Skip To Content

統合 Windows 認証および PKI での Web 層認証の構成

Windows Active Directory でユーザー認証を行う場合、PKI (Public Key Infrastructure) を使用して、ArcGIS Server へのアクセスのセキュリティを確保することができます。

統合 Windows 認証と PKI を使用するには、Microsoft IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を統合 Windows 認証の実行に使用することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (IIS)ArcGIS Server サイトにインストールして構成します。

注意:

ArcGIS Server サイトをポータルとフェデレートし、サーバーで Windows Active Directory と PKI を使用する場合は、ポータルとフェデレートする前に、ArcGIS Server サイトで PKI ベースのクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。これで、Windows Active Directory と PKI をポータルに構成できます。

サーバーに Windows Active Directory を構成する

Windows Active Directory のユーザーとロールを使用するように ArcGIS Server のセキュリティを構成する

統合 Windows 認証をサポートするには、Windows Active Directory サーバーからユーザーとロールを取得するように ArcGIS Server を構成します。

  1. ArcGIS Server Manager を開いて、プライマリ サイト管理者としてサイン インします。 プライマリ サイト管理者アカウントを使用する必要があります。 この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
  2. [セキュリティ] > [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
  6. [Windows ドメインの認証情報] ページで、ユーザーが所属しているグループを判別する権限を持つアカウントの認証情報を入力します。 [次へ] をクリックします。
    注意:

    有効期限のないパスワードを使用してアカウントを指定することをお勧めします。 有効期限があると、パスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。

  7. [認証層] ページで、[Web 層] を選択します。
  8. 選択の概要を確認します。 [完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザーとロールの確認

ユーザーとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザーとロールが正しく取得されたことを確認します。ユーザーとロールを追加、編集、または削除するには、Active Directory サーバーで使用可能なツールを使用する必要があります。

  1. ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
  2. ユーザーが Windows ドメイン サーバーから想定どおりに取得されたことを確認します。 Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのユーザーが表示されます。 他のドメインのユーザーを表示するには、[ユーザーの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  3. [ロール] をクリックして、Windows ドメイン サーバーから取得したロールを確認します。 Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのロールが表示されます。 他のドメインのロールを表示するには、[ロールの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  4. ロールが想定どおりに取得されたことを確認します。

Active Directory ユーザーに対する管理者と公開者の権限の構成

標準の ArcGIS Server では、プライマリ サイト管理者だけがサーバーにアクセスできます。Active Directory ユーザーを使用して ArcGIS Server の管理やサービスの公開を行う場合は、次の手順に従う必要があります。

  1. ArcGIS Server Manager で、[セキュリティ] タブをクリックし、[ユーザー] ページを開きます。
  2. [ユーザーの検索] ツールを使用して、管理者または公開者の権限を割り当てるユーザーを検索します。 このユーザーが属しているロールを確認し、管理者または公開者の権限が割り当てられるロールを選択します。
  3. [ロール] ページを開き、[ロールの検索] ツールを使用して、前の手順で選択したロールを検索します。
  4. ロールの横にある [編集] ボタン 編集 をクリックします。
  5. [ロール タイプ] パラメーターに対して、[公開者] または [管理者] のいずれかを選択します。
  6. [保存] をクリックして、変更内容を適用します。

Active Directory クライアント証明書マッピング認証のインストールと有効化

Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。フィーチャをインストールして有効にする必要があります。

クライアント証明書マッピング認証のインストール

この機能をインストールする手順は、使用しているオペレーティング システムによって異なります。

Windows Server 2016

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
  3. [Web サーバー] および [セキュリティ] の役割を展開します。
  4. [セキュリティ] 役割セクションで、[クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [機能の選択] タブで [次へ] をクリックして、[インストール] をクリックします。

Windows Server 2008 R2 および 2012 R2

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
  3. [役割サービス] セクションにスクロールし、[役割サービスの追加] をクリックします。
  4. [役割サービスの追加ウィザード][役割サービスの選択] ページで [クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [インストール] をクリックします。

Windows 7、8、および 8.1

  1. [コントロール パネル] を開いて、[プログラムと機能] > [Windows の機能の有効化または無効化] の順に選択します。
  2. [インターネット インフォメーション サービス] > [World Wide Web サービス] > [セキュリティ] の順に展開し、[クライアント証明書マッピング認証] を選択します。
  3. [OK] をクリックします。

Active Directory クライアント証明書マッピング認証の有効化

Active Directory クライアント証明書マッピングをインストールしたら、次の手順に従ってフィーチャを有効にします。

  1. インターネット インフォメーション サービス (IIS) マネージャーを起動します。
  2. [接続] ノードで、Web サーバーの名前をクリックします。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. [Active Directory クライアント証明書認証] が表示されていることを確認します。この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
  5. [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。

Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。これについては、次のセクションで対処します。

SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する

  1. インターネット インフォメーション サービス (IIS) マネージャーを起動します。
  2. [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. すべての形式の認証を無効化します。
  5. [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
  6. [SSL 設定] をダブルクリックします。
  7. [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
  8. [適用] をクリックして変更内容を保存します。

Windows Active Directory と PKI を使用してサイトにアクセスできることを確認する

  1. サービス ディレクトリを開きます。URL の形式は https://webadaptorhost.domain.com/webadaptorname/rest/services です。
  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。