ArcGIS Server へのアクセスの制御—ArcGIS Server | ArcGIS Enterprise のドキュメント

GIS リソースのセキュリティは、ユーザーの適切かつ厳重な認証と許可に基づいています。認証は、ユーザーが本人であることを検証するプロセスであり、許可は、認証されたユーザーに、リクエストされたリソースにアクセスする権限またはリクエストされた操作を実行する権限があることを検証するプロセスです。セキュリティで保護されたリソースおよび操作に権限を適用する場合は、最初にユーザーが認証され、次にそのユーザーの許可が検証されます。これらの用語はセキュリティモデルで定義されています。

ArcGIS Server サイトのセキュリティモデルによって、サイトのサービスにアクセスできるユーザー、サービスを公開、変更、削除できるユーザー、サイト内で管理タスクを実行できるユーザーが決まります。複数のセキュリティモデルが用意されており、GIS 配置の構成と、組織のエンタープライズ ID プロバイダーを配置と統合するかどうかによって利用できるセキュリティモデルが異なります。

ユーザー、ロール、権限

ArcGIS Server のリソースがセキュリティで保護されている場合は、許可されたユーザーだけがそのリソースにアクセスできます。ArcGIS Enterprise (スタンドアロン ArcGIS Server を含む) では、ロールベースのアクセス制御システムを使用して、セキュリティで保護されたリソースへのアクセスを管理しています。ロールベースのアクセス制御システムの主要な構成要素は、ユーザー、ロール、および権限の 3 つです。

ユーザー

ユーザーは、サーバーリソースにアクセスする人またはソフトウェアエージェントを表します。アイデンティティストアは、リソースのリクエストを実行できるユーザーのリストです。ArcGIS Server と ArcGIS Enterprise ポータルのどちらにも組み込みアイデンティティストアがあり、エンタープライズ ID プロバイダーのアイデンティティストアを使用することもできます。

ロール

ロールは、特定のアクセスレベルを持つ一連のユーザーです。通常、ロールを構成するユーザーは職務、役職、またはその他の関係によって関連付けられています。たとえば、ArcGIS Server サイトの管理を実行するユーザーは [管理者] というロールに分類され、GIS リソースの表示と検索だけを実行する必要のあるユーザーには [閲覧者] というロールが割り当てられます。ArcGIS Server の組み込みアイデンティティストアでは、1 人のユーザーが複数のロールに属することができます。ArcGIS Enterprise ポータルの組み込みアイデンティティストアでは、1 人のユーザーに 1 つのロールだけが付与されます。

権限

アクセス権限では、特定のタスクを実行する権限や特定のリソースにアクセスする権限が付与されます。1 つのアクセス権限を 1 つのロールにのみ割り当てることができます。各ユーザーは、自分が属しているロールから継承することでしか権限を取得できません。ロールベースのアクセス制御では、組織のアクセス制御ポリシーを効率的かつ効果的に適用、管理、および監査することができます。アクセス権限は ArcGIS Server によって内部で管理されます。

利用可能なセキュリティモデル

ArcGIS Server は ArcGIS Enterprise プラットフォームの主要なコンポーネントであり、包括的な Web GIS システムを組織に提供します。ArcGIS Server は、スタンドアロンシステムとして配置したり、フェデレーションを使用して ArcGIS Enterprise ポータルと統合したりすることができます。

スタンドアロン ArcGIS Server サイトのセキュリティモデルは、サーバー管理者が決定します。フェデレートされた ArcGIS Enterprise 配置では、ポータル管理者が共有モデルとセキュリティモデルを決定します。これによって、サーバーサイトのモデルが無効化されます。

ArcGIS Server と ArcGIS Enterprise ポータルのどちらにも、堅牢かつ効果的な組み込み認証ストアおよびアイデンティティストアがあり、デフォルトで適用されています。ArcGIS Enterprise およびスタンドアロン ArcGIS Server サイトでは、Web 層認証と外部 ID プロバイダーもサポートされています。このプロバイダーを構成すると、ユーザー認証がアイデンティティストアで実行されます。

スタンドアロン ArcGIS Server サイト

ArcGIS Server では、ロールベースのアクセスモデルが使用されます。ユーザーには、特定のアクセス権限が付与された 1 つ以上のロールが割り当てられます。

これらのユーザーとロールを管理するために、スタンドアロン構成内の ArcGIS Server サイトで組み込みアイデンティティストアと数種類のサードパーティ ID プロバイダーを使用することができます。これらの設定を変更するには、ArcGIS Server Manager の [セキュリティ構成ウィザード] を使用します。

スタンドアロン ArcGIS Server サイトの認証は、サーバー層または Web 層で実行できます。「サーバー層認証」という用語は、ユーザーとロールの管理に組み込みアイデンティティストアのみを使用するサイトを意味します。「Web 層認証」という用語は、ユーザーの管理に外部アイデンティティストアを使用するサイトを意味します。このモデルでは、ロールを該当するプロバイダーで管理したり、組み込みストア内で管理したりすることもできます。

次の図に示されているように、サーバー層認証はサーバーサイト内ですべて実行され、Web 層認証では、ユーザーの認証情報の検証に外部アイデンティティストアが使用されます。

構成された組み込みアイデンティティストアは、ArcGIS Server Manager で管理されます。ユーザーとロールに関する情報はサーバーの構成ストア内に保持され、ArcGIS Server だけがこの情報にアクセスできます。アイデンティティストアでのユーザーの認証には、トークンが使用されます。トークンは、ユーザーの名前、トークンの有効期間、他の機密情報を含む暗号化された情報の文字列です。

スタンドアロン ArcGIS Server サイトに数種類の Web 層認証システムを構成できます。これには、Lightweight Directory Access Protocol (LDAP) ディレクトリ、公開鍵基盤 (PKI) 実装、および統合 Windows 認証 (IWA) があります。

ArcGIS Server サイトをスタンドアロンサイトのままにして、Web 層認証を構成しない場合は、「サーバー層認証の構成」をご参照ください。

スタンドアロン ArcGIS Server サイトに Web 層認証 (LDAP ディレクトリ、IWA、または PKI の使用) を構成する場合は、「Web 層認証の構成」をご参照ください。

フェデレートされた ArcGIS Server サイト

ArcGIS Server サイトを ArcGIS Enterprise ポータルとフェデレートする場合、ArcGIS Enterprise 配置にいくつかのセキュリティモデルが使用されていることがあります。ポータルでどのセキュリティモデルが使用されているかに関係なく、ArcGIS Server サイトをポータルとフェデレートすると、サーバーのアイデンティティストアに代わって、そのセキュリティモデルが使用されます (ArcGIS Server Manager で構成したすべてのユーザーとロールを含む)。

ポータルには独自の組み込みアイデンティティストアがあり、スタンドアロン ArcGIS Server サイトと同様に、IWA、PKI、または LDAP ベースの ID プロバイダーによる Web 層認証を構成できます。また、Security Assertion Markup Language (SAML) 対応の外部 ID プロバイダーを ArcGIS Enterprise ポータルに構成することもできます。

ArcGIS Server サイトを ArcGIS Enterprise ポータルとフェデレートしている場合またはフェデレートする予定の場合は、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。ポータルのセキュリティモデルオプションの詳細は、このトピックと Portal for ArcGIS ドキュメントで確認できます。

このトピックへのフィードバック