ArcGIS Enterprise を配置しようとする際の重要な作業の 1 つは、ポータルにアクセスするアカウントの管理方法と、それらのアカウントに付与する権限を決定することです。アカウントの管理方法の決定とは、アイデンティティ ストアを選択するということです。
アイデンティティ ストアの理解
ポータルのアイデンティティ ストアは、ポータル アカウントの認証情報を保存する場所と、認証がどのように発生するか、およびグループ メンバーシップの管理方法を定義します。ArcGIS Enterprise ポータルは、組み込みとエンタープライズという 2 種類のアイデンティティ ストアをサポートしています。
組み込みアイデンティティ ストア
ArcGIS Enterprise ポータルを構成して、ポータルで簡単にアカウントとグループを作成できます。ポータル Web サイトの [サイン イン] ページで [アカウントの作成] リンクを使用して (有効な場合)、組み込みアカウントをポータルに追加し、組織サイトへのコンテンツの提供や、他のメンバーが作成したリソースへのアクセスを行うことができます。ポータルの Web サイトのホーム ページで、[グループ] タブをクリックしてグループを作成し、アイテムを管理することもできます。この方法でポータルにアカウントとグループを作成した場合は、組み込みアイデンティティ ストアを利用することになります。ストアは認証を実行して、ポータル アカウントのユーザー名、パスワード、ロール、およびグループ メンバーシップを保存します。
ポータルの初期管理者アカウントを作成するには、組み込みアイデンティティ ストアを使用する必要があります。ただし、後でエンタープライズ アイデンティティ ストアに切り替えることができます。組み込みアイデンティティ ストアは、ポータルを起動して実行する場合に利用され、開発やテストを行う場合にも役立ちます。ただし、運用環境では、一般的にエンタープライズ アイデンティティ ストアが利用されます。
エンタープライズ アイデンティティ ストア
ArcGIS Enterprise ポータルは、エンタープライズ アカウントおよびグループを使用して ArcGIS の組織サイトへのアクセスを制御できるように設計されています。たとえば、LDAP (Lightweight Directory Access Protocol) サーバー、Active Directory サーバー、および SAML (Security Assertion Markup Language) 2.0 Web シングル サインオンをサポートする ID プロバイダーの認証情報を使用して、ポータルへのアクセスを制御できます。この手順は、エンタープライズ ログイン アカウントの設定ドキュメントで説明されています。
この方法の利点は、ポータル内に追加アカウントを作成する必要がないことです。メンバーは、エンタープライズ アイデンティティ ストア内にすでに設定されているログイン情報を使用します。アカウント認証情報の管理は、完全にポータルの外部で行われます。これによりシングル サインオン機能が有効となり、ユーザーは認証情報を再度入力する必要がなくなります。
同様に、ポータルにアイデンティティ ストアの既存のエンタープライズ グループを利用するグループを作成することもできます。また、組織のエンタープライズ グループからエンタープライズ アカウントを一括で追加できます。メンバーがポータルにログインすると、コンテンツ、アイテムおよびデータへのアクセスは、エンタープライズ グループで定義されているメンバーシップ ルールで管理されます。グループのメンバーシップの管理は、完全にポータルの外部で行われます。
たとえば、ポータルへの匿名アクセスを無効化し、ポータルを組織の目的のエンタープライズ グループに接続してから、それらのグループに基づいてエンタープライズ アカウントを追加することをお勧めします。こうすることで、組織内の特定のエンタープライズ グループに基づいて、ポータルへのアクセスを制限できます。
組織でパスワードの有効期限や複雑さに関するポリシーを設定する場合、既存のエンタープライズ グループを使用してアクセスを制御する場合、または統合 Windows 認証 (IWA)や PKI (Public Key Infrastructure) を認証に利用する場合は、エンタープライズ アイデンティティ ストアを使用します。認証は、Web 層 (Web 層認証を使用して) またはポータル層 (ポータル認証を使用して)で処理をするか、または外部 ID プロバイダー(SAML を使用して) を通して処理できます。
ArcGIS Enterprise は、Active Directory アイデンティティ ストアを使用して、単一のフォレストでの複数のドメインからの認証をサポートしますが、フォレスト間の認証を提供しません。複数のフォレストからのエンタープライズ ユーザーをサポートするには、SAML アイデンティティ プロバイダーが必要です。
複数のアイデンティティ ストアのサポート
SAML 2.0 では、複数のアイデンティティ ストアを使用したポータルへのアクセスを許可できます。サイン インするユーザーは、組み込みアカウントと、相互に信頼するように構成された複数の SAML 準拠の ID プロバイダーで管理されているアカウントを使用できます。これは、組織内外に存在する複数ユーザーを管理するのに役立ちます。詳細については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。
アクセス権限の理解
ArcGIS Enterprise でのアカウントの管理方法を決定したら、ArcGIS 組織サイトにアクセスするユーザーに付与する権限を決定する必要があります。権限は、ポータルにアクセスするユーザーが ArcGIS 組織サイトに所属するかどうかによって定義されます。
ArcGIS 組織アカウントを使用しないでポータルにアクセスしたユーザーは、パブリック アイテムの検索と使用のみを行うことができます。たとえば、パブリック Web マップが Web サイトに埋め込まれている場合、そのマップを参照するユーザーは、アカウントを持っていない場合でも、ポータルのアイテムにアクセスできます。このタイプのアクセスを有効にするかどうかは、ArcGIS 管理者に任されています。ArcGIS 組織サイトに所属していないユーザーのアクセスを、常に無効にすることができます。この方法については、「匿名アクセスの無効化」をご参照ください。
ArcGIS 組織サイトのメンバーであるユーザーは、上位の権限を使用してポータルにアクセスできます。ArcGIS 組織サイトの各メンバーは、ポータル Web サイトの [組織] ページに一覧表示されます。組織のメンバーは、ユーザー タイプで編成されます。ユーザー タイプは、異なる権限を持つ複数のロールに対応しています。詳細については、「ユーザー タイプ、ロール、権限」をご参照ください。
ArcGIS 組織サイトの新しいアカウントをポータルに追加した場合、デフォルトでは、ユーザー ロールがそのアカウントに付与されます。ただし、ポータルの管理者は、いつでもロールを変更できます。
ArcGIS 組織アカウントの管理
ArcGIS 組織アカウントは、ポータル Web サイトの組織パネルに追加されているユーザー アカウントです。これらのユーザーは、ドキュメントおよびポータル Web サイトのユーザー操作を通じて、通常は組織サイトのメンバーと呼ばれます。
管理者の重要な役割は、ArcGIS 組織サイトの各メンバーに付与する権限だけでなく、誰が組織サイトのメンバーになれるかについても、完全に管理することです。
ポータルでの ArcGIS 組織アカウントの最大数は、ポータルのライセンスに使用されるライセンス ファイルで定義されます。ポータル Web サイトの [組織] ページの [概要] タブまたは [ライセンス] タブで、ユーザー タイプを割り当てられたメンバーの総数と使用可能なユーザー タイプ ライセンスの残りの総数をいつでも比較できます。[概要] の [メンバー] 概要に、割り当てられたライセンスの総数と使用可能なライセンスの総数が表示されます。[ライセンス] タブの [ユーザー タイプ] タブに、割り当てられたライセンスと使用可能なライセンスがユーザー タイプごとに表示されます。
組み込みストアを使用する場合のアカウントの管理
組み込みストアを使用した場合、どのユーザーにも ArcGIS 組織サイトへの加入に使用できるリンクが表示されるよう、ポータル Web サイトを構成できます。これによって、組織サイトへのユーザーの加入は簡単になりますが、実際には加入するユーザーを制限できません。ポータルへのアクセス権限を持つユーザーであれば誰でもアカウントを作成できます。ユーザーの加入を詳細に制御したい場合は、セルフサービス機能を無効にし、事前に定義したアカウント数を使用して、ポータルをまとめてプロビジョニングします。ArcGIS 組織アカウントをまとめて作成する手順については、「ポータルへのメンバーの追加」をご参照ください。いつでも、ポータル Web サイトからメンバーを削除したり、メンバーの権限を変更したりできます。
エンタープライズ アイデンティティ ストアを使用する場合のアカウントの管理
ArcGIS Enterprise ポータルでは、エンタープライズ ストアのアカウントを削除、編集、または新規作成することはできませんが、既存のエンタープライズ アカウントを組織サイトに登録することはできます。このため、エンタープライズ アイデンティティ ストアを使用してポータルを構成すると、ポータル Web サイトのサインアップ ページは使用できなくなります。
管理者は、通常、組織サイトに追加するエンタープライズ ログインを選択し、それらをまとめて追加します。ArcGIS 組織アカウントをまとめて作成する手順については、「ポータルへのメンバーの追加」をご参照ください。いつでも、ポータル Web サイトからメンバーを削除したり、メンバーの権限を変更したりできます。
あるいは、ポータルまたはポータルのいずれかのアイテムに接続したすべてのエンタープライズ アカウントを自動的に追加できます。詳細については、「エンタープライズ アカウントの自動登録」をご参照ください。
エンタープライズ アイデンティティ ストアを使用してポータルを構成した場合、ArcGIS 組織サイトへの匿名アクセスが無効化されるということを理解することが重要になります。つまり、ポータルにアクセスするどのユーザーも、最初にエンタープライズ ストアに対して認証する必要があるということです。認証が行われると、ユーザーが ArcGIS 組織アカウントを持っているかどうかによって、ユーザーの権限が決定されます。
レガシー:
Portal for ArcGIS 10.2 では、エンタープライズ アカウントは、組織サイトのメンバーとして自動的に登録されていました。つまり、組織サイトのメンバー数が、意図せずに最大メンバー数を超えてしまう場合があるこということです。Portal for ArcGIS 10.2 をそれ以降のバージョンにアップグレードした場合、この従来の動作が引き継がれ、アカウントはデフォルトで自動的に登録されます。Portal for ArcGIS を新規インストールした場合、デフォルトでは、アカウントの自動登録は許可されません。ポータルを 10.2 から以降のバージョンにアップグレードする場合、メンバーとして組織サイトに追加されるユーザーを詳細に制御するために、この動作をオフにすることを検討してください。詳細な手順については、「エンタープライズ アカウントの自動登録」をご参照ください。
アカウントのロックアウト ポリシー
ユーザーのパスワードを推測しようとする大量の自動処理から保護するために、ソフトウェア システムがアカウントのロックアウト ポリシーを強制する場合があります。特定の期間内に一定の回数ログオンに失敗したユーザーは、指定した期間、それ以上のログオン操作を拒否されます。これらのポリシーでは、ユーザーが自分のユーザー名とパスワードを忘れてログインに失敗する場合があることも考慮します。
Portal for ArcGIS で使用されるロックアウト ポリシーは、使用するアイデンティティ ストア ストアのタイプによって異なります。
組み込みアイデンティティ ストア
組み込みアイデンティティ ストアでは、無効な試行が 5 回連続して行われると、ユーザーがロックアウトされます。ロックアウトの期間は 15 分です。このポリシーは、アイデンティティ ストアのすべてのユーザー (初期管理者アカウントを含む) に適用されます。このポリシーを変更または置換することはできません。
エンタープライズ アイデンティティ ストア
エンタープライズ アイデンティティ ストアを使用する場合、アカウントのロックアウト ポリシーはアイデンティティ ストアから継承されます。アイデンティティ ストアでは、アカウントのロックアウト ポリシーを変更することができます。アカウントのロックアウト ポリシーを変更する方法については、各種アイデンティティ ストア タイプのドキュメントをご参照ください。