統合 Windows 認証 (IWA) を使用して、ポータルへのアクセスのセキュリティを保護できます。IWA を使用する場合、Microsoft Windows Active Directory を通じてログインが管理されます。ユーザーは、ポータル Web サイトのサイン インとサイン アウトを行わず、ポータル Web サイトを開くときに、Windows へのログインと同じアカウントを使用してサイン インします。
統合 Windows 認証を使用するには、Microsoft IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (IIS) をポータルにインストールして構成します。
注意:
ポータルに ArcGIS Server サイトを追加して、サイトで Web 層認証を使用する場合、ポータルに追加する前に、Web 層認証 (基本認証またはダイジェスト認証) を無効にして、サイトで構成されている ArcGIS Web Adaptor で 匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
Windows Active Directory を使用するようにポータルを構成する
最初に、すべての通信に HTTPS を使用するようにポータルを構成します。次に、Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
すべての通信に HTTPS を使用するようにポータルを構成します。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] ページで [サイト設定] をクリックしてから [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] をオンにします。
- [保存] をクリックして、変更内容を適用します。
ポータルのアイデンティティ ストアの更新
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Config] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、[caseSensitive] パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存のエンタープライズ グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。また、組織に固有のグループ情報を次のサンプルに反映させることもできます。ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。詳細な手順については、「ポータルの停止と起動」をご参照ください。
追加のアイデンティティ ストア パラメーターの必要に応じた構成
ArcGIS Portal Directory の管理 API で変更できる、追加のアイデンティティ ストア構成パラメーターがあります。これらのパラメーターには、エンタープライズ ユーザーがポータルにサイン インしたときにグループを自動的に更新するかどうかの制限、メンバーシップ更新間隔の設定、複数のユーザー名フォーマットのチェックを行うかどうかの定義といったオプションが含まれます。詳細については、「アイデンティティ ストアの更新」をご参照ください。
ポータルにエンタープライズ アカウントを追加する
デフォルトでは、エンタープライズ ユーザーはポータル Web サイトにアクセスできます。ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。これは、エンタープライズ アカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法で、ポータルにアカウントを追加します。
- Portal for ArcGIS サイト (1 つずつ、もしくは CSV ファイルまたは既存のエンタープライズ グループから一括で追加可能)
- Python スクリプト
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定することをお勧めします。これを行うには、アカウントを追加する際に [管理者] ロールを選択します。代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
IWA を使用するように ArcGIS Web Adaptor を構成する
- [インターネット インフォメーション サービス (IIS) マネージャー] が開きます。
- [接続] パネルで、ArcGIS Web Adaptor をホストしている Web サイトを特定して展開します。
- ArcGIS Web Adaptor の名前をクリックします。デフォルトは、arcgis です。
- [ホーム] パネルで [認証] をダブルクリックします。
- [匿名認証] を選択して [無効] をクリックします。
- [Windows 認証] を選択して [有効] をクリックします。
- [インターネット インフォメーション サービス (IIS) マネージャー] を閉じます。
IWA を使用してポータルにアクセスできることを確認する
- ポータル Web サイトを開きます。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- エンタープライズ アカウントの認証情報の入力を求められるか、エンタープライズ アカウントを使用して自動的にサイン インできることを確認します。この動作を判断できない場合は、コンピューターへのログインに使用した Windows アカウントがポータルに追加されていることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、ポータル Web サイトにある [アカウントの作成] ボタンとサインアップ ページ (signup.html) を無効にします。このようにすると、メンバー全員がエンタープライズ認証情報を使用してポータルにサイン インするようになり、不要なメンバー アカウントを作成できなくなります。詳細な手順については、「組み込みポータル アカウントを作成するユーザーの機能の無効化」をご参照ください。