ArcGIS Enterprise ポータルとフェデレートされていない ArcGIS Server サイトは、外部アイデンティティ ストアにユーザーとロールを管理させるように構成することができます。Web 層認証を使用すると、ArcGIS Server のログイン操作およびユーザー管理を組織の外部アイデンティティ ストアと統合できます。
外部アイデンティティ ストアに ArcGIS Server サイトのユーザーとロールの両方を管理させるように設定するか、外部アイデンティティ ストアにユーザーのみを管理させて、組み込み ArcGIS Server アイデンティティ ストアがロールを管理するように設定することができます。外部ストアにロールのみを管理させることはできませんが、組み込みストアがユーザーを管理することはできます。
Lightweight Directory Access Protocol (LDAP) ディレクトリ
ArcGIS Server では、Apache Directory Server や OpenLDAP などの LDAP ディレクトリに格納されているユーザー情報とロール情報を活用できます。ArcGIS Server は LDAP ディレクトリをユーザー情報とロール情報の読み取り専用ソースと見なします。このため、LDAP ディレクトリが構成されている場合に、ArcGIS Server Manager を使用してユーザーやロールを追加または削除したり、その属性を編集したりすることはできません。LDAP ディレクトリがユーザーのみを管理するように構成されている場合は、ArcGIS Server Manager を使用してロールを管理できます。
LDAP を使用するには、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置する必要があります。ArcGIS Web Adaptor の IIS バージョンを使用して、LDAP での Web 層認証を実行することはできません。
詳細な手順については、「LDAP ディレクトリでの Web 層認証の構成」をご参照ください。
Active Directory での統合 Windows 認証
Windows Active Directory がある場合は、統合 Windows 認証を使用して、ArcGIS Server に接続できます。サイトのユーザーは、Web 層認証を通して自動ログインまたはシングル ログインが可能です。統合 Windows 認証を使用するには、Microsoft IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。
備考:
ログイン設定により、Active Directory をホストしているコンピューターへのログイン権限が拒否される場合は、Windows をアイデンティティ ストアとして使用するようにセキュリティを構成すると、エラーが発生します。このエラーの回避策については、「高度な構成シナリオ」をご参照ください。
Active Directory は LDAP プロトコルに準拠しているので、IIS バージョンの ArcGIS Web Adaptor と組み合わせて使用できません。
詳細な手順については、「統合 Windows 認証での Web 層認証の構成」をご参照ください。
Public Key Infrastructure
組織が PKI を導入している場合は、証明書を使用してサーバーとの通信を認証することができます。ここでは、SSL (Secure Sockets Layer) プロトコルが使用されます。ユーザーを認証する際、Windows Active Directory または Lightweight Directory Access Protocol (LDAP) を使用することができます。Windows 認証を使用するには、ArcGIS Web Adaptor を Microsoft の IIS Web サーバーに配置する必要があります。LDAP ユーザーを使用するには、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置する必要があります。PKI を使用する場合、サイトへの匿名アクセスを有効にすることはできません。
備考:
ArcGIS Web Adaptor を構成する際に、ArcGIS Web Adaptor を介する管理機能を有効にする必要があります。これによって、エンタープライズ アイデンティティ ストアのユーザーは、ArcMap からサービスを公開できるようになります。これらのロールに含まれるユーザーは、ArcMap でサーバーに接続する場合、ArcGIS Web Adaptor の URL を指定する必要があります。
詳細な手順については、「統合 Windows 認証および PKI での Web 層認証の構成」をご参照ください。
カスタム アイデンティティ ストア
ArcGIS Server サイトのユーザーとロールを管理するようにカスタム アイデンティティ ストアを構成することもできます。これは、LDAP ディレクトリと Active Directory 以外のアイデンティティ ストアを管理している組織向けの高度な設定です。次のトピックでは、順を追って、ArcGIS Server にカスタム アイデンティティ ストアを構成するワークフローを説明しています。