Portal for ArcGIS には、一般的なセキュリティの問題をスキャンする Python スクリプト ツール、portalScan.py が含まれています。このツールは、ポータル用のセキュリティで保護された環境の構成のベスト プラクティスに基づき、問題をチェックします。6 つの条件または構成プロパティを分析し、Critical、Important、Recommended の 3 つの重要度レベルに分けます。これらの条件の詳細は次のとおりです。
ID | 重要度 | プロパティ | 説明 |
---|---|---|---|
PS01 | Critical | プロキシ制限 | ポータルのプロキシ機能が制限されているかどうかを判断します。デフォルトでは、ポータル プロキシ サーバーはどの URL にも開いています。サービス拒否 (DoS) やサーバー サイド リクエスト フォージェリー (SSRF) 攻撃を受けるリスクを軽減するため、ポータルのプロキシ機能を、許可された Web アドレスに制限することを強くお勧めします。 |
PS02 | Critical | トークン リクエスト | クエリ パラメーターの認証情報によるトークン リクエストの生成がサポートされているかどうかを判断します。サポートされる場合は、トークン生成時に URL の一部としてユーザーの認証情報を提供し、ブラウザーの履歴やネットワーク ログを通じて公開される可能性があります。他のアプリケーションで必要な場合を除き、無効にしてください。 |
PS03 | Important | ポータル サービス ディレクトリ | Web ブラウザーを通じてポータル サービス ディレクトリにアクセスできるかどうかを判断します。ポータルのアイテム、サービス、Web マップ、グループ、その他のリソースを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすため、無効にしてください。 |
PS04 | Important | セキュアな通信 | ポータルの通信が HTTPS のみを介しているかどうかを判断します。ポータル内のすべての通信を盗聴から守るために、SSL を使用するようにポータルと ArcGIS Web Adaptor をホストする Web サーバーを構成することをお勧めします。 |
PS05 | Recommended | 組み込みアカウントのサインアップ | ユーザーがポータルのサインアップ ページで [アカウントの作成] ボタンをクリックして、組み込みポータル アカウントを作成できるかどうかを判断します。エンタープライズ アカウントを使用している場合や、すべてのアカウントを手動で作成する場合は、このオプションを無効にする必要があります。 |
PS06 | Recommended | 匿名アクセス | 匿名アクセスが可能かどうかを判断します。ポータルに認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化してポータルを構成することをお勧めします。 |
portalScan.py スクリプトは <Portal for ArcGIS installation location>/tools/security ディレクトリにあります。 コマンド ラインかシェルからスクリプトを実行します。ポータルの URL に加え、管理者のユーザー名とパスワードを入力する必要があります。
スキャンを実行すると、指定ポータルで前述の問題が発生した場合に、それを記載した HTML 形式のレポートが作成されます。このレポートは、スクリプトを実行したのと同じフォルダーに生成され、portalScanReport_[hostname]_[date].html と名前が付けられます。