LDAP (Lightweight Directory Access Protocol) または Windows Active Directory を使用して、ポータルへのアクセスのセキュリティを確保できます。 LDAP を使用すると、組織の LDAP サーバーでログインが管理されます。 Windows Active Directory を使用する場合、Microsoft Windows Active Directory を通じてログインが管理されます。 LDAP または Active Directory のポータルのアイデンティティ ストアを更新すると、ポータル層で認証を構成できるようになります。
すべての通信に HTTPS を使用するように組織サイトを構成
デフォルトでは、ArcGIS Enterprise はすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するように組織サイトを再構成する必要があります。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] ページで [設定] タブをクリックして [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] をオンにします。
- [保存] をクリックして、変更内容を適用します。
組織サイトのアイデンティティ ストアの更新
次に、LDAP または Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
LDAP を使用したアイデンティティ ストアの更新
- 組織の管理者として ArcGIS Enterprise Administrator Directory にサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Configuration] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の LDAP ユーザー構成情報を (JSON 形式で) 入力します。 また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
ほとんどの場合、user、userPassword、および ldapURLForUsers パラメーターの値を変更するだけで済みます。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メール アドレスとユーザー名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Identity Store] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存の LDAP グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の LDAP グループ構成情報を (JSON 形式で) 入力します。 また、組織に固有のグループ情報を次のサンプルに反映させることもできます。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
ほとんどの場合、user、userPassword、および ldapURLForUsers パラメーターの値を変更するだけで済みます。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザー グループ) 内のユーザーを参照します。 ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルート レベルをポイントします。 その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メール アドレスとユーザー名を検索する権限を持つ必要があります。 パスワードをプレーン テキストで入力しても、[Update Identity Store] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。
- [Update Identity Store] をクリックして、変更内容を保存します。
Active Directory を使用したアイデンティティ ストアの更新
- 組織の管理者として ArcGIS Enterprise Administrator Directory にサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Configuration] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。 また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Identity Store] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、caseSensitive パラメーターを true に設定します。
- ポータルに、アイデンティティ ストア内の既存の Active Directory グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。 また、組織に固有のグループ情報を次のサンプルに反映させることもできます。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Identity Store] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Identity Store] をクリックして、変更内容を保存します。
追加のアイデンティティ ストア パラメーターの必要に応じた構成
ArcGIS Enterprise Administrator Directory API を使用して変更できる追加のアイデンティティ ストア構成パラメーターがあります。 これらのパラメーターには、組織固有のユーザーがポータルにサイン インしたときにグループを自動的に更新するかどうかの制限、メンバーシップ更新間隔の設定、複数のユーザー名フォーマットのチェックを行うかどうかの定義といったオプションが含まれます。 詳細については、「アイデンティティ ストアの更新」をご参照ください。
ポータル層認証の構成
Active Directory または LDAP アイデンティティ ストアでポータルを構成すると、IIS または Java アプリケーション サーバーの Web アダプターを通じて匿名アクセスを有効にする必要があります。 ユーザーが組織サイトのサイン イン ページにアクセスするとき、組織固有の認証情報または組み込み認証情報を使用してサイン インできます。 組織固有のユーザーは、ポータルにサイン インするたびにアカウント認証情報を入力する必要があり、自動サイン オンまたはシングル サインオンは使用できません。 この種の認証を使用すると、すべての人と共有されているマップやその他の組織リソースに匿名ユーザーがアクセスすることもできます。
認証情報を使用してポータルにアクセスできることを確認する
- ArcGIS Enterprise ポータルを開きます。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- 組織固有のアカウント認証情報 (たとえば以下の構文) を使用してサイン インします。
ポータル層認証を使用する場合、メンバーは次の構文を使用してサイン インします。
- ポータルで Active Directory を使用している場合、domain\username または username@domain という構文を使用できます。 メンバーのサイン イン方法に関係なく、ユーザー名はポータル Web サイトで常に username@domain と表示されます。
- ポータルで LDAP を使用している場合、構文はユーザー ストアの構成で指定された usernameAtrribute によって異なります。 ポータル Web サイトでも、アカウントがこの形式で表示されます。
ポータルに組織固有のアカウントを追加する
デフォルトでは、組織固有のユーザーはポータル Web サイトにアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法を使用して、アカウントを組織に追加します。
- 個別または一括 (1 つずつ、もしくは CSV ファイルまたは既存の LDAP グループから一括で追加可能)
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。
ユーザーは、アカウントが追加された時点で、組織サイトにサイン インしてコンテンツにアクセスできるようになります。