Windows Active Directory を使用してユーザーを認証する場合は、公開鍵基盤 (PKI) を利用したクライアント証明書認証を使用して、組織へのアクセスを保護できます。
統合 Windows 認証とクライアント証明書認証を使用するには、Microsoft の IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。 ArcGIS Web Adaptor (Java Platform) を統合 Windows 認証の実行に使用することはできません。 まだ行っていない場合は、ArcGIS Web Adaptor (IIS) をポータルにインストールして構成します。
Windows Active Directory を使用したポータルの構成
最初に、すべての通信に SSL を使用するようにポータルを構成します。 次に、Windows Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
すべての通信に HTTPS を使用するように組織サイトを構成します。
HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。
- 管理者として組織の Web サイトにサイン インします。
URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。
ポータルのアイデンティティ ストアの更新
次に、Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 組織の管理者として Portal Administrator Directory にサイン インします。
URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [Config] > [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。
また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、caseSensitive パラメーターを true に設定します。
- ポータルに、アイデンティティ ストア内の既存の Active Directory グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
また、組織に固有のグループ情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。 詳細な手順については、「ポータルの停止と起動」をご参照ください。
組織固有のアカウントの追加
デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法を使用して、アカウントを組織に追加します。
- 個別または一括 (1 つずつ、もしくは .csv ファイルまたは既存の Active Directory グループから一括で追加可能)
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
Active Directory クライアント証明書マッピング認証のインストールと有効化
Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。 フィーチャをインストールして有効にする必要があります。
Windows Server 2016 でのインストール
Windows Server 2016 でクライアント証明書マッピング認証をインストールするには、次の手順を実行します。
- [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
- [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
- [Web サーバー] および [セキュリティ] の役割を展開します。
- [セキュリティ] 役割セクションで、[クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
- [機能の選択] タブで [次へ] をクリックして、[インストール] をクリックします。
Windows Server 2019 または 2022 を使用したインストール
Windows Server 2019 または 2022 でクライアント証明書マッピング認証をインストールするには、次の手順を実行します。
- [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
- [サーバー マネージャー ダッシュボード] で、[役割と機能の追加] をクリックします。
- デフォルト設定をそのまま使用し、[開始する前に]、[インストールの種類]、および [サーバーの選択] ページで [次へ] をクリックします。
- [サーバーの役割] ページで、[Web サーバー (IIS)] を有効にして、[次へ] をクリックします。
- [機能] ページで [次へ] をクリックします。
- [Web サーバーの役割 (IIS)] ページで、[次へ] をクリックします。
- [役割サービス] ページで、[セキュリティ] セクションを展開します。
- [セキュリティ] セクションで、[IIS クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
- [確認] ページで [インストール] をクリックします。
Active Directory クライアント証明書マッピング認証の有効化
Active Directory クライアント証明書マッピングをインストールしたら、次の手順を実行して機能を有効にします。
- Internet Information Server (IIS) マネージャーを起動します。
- [接続] ノードで、Web サーバーの名前をクリックします。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- [Active Directory クライアント証明書認証] が表示されていることを確認します。
この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
- [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。
Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。 これについては、次のセクションで対処します。
SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する
SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成するには、次の手順を実行します。
- インターネット インフォメーション サービス (IIS) マネージャーを起動します。
- [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- すべての形式の認証を無効化します。
- [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
- [SSL 設定] をダブルクリックします。
- [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
- [適用] をクリックして変更内容を保存します。
注意:
クライアント証明書認証が Microsoft Windows Server 2022 で機能するには、HTTPS サイトのバインドで TLS 1.3 が無効になっている必要があります。
Windows Active Directory とクライアント証明書認証を使用してポータルにアクセスできるか確認します。
以下の手順に従って、Windows Active Directory とクライアント証明書認証を使用してポータルにアクセスできるかを確認します。
- ポータルを開きます。
URL の形式は https://organization.example.com/<context>/home です。
- セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが組み込みカウントを作成する機能を無効にします。