LDAP とクライアント証明書認証を使用したアクセスの保護—Portal for ArcGIS

LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、公開鍵基盤 (PKI) ベースのクライアント証明書認証を使用して、ArcGIS Enterprise 組織へのアクセスのセキュリティを確保することができます。

LDAP と PKI を使用するには、Java アプリケーションサーバーにデプロイされた ArcGIS Web Adaptor (Java Platform) を使用して、クライアント証明書認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用してクライアント証明書認証を LDAP で実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (Java Platform) をポータルにインストールして構成します。

LDAP を使用した組織サイトの構成

デフォルトでは、ArcGIS Enterprise 組織サイトはすべての通信に HTTPS を適用します。以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。

すべての通信に HTTPS を使用するように組織サイトを構成します。

HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。

管理者として組織の Web サイトにサインインします。
URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
[組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
[HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。

ポータルのアイデンティティストアの更新

次に、LDAP のユーザーとグループを使用するように、ポータルのアイデンティティストアを更新します。

ArcGIS 組織の管理者として ArcGIS Portal Directory にサインインします。
URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
[セキュリティ] > [構成] > [アイデンティティストアの更新] の順にクリックします。
[User store configuration (in JSON format)] テキストボックスに、組織の LDAP ユーザー構成情報を (JSON 形式で) 入力します。または、組織に固有のユーザー情報を次のサンプルに反映します。
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}
```
ほとんどの場合、user、userPassword、ldapURLForUsers、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 証明書の Subject　パラメーターの値です。組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute を更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザーグループ) 内のユーザーを参照します。ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルートレベルをポイントします。その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のユーザーの電子メールアドレスとユーザー名を検索する権限を持つ必要があります。パスワードをプレーンテキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。
ポータルに、アイデンティティストア内の既存の LDAP グループを使用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキストボックスに組織の LDAP グループ構成情報を (JSON 形式で) 入力します。または、組織に固有のグループ情報を次のサンプルに反映します。ポータルの組み込みグループのみを使用する場合は、テキストボックス内の情報をすべて削除し、この手順をスキップしてください。
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
ほとんどの場合、user、userPassword、ldapURLForUsers、ldapURLForGroups、および userSearchAttribute パラメーターの値を変更するだけで済みます。 userSearchAttribute は、PKI 証明書の Subject　パラメーターの値です。組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute パラメーターを更新して、PKI 認証の Subject パラメーターと一致させる必要があります。 LDAP の URL は、LDAP 管理者が提供する必要があります。
上記の例では、LDAP URL は特定の OU (ou = ユーザーグループ) 内のユーザーを参照します。ユーザーが複数の OU に存在する場合、LDAP URL は高レベル OU にポイントするか、必要であればルートレベルをポイントします。その場合は、URL は以下のようになります。
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
user パラメーターに使用するアカウントは、組織サイト内のグループ名を検索する権限を持つ必要があります。パスワードをプレーンテキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、[caseSensitive] パラメーターを [true] に設定します。
[Update Configuration] をクリックして、変更内容を保存します。
可用性の高いポータルを構成している場合は、各ポータルコンピューターを再起動します。詳細な手順については、「ポータルの停止と起動」をご参照ください。

組織固有のアカウントの追加

デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。ただし、エンタープライズユーザーは、組織内の全員で共有しているアイテムしか表示できません。これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法を使用して、アカウントを組織に追加します。

個別または一括 (1 つずつ、もしくは .csv ファイルまたは既存の Active Directory グループから一括で追加可能)
コマンドラインユーティリティ
自動

少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。これを行うには、アカウントを追加する際に [管理者] ロールを選択します。代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザーロールを割り当てたり、このアカウントを削除したりすることができます。詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサインインし、コンテンツにアクセスできるようになります。

クライアント証明書認証を使用するための XArcGIS Web Adaptor　の構成

ArcGIS Web Adaptor (Java Platform) を組織サイトにインストールして構成したら、Java アプリケーションサーバー上に LDAP のレルムを構成し、ArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。手順については、システム管理者に問い合わせるか、Java アプリケーションサーバーの製品ドキュメントでご確認ください。

注意:

クライアント証明書認証が機能するには、Java アプリケーションサーバーで TLS 1.3 が無効になっている必要があります。

LDAP とクライアント証明書認証を使用した組織へのアクセスの確認

LDAP とクライアント証明書認証を使用してポータルにアクセスできることを確認するには、次の手順を実行します。

ArcGIS Enterprise ポータルを開きます。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。URL の形式は https://organization.example.com/<context>/home です。
セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが組み込みカウントを作成する機能を無効にします。

このトピックへのフィードバック