ArcGIS Enterprise の配置環境でセキュリティをどのように構成するかを決めるために使用すべき主な要素は、ポータルのユーザー情報のデータ ソースと、必要な場合はポータルのグループです。このユーザーとグループの情報源は、アイデンティティ ストアと呼ばれています。組織内外のユーザーとグループは、アイデンティティ ストアを使用して管理されます。
- アイデンティティ ストアの理解
- ポータルのアイデンティティ ストアを使用する組み込みユーザーの構成
- Web 層認証を使用するエンタープライズ ログインの構成
- SAML を使用するエンタープライズ ログインの構成
アイデンティティ ストアの理解
ポータルのアイデンティティ ストアは、ポータル アカウントの認証情報を保存する場所と、認証がどのように発生するか、およびグループ メンバーシップの管理方法を定義します。ArcGIS Enterprise ポータルは、組み込みとエンタープライズという 2 種類のアイデンティティ ストアをサポートしています。
組み込みアイデンティティ ストア
ArcGIS Enterprise ポータルを構成して、ポータルで簡単にアカウントとグループを作成できます。ポータル Web サイトの [サイン イン] ページで [アカウントの作成] リンクを使用して (有効な場合)、組み込みアカウントをポータルに追加し、組織サイトへのコンテンツの提供や、他のメンバーが作成したリソースへのアクセスを行うことができます。ポータルの Web サイトのホーム ページで、[グループ] タブをクリックしてグループを作成し、アイテムを管理することもできます。この方法でポータルにアカウントとグループを作成した場合は、組み込みアイデンティティ ストアを利用することになります。ストアは認証を実行して、ポータル アカウントのユーザー名、パスワード、ロール、およびグループ メンバーシップを保存します。
ポータルの初期管理者アカウントを作成するには、組み込みアイデンティティ ストアを使用する必要があります。ただし、後でエンタープライズ アイデンティティ ストアに切り替えることができます。組み込みアイデンティティ ストアは、ポータルを起動して実行する場合に利用され、開発やテストを行う場合にも役立ちます。ただし、運用環境では、一般的にエンタープライズ アイデンティティ ストアが利用されます。
エンタープライズ アイデンティティ ストア
ArcGIS Enterprise ポータルは、エンタープライズ アカウントおよびグループを使用して ArcGIS の組織サイトへのアクセスを制御できるように設計されています。たとえば、LDAP (Lightweight Directory Access Protocol) サーバー、Active Directory サーバー、および SAML (Security Assertion Markup Language) 2.0 Web シングル サインオンをサポートする ID プロバイダーの認証情報を使用して、ポータルへのアクセスを制御できます。この手順は、エンタープライズ ログイン アカウントの設定ドキュメントで説明されています。
この方法の利点は、ポータル内に追加アカウントを作成する必要がないことです。メンバーは、エンタープライズ アイデンティティ ストア内にすでに設定されているログイン情報を使用します。アカウント認証情報の管理は、完全にポータルの外部で行われます。これによりシングル サインオン機能が有効となり、ユーザーは認証情報を再度入力する必要がなくなります。
同様に、ポータルにアイデンティティ ストアの既存のエンタープライズ グループを利用するグループを作成することもできます。また、組織のエンタープライズ グループからエンタープライズ アカウントを一括で追加できます。メンバーがポータルにログインすると、コンテンツ、アイテムおよびデータへのアクセスは、エンタープライズ グループで定義されているメンバーシップ ルールで管理されます。グループのメンバーシップの管理は、完全にポータルの外部で行われます。
たとえば、ポータルへの匿名アクセスを無効化し、ポータルを組織の目的のエンタープライズ グループに接続してから、それらのグループに基づいてエンタープライズ アカウントを追加することをお勧めします。こうすることで、組織内の特定のエンタープライズ グループに基づいて、ポータルへのアクセスを制限できます。
組織でパスワードの有効期限や複雑さに関するポリシーを設定する場合、既存のエンタープライズ グループを使用してアクセスを制御する場合、または統合 Windows 認証 (IWA)や PKI (Public Key Infrastructure) を認証に利用する場合は、エンタープライズ アイデンティティ ストアを使用します。認証は、Web 層 (Web 層認証を使用して) またはポータル層 (ポータル認証を使用して)で処理をするか、または外部 ID プロバイダー(SAML を使用して) を通して処理できます。
ArcGIS Enterprise は、Active Directory アイデンティティ ストアを使用して、単一のフォレストでの複数のドメインからの認証をサポートしますが、フォレスト間の認証を提供しません。複数のフォレストからのエンタープライズ ユーザーをサポートするには、SAML アイデンティティ プロバイダーが必要です。
複数のアイデンティティ ストアのサポート
SAML 2.0 では、複数のアイデンティティ ストアを使用したポータルへのアクセスを許可できます。サイン インするユーザーは、組み込みアカウントと、相互に信頼するように構成された複数の SAML 準拠の ID プロバイダーで管理されているアカウントを使用できます。これは、組織内外に存在する複数ユーザーを管理するのに役立ちます。詳細については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。
ポータルのアイデンティティ ストアを使用する組み込みユーザーおよびグループの構成
組み込みのユーザーとグループを使用する場合、ポータルを構成する手順は必要ありません。ソフトウェアをインストールした後、組み込みのユーザーとグループはすぐにポータルを利用できます。エンタープライズ ユーザーを使用する場合は、次のセクションと関連リンクをご参照ください。
エンタープライズ ログインの設定
ポータルでは、次のエンタープライズ ID プロバイダーを構成できます。認証は Web 層 (ArcGIS Web Adaptor を使用) またはポータル層で処理できます。
Web 層認証
ポータルが Windows サーバーで稼働していて、Windows Active Directory を構成している場合は、統合 Windows 認証を使用してポータルに接続できます。ポータルのユーザーは、Web 層認証を通して自動サインオンまたはシングル サインオンが可能です。Windows 認証を使用するには、ArcGIS Web Adaptor を Microsoft の IIS Web サーバーに配置する必要があります。
LDAP ディレクトリがある場合は、ArcGIS Enterprise ポータルで使用できます。詳細については、「LDAP および Web 層認証でのポータルの使用」をご参照ください。LDAP を使用する場合は、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置します。
組織が PKI を導入している場合は、証明書を使用してポータルとの通信を認証することができます。ここでは、HTTPS が使用されます。ユーザーを認証する際、Windows Active Directory または Lightweight Directory Access Protocol (LDAP)を使用することができます。Windows 認証を使用するには、ArcGIS Web Adaptor を Microsoft の IIS Web サーバーに配置する必要があります。LDAP ユーザーを使用するには、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置する必要があります。 PKI を使用する場合、ポータルへの匿名アクセスを有効にすることはできません。
ポータル層認証
エンタープライズと組み込みアイデンティティ ストアを使用して、SAML を使用せずにポータルへのアクセスを許可する場合、ポータル層認証を使用できます。これには、ポータルを Windows Active Directory または LDAP アイデンティティ ストアを使用して構成してから、IIS または Java アプリケーション サーバーで匿名アクセスを有効化します。 ユーザーがポータルのサインイン ページにアクセスするとき、エンタープライズ認証情報または組み込み認証情報を使用してログインできるようになります。エンタープライズ ユーザーは、ポータルにログインするたびにアカウント認証情報を入力する必要があり、自動サイン オンまたはシングル サインオンは使用できません。この種の認証を使用すると、すべての人と共有されているマップやその他のポータル リソースに匿名ユーザーがアクセスすることもできます。
ポータル層認証を使用する場合、エンタープライズ内のメンバーは、次の構文を使用してログインします。
- ポータルで Active Directory を使用している場合、domain\username または username@domain という構文を使用できます。メンバーのログイン方法に関係なく、ユーザー名はポータル Web サイトで常に username@domain と表示されます。
- ポータルで LDAP を使用している場合、構文は常に username になります。ポータル Web サイトでも、アカウントがこの形式で表示されます。
SAML を使用するエンタープライズ ログインの構成
ArcGIS Enterprise ポータルは、すべての SAML 対応の ID プロバイダーをサポートしています。次のチュートリアルでは、いくつかの一般的な SAML 対応の ID プロバイダーをポータルで構成する方法を示します。詳細については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。
アカウントのロックアウト ポリシー
ユーザーのパスワードを推測しようとする大量の自動処理から保護するために、ソフトウェア システムがアカウントのロックアウト ポリシーを強制する場合があります。特定の期間内に一定の回数ログオンに失敗したユーザーは、指定した期間、それ以上のログオン操作を拒否されます。これらのポリシーでは、ユーザーが自分のユーザー名とパスワードを忘れてログインに失敗する場合があることも考慮します。
Portal for ArcGIS で使用されるロックアウト ポリシーは、使用するアイデンティティ ストア ストアのタイプによって異なります。
組み込みアイデンティティ ストア
組み込みアイデンティティ ストアでは、無効な試行が 5 回連続して行われると、ユーザーがロックアウトされます。ロックアウトの期間は 15 分です。このポリシーは、アイデンティティ ストアのすべてのユーザー (初期管理者アカウントを含む) に適用されます。このポリシーを変更または置換することはできません。
エンタープライズ アイデンティティ ストア
エンタープライズ アイデンティティ ストアを使用する場合、アカウントのロックアウト ポリシーはアイデンティティ ストアから継承されます。アイデンティティ ストアでは、アカウントのロックアウト ポリシーを変更することができます。アカウントのロックアウト ポリシーを変更する方法については、各種アイデンティティ ストア タイプのドキュメントをご参照ください。
ログインの失敗の監視
ログインの失敗を監視するには、ArcGIS Portal Directory でポータル ログを表示します。ログインの失敗では、ユーザー名とパスワードの組み合わせが無効であるためにユーザーのログインが失敗したことを示す、警告レベルのメッセージが生成されます。ユーザーのログインの試行回数が最大数を超えた場合は、アカウントがロックアウトされたことを示す、重大レベルのメッセージがログに記録されます。ポータル ログでログインの失敗を監視することで、システムに対してパスワード攻撃が発生している可能性があるかどうかを判断できます。
詳細については、「ポータル ログの操作」をご参照ください。