Skip To Content

LDAP サーバーのユーザーとロールによるサービスのセキュリティ保護

ArcGIS Server では、Apache Directory Server や Microsoft Active Directory などの LDAP サーバーに格納されているユーザー情報およびロール情報を活用できます。ArcGIS Server は、ユーザー/ロール情報の読み取り専用ソースとして LDAP サーバーを扱います。このため、ArcGIS Server Manager を使用してユーザーやロールを追加または削除したり、これらの属性を編集したりすることはできません。

LDAP を使用するには、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置する必要があります。ArcGIS Web Adaptor (IIS) を使用して Web 層認証を LDAP で実行することはできません。

次の手順を実行すると、LDAP サーバーのユーザーとロールによって ArcGIS Web サービスのセキュリティを確保できます。

  1. セキュリティ設定の構成
  2. ユーザーとロールの確認
  3. サーバーの ArcGIS Web Adaptor での Web 層認証の設定
  4. サービスの権限の設定

セキュリティ設定の構成

次の手順に従って、Manager を使用してセキュリティを設定します。

  1. ArcGIS Server Manager を開いて、プライマリ サイト管理者としてログインします。プライマリ サイト管理者アカウントを使用する必要があります。この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
  2. [セキュリティ] > [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[LDAP] オプションを選択し、[次へ] をクリックします。
  6. 次のページで、LDAP サーバーに接続するためのパラメーターを入力する必要があります。[テスト接続] をクリックして、LDAP へのテスト接続を作成します。接続の試行が成功したら、[次へ] をクリックします。以下の表では、このページのパラメーターについて説明しています。

    パラメーター説明

    ホスト名

    LDAP サーバーが実行されているホスト コンピューターの名前です。

    myservername

    ポート

    LDAP サーバーが着信接続をリッスンしているホスト コンピューター上のポート番号です。LDAP サーバーがセキュリティで保護された接続 (LDAP) をサポートする場合、ArcGIS Server は、自動的に LDAP プロトコルに切り替えます。指定されたポートが 10389 である場合、ArcGIS Server は、セキュリティで保護された接続をポート 10636 に対して確立します。指定されたポートが 389 である場合、ArcGIS Server は、セキュリティで保護された接続をポート 636 に対して確立します。

    10636

    636

    ベース DN

    ユーザー情報が維持されているディレクトリ サーバー内のノードの識別名 (DN) です。

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    LDAP サーバーへの接続に使用される LDAP URL です (これは自動的に生成されます)。不適切な場合、または変更が必要な場合は、この URL を編集してください。LADP サーバーが、セキュリティで保護された接続に標準のポート 636 を使用しない場合、ここでカスタム ポート番号を指定する必要があります。

    ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (カスタム ポート)

    RDN 属性

    LDAP サーバーのユーザー エントリ用の相対識別名 (RDN) です。

    DN が「cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「cn=john」であり、RDN 属性は cn です。

    DN が「uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「uid=john」であり、RDN 属性は uid です。

    管理者の DN

    ユーザー情報を含んでいるノードにアクセスできる LDAP 管理者アカウントの DN です。

    有効期限のないパスワードを使用して管理者アカウントを指定することをお勧めします。有効期限があると、アカウントのパスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。

    uid=admin,ou=administrators,dc=mydomain,dc=com

    パスワード

    管理者のパスワードです。

    adminpassword

  7. 次のページで、LDAP サーバーからロールを取得するためのパラメーターを入力します。以下の表では、パラメーターについて詳細に説明しています。

    パラメーター説明

    ベース DN

    ロール情報が維持されているディレクトリ サーバー内のノードの DN です。

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    サーバーへの接続に使用される LDAP URL です (これは自動的に生成されます)。不適切な場合、または変更が必要な場合は、この URL を編集してください。

    ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com

    ロール エントリのユーザー属性

    このロールのメンバーであるユーザーの DN を含んでいるロール エントリ内の属性の名前です。

    Apache Directory Server で、最も一般的に使用される属性名は uniqueMember です。Microsoft Active Directory で、最も一般的に使用される属性名は member です。

  8. パラメーターを入力したら、[次へ] をクリックします。
  9. [認証層] ページで、認証を実行する場所を選択して [次へ] をクリックします。このオプションの詳細については、「ArcGIS Server セキュリティの構成」をご参照ください。
  10. 選択の概要を確認します。[戻る] をクリックして変更を行うか、[完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザーとロールの確認

ユーザーとロールの管理にストアを使用するようにセキュリティを構成した後、ユーザーとロールを確認してこれらが正しくインポートされたことを確認します。ユーザーとロールを追加、編集、または削除するには、LDAP プロバイダーが提供しているユーザー管理ツールを使用する必要があります。

  1. ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
  2. ユーザーが、想定どおりに LDAP サーバーから取得されたことを確認します。
  3. [ロール] をクリックして、LDAP サーバーから取得したロールを確認します。
  4. ロールが、想定どおりに LDAP サーバーから取得されたことを確認します。ロールの横にある [編集] ボタンをクリックして、ロールのメンバーシップを確認します。必要に応じて、[ロール タイプ] の値を変更します。ロール タイプについては、「ArcGIS Server へのアクセスの制限」をご参照ください。

ユーザーおよびロールのキャッシュ

ArcGIS 10.5 の時点で、LDAP のユーザーおよびロールは、ユーザーまたはロールのリクエストの後に、サーバー上にキャッシュされます。これによって、セキュリティで保護されたサービスのパフォーマンスが最適化されます。デフォルトでは、ユーザーおよびロールは 30 分間キャッシュされます。この期間を変更するには、システム プロパティの下の ArcGIS Server Administrator Directory で、minutesToCacheUserRoles プロパティを別の値に設定します。このプロパティをゼロに設定して、キャッシュを無効にすることもできます。

サーバーの ArcGIS Web Adaptor での Web 層認証の設定

LDAP には Web 層認証が必要です。これは、ArcGIS Web Adaptor (Java Platform) を使用して実行する必要があります。 ArcGIS Web Adaptor は、ユーザーを認証し、ユーザーのアカウント名を ArcGIS Web Adaptor で指定するのに Java アプリケーション サーバーを利用します。アカウント名を指定したら、それをサーバーに渡します。

注意:

ArcGIS Web Adaptor を構成する際に、ArcGIS Web Adaptor を介する管理機能を有効にする必要があります。これにより、LDAP のユーザーは ArcGIS Desktop からサービスを公開できるようになります。これらのロールに含まれるユーザーは、ArcGIS Desktop でサーバーに接続する場合、ArcGIS Web Adaptor の URL を指定する必要があります。

サーバーで ArcGIS Web Adaptor (Java Platform) をインストールして構成したら、Java アプリケーション サーバー上で LDAP のレルムを構成し、ArcGIS Web Adaptor の認証方式を構成する必要があります。手順については、Java アプリケーション サーバーの製品マニュアルを参照するか、システム管理者にお問い合わせください。

ArcGIS Web サービスの権限の設定

セキュリティ設定を構成し、ユーザーとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザーを制御することができます。

ArcGIS Server は、ロール ベースのアクセス制御モデルを使用して、サーバーでホストされる GIS Web サービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。

権限は、個々の Web サービスに、またはサービスのグループが含まれる親フォルダーに割り当てることができます。フォルダーに権限を割り当てた場合、フォルダー内のサービスはフォルダーの権限を継承します。たとえば、サイト (ルート) フォルダーへのアクセス権限をロールに付与すると、そのロールに属するユーザーにはそのサイトにホストされたすべてのサービスへのアクセス権限が付与されます。また、親フォルダーからサービスにより自動的に継承された権限を無効にするには、サービスを編集して継承された権限を明示的に削除することができます。

サービスの権限については、「Manager での権限の編集」をご参照ください。