Skip To Content

LDAP および PKI を使用した、ポータルへのアクセスのセキュリティ保護

LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、PKI (Public Key Infrastructure) を使用して、ポータルへのアクセスのセキュリティを確保することができます。

LDAP と PKI を使用するには、Java アプリケーション サーバーに配置された ArcGIS Web Adaptor (Java Platform) を使用して、PKI ベースのクライアント証明書認証を設定する必要があります。ArcGIS Web Adaptor (IIS) を使用して PKI ベースのクライアント証明書認証を LDAP で実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成します。

備考:

ポータルに ArcGIS Server サイトを追加して、サーバーで LDAP と PKI を使用する場合は、ポータルに追加する前に、ArcGIS Server サイトで PKI ベースのクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで PKI ベースのクライアント証明書認証を使用していない場合、上記の操作は必要ありません。サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。

LDAP を使用したポータルの構成

デフォルトでは、Portal for ArcGIS はすべての通信に HTTPS を適用します。以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。

すべての通信に HTTPS を使用するようにポータルを構成します。

  1. 組織サイトの管理者としてポータル Web サイトにサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
  2. [組織][設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
  3. [HTTPS のみを使用したポータルへのアクセスを許可] をオンにします。
  4. [保存] をクリックして、変更内容を適用します。

ポータルのアイデンティティ ストアの更新

次に、LDAP のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。

  1. 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
  2. [Security][Config][Update Identity Store] の順にクリックします。
  3. [User store configuration (in JSON format)] テキスト ボックスに、組織の LDAP ユーザー構成情報を (JSON 形式で) 入力します。また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    ほとんどの場合、[user]、[userPassword]、[ldapURLForUsers]、および [userSearchAttribute] パラメーターの値を変更するだけで済みます。userSearchAttribute は、PKI 認証の Subject パラメーターの値です。組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute を更新して、PKI 認証の Subject パラメーターと一致させる必要があります。LDAP の URL は、LDAP 管理者が提供する必要があります。

    上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。ユーザーが複数の OU に存在する場合、LDAP URL では、より上位の OU を指定するか、必要であればルート OU を指定します。その場合は、URL は以下のようになります。

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メール アドレスとユーザー名を検索する権限を持つ必要があります。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。

    LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。

  4. ポータルに、アイデンティティ ストア内の既存のエンタープライズ グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の LDAP グループ構成情報を (JSON 形式で) 入力します。また、組織に固有のグループ情報を次のサンプルに反映させることもできます。ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    ほとんどの場合、[user]、[userPassword]、[ldapURLForUsers]、[ldapURLForUsers]、および [userSearchAttribute] パラメーターの値を変更するだけで済みます。userSearchAttribute は、PKI 認証の Subject パラメーターの値です。組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute を更新して、PKI 認証の Subject パラメーターと一致させる必要があります。LDAP の URL は、LDAP 管理者が提供する必要があります。

    上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。ユーザーが複数の OU に存在する場合、LDAP URL では、より上位の OU を指定するか、必要であればルート OU を指定します。その場合は、URL は以下のようになります。

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    user パラメーターに使用するアカウントは、組織サイト内のグループ名を検索する権限を持つ必要があります。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。

    LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。

  5. [Update Configuration] をクリックして、変更内容を保存します。
  6. 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。詳細な手順については、「ポータルの停止と起動」をご参照ください。

ポータルにエンタープライズ アカウントを追加する

デフォルトでは、エンタープライズ ユーザーはポータル Web サイトにアクセスできます。ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。これは、エンタープライズ アカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法で、ポータルにアカウントを追加します。

少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定することをお勧めします。これを行うには、アカウントを追加する際に [管理者] ロールを選択します。代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。

PKI 認証を使用するための ArcGIS Web Adaptor の構成

ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成したら、Java アプリケーション サーバー上に LDAP のレルムを構成し、ArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。手順については、システム管理者に問い合わせるか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。

LDAP と PKI を使用してポータルにアクセスできることを確認する

  1. ポータル Web サイトを開きます。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、ポータル Web サイトにある [アカウントの作成] ボタンとサインアップ ページ (signup.html) を無効にします。このようにすると、メンバー全員がエンタープライズ認証情報を使用してポータルにサイン インするようになり、不要なメンバー アカウントを作成できなくなります。詳細な手順については、「組み込みポータル アカウントを作成するユーザーの機能の無効化」をご参照ください。