Skip To Content

セキュリティのベスト プラクティスを実現するためにポータルをスキャンする

Portal for ArcGIS には、一般的なセキュリティの問題をスキャンする Python スクリプト ツール、portalScan.py が含まれています。このツールは、ポータル用のセキュリティで保護された環境の構成のベスト プラクティスに基づき、問題をチェックします。6 つの条件または構成プロパティを分析し、CriticalImportantRecommended の 3 つの重要度レベルに分けます。これらの条件の詳細は次のとおりです。

ID重要度プロパティ説明

PS01

Critical

プロキシ制限

ポータルのプロキシ機能が制限されているかどうかを判断します。デフォルトでは、ポータル プロキシ サーバーはどの URL にも開いています。サービス拒否 (DoS) やサーバー サイド リクエスト フォージェリー (SSRF) 攻撃を受けるリスクを軽減するため、ポータルのプロキシ機能を、許可された Web アドレスに制限することを強くお勧めします。

PS02

Critical

トークン リクエスト

クエリ パラメーターの認証情報によるトークン リクエストの生成がサポートされているかどうかを判断します。サポートされる場合は、トークン生成時に URL の一部としてユーザーの認証情報を提供し、ブラウザーの履歴やネットワーク ログを通じて公開される可能性があります。他のアプリケーションで必要な場合を除き、無効にしてください。

PS03

Important

ポータル サービス ディレクトリ

Web ブラウザーを通じてポータル サービス ディレクトリにアクセスできるかどうかを判断します。ポータルのアイテム、サービス、Web マップ、グループ、その他のリソースを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすため、無効にしてください。

PS04

Important

セキュアな通信

ポータルの通信が HTTPS のみを介しているかどうかを判断します。ポータル内のすべての通信を盗聴から守るために、SSL を使用するようにポータルと ArcGIS Web Adaptor をホストする Web サーバーを構成することをお勧めします。

PS05

Recommended

組み込みアカウントのサインアップ

ユーザーがポータルのサインアップ ページで [アカウントの作成] ボタンをクリックして、組み込みポータル アカウントを作成できるかどうかを判断します。エンタープライズ アカウントを使用している場合や、すべてのアカウントを手動で作成する場合は、このオプションを無効にする必要があります。

PS06

Recommended

匿名アクセス

匿名アクセスが可能かどうかを判断します。ポータルに認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化してポータルを構成することをお勧めします。

portalScan.py スクリプトは <Portal for ArcGIS installation location>/tools/security ディレクトリにあります。 コマンド ラインまたはシェルからスクリプトを実行します。スクリプトの実行時に、1 つ以上のパラメーターを指定することもできます。

portalScan.py パラメーター

パラメーター説明

-n

ポータルがインストールされているコンピューターの完全修飾ドメイン名 (gisportal.domain.com)。デフォルトは、スクリプトが実行されているコンピューターのホスト名です。

-u

管理者アカウントのユーザー名。

-p

管理者アカウントのパスワード。

-o

セキュリティ スキャン レポートが保存されるディレクトリ。デフォルトのディレクトリは、スクリプトを実行するフォルダーと同じフォルダーです。

-t

ユーザー名とパスワードの代わりに、トークンを生成して使用できます。トークンを生成すると、スキャンされているポータルの完全修飾ドメイン名が [Webapp URL] フィールドに入力されます。トークンが指定されると、トークンにより指定されているユーザー名とパスワードが無効になります。

-h または -?

スクリプトの実行時に指定できるパラメーターの一覧表示を出力します。

例: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp

パラメーターを指定せずに portalScan.py スクリプトを実行すると、手動で入力するか、デフォルト値を選択するよう求められます。トークンを使用する場合、トークンは、スクリプトの実行時にパラメーターとして指定する必要があります。

スキャンを実行すると、指定ポータルで前述の問題が発生した場合に、それを記載した HTML 形式のレポートが作成されます。

デフォルトでは、このレポートは、スクリプトを実行するフォルダーと同じフォルダーに生成され、portalScanReport_[hostname]_[date].html と名前が付けられます。


このトピックの内容
  1. portalScan.py パラメーター