Skip To Content

ポータルのプロキシ機能の制限

シナリオによっては、Portal for ArcGIS はプロキシ サーバーとして動作します。 この機能は次のような場合に使用されます。

  • ポータルとは別のドメインにあるリソースにアクセスしようとしたときに、CORS (Cross Origin Resource Sharing) サポートを使用できない場合。 CORS は、ドメイン間のリクエストを許可するかどうかを、Web サーバーと Web ブラウザーで対話して決定できるようにするための仕様です。
  • セキュリティで保護されたリソースを他のユーザーと共有する際に、リソースへのアクセスに必要なユーザーの認証情報を隠蔽する場合。

デフォルトでは、ポータルのプロキシ機能は制限されていません。 このため、ポータルが悪用され、ポータル コンピューターがアクセスできるコンピューターに対して DoS (Denial of Service) や SSRF (Server Side Request Forgery) 攻撃が実行される可能性があります。 この脆弱性を軽減するために、承認済みの Web アドレスのリストを定義して、ポータルのプロキシ機能を制限することをお勧めします。 Portal for ArcGIS は、リストに指定されているアドレスへのリクエストだけをプロキシ処理し、その他のリクエストをすべてブロックできるようになります。 ArcGIS Server をポータルとフェデレートしている場合は、リストにサイト内にあるすべてのコンピューターのアドレスと、ポータルのアイテムとして共有されているすべてのリソースのアドレスを含める必要があります。

承認済みアドレスのリストを定義するには、次の手順に従います。

  1. Web ブラウザーを開き、組織の管理者として ArcGIS Portal Directory にサイン インします。 URL の形式は、https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
  2. [Security] > [Config] > [Update Security Configuration] の順にクリックします。
  3. [Configuration] フィールドで、allowedProxyHosts プロパティを追加して、承認済みアドレスのリストを次のように指定します。
    {
        "disableServicesDirectory": false,
        "enableAutomaticAccountCreation": false,
        "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    注意:

    指定したドメイン内のすべてのコンピューターへのプロキシ リクエストを許可する場合は、(.*).domain.com という書式を使用します。 ワイルドカード (*) は注意して使用してください。承認されていないユーザーに、制限されたコンピューターへのアクセスが意図せず付与されてしまう場合があります。

  4. [Update Configuration] をクリックします。