Skip To Content

LDAP および PKI を使用したアクセスのセキュリティ保護

LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、PKI (Public Key Infrastructure) を使用して、ArcGIS Enterprise 組織サイトへのアクセスのセキュリティを確保することができます。

LDAP と PKI を使用するには、Java アプリケーション サーバーにデプロイされた ArcGIS Web Adaptor (Java Platform) を使用して、PKI ベースのクライアント証明書認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用して PKI ベースのクライアント証明書認証を LDAP で実行することはできません。 まだ行っていない場合は、ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成します。

LDAP を使用した組織サイトの構成

デフォルトでは、ArcGIS Enterprise 組織サイトはすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。

すべての通信に HTTPS を使用するように組織サイトを構成します。

HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。

  1. 管理者として組織の Web サイトにサイン インします。

    URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。

  2. [組織][設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
  3. [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。

ポータルのアイデンティティ ストアの更新

次に、LDAP のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。

  1. 組織の管理者として ArcGIS Portal Directory にサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
  2. [Security][Config][Update Identity Store] の順にクリックします。
  3. [User store configuration (in JSON format)] テキスト ボックスに、組織の LDAP ユーザー構成情報を (JSON 形式で) 入力します。 また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    ほとんどの場合、useruserPasswordldapURLForUsers、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 認証の Subject パラメーターの値です。 組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute パラメーターを更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。

    上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メール アドレスとユーザー名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。

    LDAP が大文字と小文字を区別するように構成されている場合は、caseSensitive パラメーターを [true] に設定します。

  4. ポータルに、アイデンティティ ストア内の既存の LDAP グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の LDAP グループ構成情報を (JSON 形式で) 入力します。 また、組織に固有のグループ情報を次のサンプルに反映させることもできます。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    ほとんどの場合、useruserPasswordldapURLForUsersldapURLForGroups、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 認証の Subject パラメーターの値です。 組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute パラメーターを更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。

    上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    user パラメーターに使用するアカウントは、組織サイト内のグループ名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。

    LDAP が大文字と小文字を区別するように構成されている場合は、caseSensitive パラメーターを [true] に設定します。

  5. [Update Configuration] をクリックして、変更内容を保存します。
  6. 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。 詳細な手順については、「ポータルの停止と起動」をご参照ください。

組織固有のアカウントの追加

デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法を使用して、アカウントを組織に追加します。

少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。

PKI 認証を使用するための ArcGIS Web Adaptor の構成

ArcGIS Web Adaptor (Java Platform) を組織サイトにインストールして構成したら、Java アプリケーション サーバー上に LDAP のレルムを構成し、ArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。 手順については、システム管理者に問い合わせるか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。

LDAP と PKI を使用した組織へのアクセスの確認

LDAP と PKI を使用してポータルにアクセスできることを確認するには、次の手順を実行します。

  1. ArcGIS Enterprise ポータルを開きます。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。URL の形式は https://organization.example.com/<context>/home です。
  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします