デフォルトの管理者または適切な権限を持つメンバーとして、すべての接続で HTTPS を必須とするかどうか、およびポータルへの匿名アクセスを許可するかどうかを決定します。共有と検索のセキュリティ設定、パスワード ポリシー、サイン イン オプション、アクセスの注意事項、情報バナー、信頼できるサーバー、安全なコンテンツの共有先ポータル一覧も構成できます。
ヒント:
セキュリティ、プライバシー、およびコンプライアンスに関する詳細については、Trust ArcGIS をご参照ください。
- デフォルトの管理者か、セキュリティやインフラストラクチャに対する管理権限が有効になったカスタム ロールのメンバーとしてサイン インしていることを確認します。
- サイトの上部にある [組織] をクリックして、[設定] をクリックします。
- ページの左側にある [セキュリティ] をクリックします。
- 以下のセキュリティ設定のうちのいずれかを構成します。
アクセスおよび権限
必要に応じて、以下のポリシー設定のいずれかを変更します。
- [HTTPS を使用した組織へのアクセスのみを許可します] - デフォルトでは、組織のデータおよび一時的な ID トークン (ユーザーのデータへのアクセスを許可する) がインターネット上での通信中に暗号化されることを保証するために、Portal for ArcGIS では HTTPS のみの通信が適用されます。HTTP 通信と HTTPS 通信の両方を許可する場合は、この切り替えボタンをオフにします。この設定を変更すると、サイトのパフォーマンスに影響が出る可能性があります。
[組織サイトへの匿名アクセスを許可します] - このオプションを有効化すると、匿名ユーザーが組織の Web サイトにアクセスできるようになります。このオプションが有効化されていない場合、 匿名アクセスが無効化され、 匿名ユーザーは Web サイトにアクセスできません。また、Bing Maps を使用したマップを表示することもできません (組織サイトが Bing Maps 用に構成されている場合)。匿名アクセスを有効にした場合は、サイト構成グループがパブリックに共有されていることを確認してください。パブリックに共有されていない場合、匿名ユーザーは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。
- [メンバーが、自己紹介とそのプロフィールを参照できるユーザーを編集できます] - このオプションを有効化すると、メンバーがプロフィールの自己紹介を変更したり、プロフィールを表示できる人を指定したりできるようになります。
- [ユーザーが新しい組み込みアカウントを作成できます] - このオプションを有効化すると、ユーザーは、ポータルのサイン イン ページで組み込みポータル アカウントを作成できるようになります。エンタープライズ アカウントを使用している場合や、すべてのアカウントを手動で作成する場合は、このオプションを無効化します。
共有と検索
必要に応じて、以下の共有と検索の設定のいずれかを変更します。
[組織サイト外へのコンテンツ共有を許可します] - このオプションを有効化すると、メンバーが、プロフィールをすべての人 (パブリック) に公開したり、Web アプリなどのアイテムをパブリックに共有したり、Web サイト内にマップやグループを埋め込んだりすることができます。
- [アイテムおよびグループ ページにソーシャル メディア リンクを表示します] - このオプションを有効化すると、Facebook および Twitter へのリンクをアイテム ページやグループ ページに含めることができます。
パスワード ポリシー
メンバーは、自分のパスワードを変更する際に、パスワードが組織のポリシーに従っている必要があります。ポリシーに従っていない場合、ポリシーの詳細を示すメッセージが表示されます。組織のパスワード ポリシーは、エンタープライズ ログインや、アプリケーション ID とアプリの秘密の質問を使用するアプリ認証情報には適用されません。
[パスワード ポリシーの管理] をクリックし、組み込みアカウントを持つメンバーのパスワードの長さ、複雑度、および履歴の各要件を構成します。パスワードの長さ、およびパスワードに大文字、小文字、数字、または特殊文字を 1 文字以上含める必要があるかを指定できます。パスワードの有効期限が切れるまでの日数、およびメンバーが再利用できない過去のパスワードの数も構成できます。パスワードは、大文字と小文字の区別があり、ユーザー名と同じにすることができません。[ポータルのデフォルトの使用] をクリックすると、標準の Portal for ArcGIS パスワード ポリシー (1 つ以上の文字と 1 つ以上の数字を含む 8 文字以上で、空白は使用不可) を使用するように組織サイトをリセットします。
メモ:
脆弱なパスワードは受け付けられない場合があります。 「password1」などの、よく使用されるパスワード、または繰り返し文字や連続的文字を含むパスワード (たとえば、「aaaabbbb」や「1234abcd」) である場合、そのパスワードは脆弱であると見なされます。
メモ:
10.8.1 では、組織にメール設定を構成した場合、パスワード ポリシー変更時に管理者の問い合わせ先に自動通知メールが送信されます。管理者の問い合わせ先を設定していない場合は、組織の最も古い管理者アカウントか初期管理者アカウントに通知メールが送信されます。
ログイン
メンバーがエンタープライズ情報システムにアクセスするときと同じログインを使用してポータルにサイン インできるようにする場合に、[エンタープライズ ログインの設定] ボタンを使用して、ポータルでの SAML 準拠の ID プロバイダーの構成を行います。
ポータルで SAML 準拠の ID プロバイダーを構成している場合、[サイン イン オプション] セクションが表示され、ポータルのサイン イン ページに表示されるオプションを構成できます。表示したいオプションの切り替えボタンをオンにします。たとえば、すべてのメンバーが SAML 準拠の ID プロバイダーのログインでのみサイン インするようにしたい場合は、2 つ目のオプションを無効化します。組織のエンタープライズ ログインが有効になっていない場合、[サイン イン オプション] セクションが表示されません。
アクセス時の通知
利用条件の注意事項を構成し、サイトにアクセスするユーザーに表示することができます。
組織のメンバー、または組織サイトにアクセスするすべてのユーザー、あるいはその両方のために、アクセス時の通知を構成することができます。組織のメンバーのためのアクセス時の通知を設定した場合、メンバーがサイン インした後に注意事項が表示されます。すべてのユーザーのためのアクセス時の通知を設定した場合、ユーザーがサイトにアクセスするときに、注意事項が表示されます。両方のアクセス時の通知を設定した場合、組織のメンバーには両方の注意事項が表示されます。
組織のメンバーまたはすべてのユーザーのためのアクセス時の通知を構成するには、適切なセクションで [アクセス時の通知の設定] をクリックし、切り替えボタンをオンにしてアクセス時の通知を表示し、注意事項のタイトルとテキストを入力します。ユーザーがサイトに進む前にアクセス時の通知に承認するようにする場合は [承認および拒否] オプションを選択し、ユーザーが [OK] をクリックするだけで続行できるようにする場合は、[OK のみ] を選択します。終了したら、[保存] をクリックします。
組織メンバーまたは全ユーザー向けのアクセスの注意事項を編集するには、該当セクションの [アクセス時の通知の編集] をクリックし、タイトル、テキスト、またはアクション ボタンのオプションを変更します。アクセスの注意事項の表示を停止したい場合は、切り替えボタンを使用して、アクセスの注意事項を無効化します。アクセスの注意事項を無効化後、アクセスの注意事項を再度有効化した場合、先に入力したテキストと構成が保持されます。終了したら、[保存] をクリックします。
情報バナー
情報バナーを使用して、組織サイトにアクセスするすべてのユーザーに対して、サイトの状態およびコンテンツに関して警告することができます。たとえば、サイトの上部および下部に表示されるカスタム メッセージを作成することによって、メンテナンス スケジュール、分類情報通知、および読み取り専用モードに関して、ユーザーに知らせます。このバナーは、ホーム、ギャラリー、マップ ビューアー、シーン ビューアー、グループ、コンテンツ、および組織の各ページ、ならびにアプリで有効化している場合は ArcGIS Enterprise サイトに作成されたサイトに表示されます。
メモ:
10.8 では、この情報バナーは、構成ファイル内で classificationBanner プロパティを設定するワークフローを置き換えます。
組織で情報バナーを有効化するには、[情報バナーの設定] をクリックして、[情報バナーの表示] をオンにします。テキストを [バナー テキスト] フィールドに追加し、背景色およびフォントの色を選択します。選択したテキストと背景色のコントラスト比が表示されます。コントラスト比は、WCAG 2.1 アクセシビリティ基準に基づく見やすさの尺度です。これらの基準に従うために、4.5 のコントラスト比をお勧めします。
[プレビュー] ウィンドウで、情報バナーをプレビューできます。[保存] をクリックして、バナーを組織サイトに追加します。
情報バナーを編集する場合は、[情報バナーの編集] をクリックして、バナーのテキストまたはスタイルを変更します。情報バナーの表示を停止したい場合は、切り替えボタンを使用して、情報バナーを無効化します。情報バナーを無効化後、情報バナーを再度有効化した場合、先に入力したテキストと構成が保持されます。終了したら、[保存] をクリックします。
信頼できるサーバー
[信頼できるサーバー] で CORS (Cross-Origin Resource Sharing) リクエストを作成して Web 層認証で保護されたサービスにアクセスする際に、組織サイトによって認証情報を送信してもらう、信頼できるサーバーのリストを構成します。これは主に、スタンドアロンの (フェデレーションが解除された) ArcGIS Server から保護されたフィーチャ サービスを編集したり、保護された OGC サービスを表示したりする場合に適用します。トークンベースのセキュリティで保護された ArcGIS Server ホスティング サービスは、このリストに追加する必要はありません。信頼できるサーバーのリストに追加されたサーバーは、CORS をサポートする必要があります。 CORS をサポートしていないサーバーでホストされているレイヤーは、期待どおりに機能しない可能性があります。ArcGIS Server は、10.1 以降のバージョンで、CORS をデフォルトでサポートしています。ArcGIS 以外のサーバーで CORS を構成するには、Web サーバー向けのベンダー ドキュメントをご参照ください。
ホスト名は、個々に入力する必要があります。ワイルドカードは使用できません。ホスト名を入力する際は、先頭にプロトコルを付けても付けなくてもかまいません。たとえば、ホスト名 secure.esri.com は、secure.esri.com または https://secure.esri.com として入力できます。
メモ:
Web 層認証で保護されたフィーチャ サービスを編集するには、CORS 対応の Web ブラウザーを使用する必要があります。最新バージョンの Firefox、Chrome、Safari、Internet Explorer は CORS に対応しています。お使いのブラウザーが CORS に対応しているかテストするには、http://caniuse.com/cors を開きます。
オリジンの許可
ArcGIS REST API は、デフォルトで、任意のドメインの Web アプリケーションから送信される Cross-Origin Resource Sharing (CORS) リクエストを受け入れています。組織で、CORS を介して ArcGIS REST API にアクセスできる Web アプリケーション ドメインを制限するには、そのドメインを明示的に指定する必要があります。たとえば、Web アプリケーションへの CORS アクセスを acme.com のみに制限する場合は、[追加] をクリックして、テキスト ボックスに「[https://acme.com]」と入力し、[ドメインの追加] をクリックします。最大で 100 の信頼されたドメインを組織サイトに指定することができます。arcgis.com ドメインで実行されるアプリケーションは、ArcGIS REST API に常にアクセスが許可されているため、arcgis.com を信頼されたドメインとして指定する必要はありません。
ポータルへのアクセスを許可
セキュリティで保護されたコンテンツを共有したいポータルのリスト (例: https://otherportal.domain.com/arcgis) を構成します。この構成により、組織のメンバーはエンタープライズ ログイン (SAML ログインを含む) を利用してセキュリティで保護されたコンテンツにアクセスし、ポータルからコンテンツを閲覧できるようになります。組織サイトが連携しているポータルは自動的にリストに含まれるため、手動で追加する必要はありません。 これは、Portal for ArcGIS バージョン 10.5 以降のポータルにのみ適用されます。セキュリティ保護されたコンテンツを ArcGIS Online の組織サイトに共有する場合、この設定は不要です。
ポータルの URL は個別に入力する必要があります。入力する際はプロトコルも含めてください。ワイルドカードは使用できません。追加するポータルが HTTP アクセスと HTTPS アクセスの両方を許可している場合、そのポータルの 2 つの URL を追加する必要があります (例: http://otherportal.domain.com/arcgis と https://otherportal.domain.com/arcgis)。リストに追加するすべてのポータルは最初に整合チェックされるため、ブラウザーからアクセスできる必要があります。