Windows Active Directory でユーザー認証を行う場合、PKI (Public Key Infrastructure) を使用して、ArcGIS Server へのアクセスのセキュリティを確保することができます。
統合 Windows 認証と PKI を使用するには、Microsoft の IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (IIS) を ArcGIS Server サイトにインストールして構成します。
注意:
ポータルに ArcGIS Server サイトを追加して、サーバーで Windows Active Directory と PKI を使用する場合は、ポータルに追加する前に、ArcGIS Server サイトで PKI ベースのクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで PKI ベースのクライアント証明書認証を使用していない場合、上記の操作は必要ありません。サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
サーバーで Windows Active Directory を構成する
ArcGIS Server セキュリティの構成による Windows Active Directory ユーザーとロールの使用
統合 Windows 認証をサポートするには、Windows Active Directory サーバーからユーザーとロールを取得するように ArcGIS Server を構成します。
- ArcGIS Server Manager を開いて、プライマリ サイト管理者としてログインします。プライマリ サイト管理者アカウントを使用する必要があります。この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
- [セキュリティ] > [設定] の順にクリックします。
- [構成設定] の横にある [編集] ボタン
をクリックします。 - [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
- [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
- [Windows ドメインの認証情報] ページで、ユーザーが所属しているグループを判別する権限を持つアカウントの認証情報を入力します。[次へ] をクリックします。
注意:
有効期限のないパスワードを使用してアカウントを指定することをお勧めします。有効期限があると、アカウントのパスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。
- [認証層] ページで、[Web 層] を選択します。
- 選択の概要を確認します。[完了] をクリックしてセキュリティ構成を適用し、保存します。
ユーザーとロールの確認
ユーザーとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザーとロールを確認してこれらが正しく取得されたことを確認します。ユーザーとロールを追加、編集、または削除するには、Active Directory サーバーで使用可能なツールを使用する必要があります。
- ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
- ユーザーが Windows ドメイン サーバーから想定どおりに取得されたことを確認します。Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのユーザーが表示されます。他のドメインのユーザーを表示するには、[ユーザーの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン
をクリックします。 - [ロール] をクリックして、Windows ドメイン サーバーから取得したロールを確認します。Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのロールが表示されます。他のドメインのロールを表示するには、[ロールの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン をクリックします。
- ロールが想定どおりに取得されたことを確認します。
Active Directory ユーザーに対する管理者と公開者の権限の構成
標準の ArcGIS Server では、プライマリ サイト管理者だけがサーバーにアクセスできます。Active Directory ユーザーを使用して ArcGIS Server の管理やサービスの公開を行う場合は、次の手順に従う必要があります。
- ArcGIS Server Manager で、[セキュリティ] タブをクリックし、[ユーザー] ページを開きます。
- [ユーザーの検索] ツールを使用して、管理者または公開者の権限を割り当てるユーザーを検索します。このユーザーが属しているロールを確認し、管理者または公開者の権限が割り当てられるロールを選択します。
- [ロール] ページを開き、[ロールの検索] ツールを使用して、前の手順で選択したロールを検索します。
- ロールの横にある [編集] ボタン をクリックします。
- [ロール タイプ] パラメーターに対して、[公開者] または [管理者] のいずれかを選択します。
- [保存] をクリックして、変更内容を適用します。
Active Directory クライアント証明書マッピング認証のインストールと有効化
Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。フィーチャをインストールして有効にする必要があります。
クライアント証明書マッピング認証のインストール
この機能をインストールする手順は、使用しているオペレーティング システムによって異なります。
Windows Server 2008/R2 および 2012/R2
- [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
- [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
- [役割サービス] セクションにスクロールし、[役割サービスの追加] をクリックします。
- [役割サービスの追加ウィザード] の [役割サービスの選択] ページで [クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
- [インストール] をクリックします。
Windows 7、8、および 8.1
- [コントロール パネル] を開いて、[プログラムと機能] > [Windows の機能の有効化または無効化] の順に選択します。
- [インターネット インフォメーション サービス] > [World Wide Web サービス] > [セキュリティ] の順に展開し、[クライアント証明書マッピング認証] を選択します。
- [OK] をクリックします。
Active Directory クライアント証明書マッピング認証の有効化
Active Directory クライアント証明書マッピングをインストールしたら、次の手順に従ってフィーチャを有効にします。
- インターネット インフォメーション サービス (IIS) マネージャーを起動します。
- [接続] ノードで、Web サーバーの名前をクリックします。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- [Active Directory クライアント証明書認証] が表示されていることを確認します。この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
- [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。
Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。これについては、次のセクションで対処します。
SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する
- インターネット インフォメーション サービス (IIS) マネージャーを起動します。
- [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
- [機能ビュー] ウィンドウで [認証] をダブルクリックします。
- すべての形式の認証を無効化します。
- [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
- [SSL 設定] をダブルクリックします。
- [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
- [適用] をクリックして変更内容を保存します。
Windows Active Directory と PKI を使用してサイトにアクセスできることを確認する
- サービス ディレクトリを開きます。URL の形式は https://webadaptorhost.domain.com/webadaptorname/rest/services です。
- セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。