LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、PKI (Public Key Infrastructure) を使用して、ポータルへのアクセスのセキュリティを確保することができます。
LDAP と PKI を使用するには、Java アプリケーション サーバーにデプロイされた ArcGIS Web Adaptor (Java Platform) を使用して、PKI ベースのクライアント証明書認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用して PKI ベースのクライアント証明書認証を LDAP で実行することはできません。 まだ行っていない場合は、ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成します。
注意:
ポータルに ArcGIS Server サイトを追加して、サーバーで LDAP と PKI を使用する場合は、ポータルに追加する前に、ArcGIS Server サイトで PKI ベースのクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。 これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。 ArcGIS Server サイトで PKI ベースのクライアント証明書認証を使用していない場合、上記の操作は必要ありません。 サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
LDAP を使用したポータルの構成
デフォルトでは、Portal for ArcGIS はすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。
すべての通信に HTTPS を使用するようにポータルを構成します。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。
ポータルのアイデンティティ ストアの更新
次に、LDAP のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 組織の管理者として ArcGIS Portal Directory にサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Config] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の LDAP ユーザー構成情報を (JSON 形式で) 入力します。 また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
ほとんどの場合、user、userPassword、ldapURLForUsers、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 認証の Subject パラメーターの値です。 組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute パラメーターを更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メール アドレスとユーザー名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、caseSensitive パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存のエンタープライズ グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の LDAP グループ構成情報を (JSON 形式で) 入力します。 また、組織に固有のグループ情報を次のサンプルに反映させることもできます。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
ほとんどの場合、user、userPassword、ldapURLForUsers、ldapURLForGroups、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 認証の Subject パラメーターの値です。 組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute パラメーターを更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のグループ名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、caseSensitive パラメーターを [true] に設定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。 詳細な手順については、「ポータルの停止と起動」をご参照ください。
ポータルにエンタープライズ アカウントを追加する
デフォルトでは、エンタープライズ ユーザーはポータル Web サイトにアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、エンタープライズ アカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法で、ポータルにアカウントを追加します。
- Portal for ArcGIS サイト (1 つずつ、もしくは CSV ファイルまたは既存のエンタープライズ グループから一括で追加可能)
- Python スクリプト
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
PKI 認証を使用するための ArcGIS Web Adaptor の構成
ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成したら、Java アプリケーション サーバー上に LDAP のレルムを構成し、ArcGIS Web AdaptorArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。 手順については、システム管理者に問い合わせるか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。
LDAP と PKI を使用したポータル アクセスの確認
LDAP と PKI を使用してポータルにアクセスできることを確認するには、次の手順を実行します。
- ポータル Web サイトを開きます。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。