] をクリックして、変更内容を適用します。
ポータルのアイデンティティ ストアの更新
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Config] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、[caseSensitive] パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存のエンタープライズ グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。また、組織に固有のグループ情報を次のサンプルに反映させることもできます。ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。詳細な手順については、「ポータルの停止と起動」をご参照ください。
ポータルにエンタープライズ アカウントを追加する
デフォルトでは、エンタープライズ ユーザーはポータル Web サイトにアクセスできます。ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。これは、エンタープライズ アカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法で、ポータルにアカウントを追加します。
- Portal for ArcGIS サイト (1 つずつ、もしくは CSV ファイルまたは既存のエンタープライズ グループから一括で追加可能)
- Python スクリプト
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定することをお勧めします。これを行うには、アカウントを追加する際に [管理者] ロールを選択します。代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
Active Directory クライアント証明書マッピング認証のインストールと有効化
Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。フィーチャをインストールして有効にする必要があります。
クライアント証明書マッピング認証のインストール
この機能をインストールする手順は、使用しているオペレーティング システムによって異なります。
Windows Server 2008/R2 および 2012/R2
- [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
- [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
- [役割サービス] セクションにスクロールし、[役割サービスの追加] をクリックします。
- [役割サービスの追加ウィザード] の [役割サービスの選択] ページで [クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
- [インストール] をクリックします。
Windows 7、8、および 8.1
- [コントロール パネル] を開いて、[プログラムと機能] > [Windows の機能の有効化または無効化] の順に選択します。
- [インターネット インフォメーション サービス] > [World Wide Web サービス] > [セキュリティ] の順に展開し、[クライアント証明書マッピング認証] を選択します。
- [OK] をクリックします。
Active Directory クライアント証明書マッピング認証の有効化
Active Directory クライアント証明書マッピングをインストールしたら、次の手順に従ってフィーチャを有効にします。
- インターネット インフォメーション サービス (IIS) マネージャーを起動します。
- [接続] ノードで、Web サーバーの名前をクリックします。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- [Active Directory クライアント証明書認証] が表示されていることを確認します。この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
- [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。
Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。これについては、次のセクションで対処します。
SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する
- インターネット インフォメーション サービス (IIS) マネージャーを起動します。
- [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- すべての形式の認証を無効化します。
- [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
- [SSL 設定] をダブルクリックします。
- [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
- [適用] をクリックして変更内容を保存します。
Windows Active Directory と PKI を使用してポータルにアクセスできることを確認する
- ポータル Web サイトを開きます。URL の形式は https://webadaptor.domain.com/arcgis/home です。
- セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、ポータル Web サイトにある [アカウントの作成] ボタンとサインアップ ページ (signup.html) を無効にします。このようにすると、メンバー全員がエンタープライズ認証情報を使用してポータルにサイン インするようになり、不要なメンバー アカウントを作成できなくなります。詳細な手順については、「組み込みポータル アカウントを作成するユーザーの機能の無効化」をご参照ください。