スタンドアロン ArcGIS Server サイトは、Apache Directory Server や Microsoft Active Directory などの LDAP ディレクトリに格納されているユーザー情報とロール情報を使用するように構成できます。 この構成を実行すると、ユーザーとロールの管理に、サーバーの組み込みアイデンティティ ストアが使用されなくなります。 ArcGIS Server では、LDAP ディレクトリがユーザー情報とロール情報の読み取り専用ソースと見なされるため、ArcGIS Server Manager を使用して、ユーザーとロールを追加/削除したり、これらの属性を編集したりすることはできません。
注意:
ArcGIS Server サイトが ArcGIS Enterprise ポータルとフェデレートされている場合、ポータルのセキュリティおよび共有設定が適用されます。 ポータルの対応するワークフローについては、「LDAP または Active Directory および Web 層認証によるポータルの使用」をご参照ください。
LDAP を使用するには、Apache Tomcat、IBM WebSphere、Oracle WebLogic などの Java アプリケーション サーバーに ArcGIS Web Adaptor を配置する必要があります。 ArcGIS Web Adaptor (IIS) を使用して Web 層認証を LDAP で実行することはできません。
サーバーのユーザーとロールを管理するように LDAP ディレクトリを構成するには、次の手順を実行します。
セキュリティ設定の構成
次の手順に従って、Manager を使用してセキュリティを設定します。
- ArcGIS Server Manager を開いて、プライマリ サイト管理者としてログインします。 プライマリ サイト管理者アカウントを使用する必要があります。 この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
- [セキュリティ] > [設定] の順にクリックします。
- [構成設定] の横にある [編集] ボタン をクリックします。
- [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
- [エンタープライズ ストア タイプ] ページで、[LDAP] オプションを選択し、[次へ] をクリックします。
- 次のページで、LDAP ディレクトリに接続するためのパラメーターを入力する必要があります。 [テスト接続] をクリックして、LDAP ディレクトリへのテスト接続を作成します。 接続の試行が成功したら、[次へ] をクリックします。 以下の表では、このページのパラメーターについて説明しています。
パラメーター 説明 例 ホスト名
LDAP ディレクトリが実行されているホスト コンピューターの名前です。
myservername
ポート
LDAP ディレクトリが着信接続をリッスンしているホスト コンピューター上のポート番号です。 LDAP ディレクトリがセキュリティ保護された接続 (ldaps) をサポートしている場合、ArcGIS Server は ldaps プロトコルに自動的に切り替えます。 指定されたポートが 10389 の場合、ArcGIS Server は、セキュリティ保護された接続をポート 10636 に対して確立します。 指定されたポートが 389 の場合、ArcGIS Server は、セキュリティ保護された接続をポート 636 に対して確立します。
10636
636
ベース DN
ユーザー情報が維持されているディレクトリ サーバー内のノードの識別名 (DN) です。
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
LDAP ディレクトリへの接続に使用される LDAP URL です (これは自動的に生成されます)。 不適切な場合、または変更が必要な場合は、この URL を編集してください。 LDAP ディレクトリがセキュリティ保護された接続に標準のポート 636 を使用していない場合は、ここでカスタム ポート番号を指定する必要があります。
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (カスタム ポート)
RDN 属性
LDAP ディレクトリのユーザー エントリ用の相対識別名 (RDN) です。
DN が「cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「cn=john」であり、RDN 属性は cn です。
DN が「uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「uid=john」であり、RDN 属性は uid です。
管理者の DN
ユーザー情報を含んでいるノードにアクセスできる LDAP 管理者アカウントの DN です。
有効期限のないパスワードを使用して管理者アカウントを指定することをお勧めします。 有効期限があると、パスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。
uid=admin,ou=administrators,dc=mydomain,dc=com
パスワード
管理者のパスワードです。
adminpassword
- 次のページで、LDAP ディレクトリからロールを取得するためのパラメーターを入力します。 以下の表では、パラメーターについて詳細に説明しています。
パラメーター 説明 例 ベース DN
ロール情報が維持されているディレクトリ サーバー内のノードの DN です。
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
サーバーへの接続に使用される LDAP URL です (これは自動的に生成されます)。 不適切な場合、または変更が必要な場合は、この URL を編集してください。
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
ロール エントリのユーザー属性
このロールのメンバーであるユーザーの DN を含んでいるロール エントリ内の属性の名前です。
Apache Directory Server で、最も一般的に使用される属性名は uniqueMember です。 Microsoft Active Directory で、最も一般的に使用される属性名は member です。
- パラメーターを入力したら、[次へ] をクリックします。
- [認証層] ページで、認証を実行する場所を選択して [次へ] をクリックします。 このオプションの詳細については、「ArcGIS Server セキュリティの構成」をご参照ください。
- 選択の概要を確認します。 [戻る] をクリックして変更を行うか、[完了] をクリックしてセキュリティ構成を適用し、保存します。
ユーザーとロールの確認
ユーザーとロールの管理にストアを使用するようにセキュリティを構成した後、ユーザーとロールを確認してこれらが正しくインポートされたことを確認します。 ユーザーとロールを追加、編集、または削除するには、LDAP プロバイダーが提供しているユーザー管理ツールを使用する必要があります。
- ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
- LDAP ディレクトリから正常にユーザーが取得されたことを確認します。
- [ロール] をクリックして、LDAP ディレクトリから取得したロールを確認します。
- LDAP ディレクトリから正常にロールが取得されたことを確認します。 ロールの横にある [編集] ボタンをクリックして、ロールのメンバーシップを確認します。 必要に応じて、[ロール タイプ] の値を変更します。 ロール タイプについては、「ArcGIS Server へのアクセスの制限」をご参照ください。
ユーザーおよびロールのキャッシュ
10.5 では、LDAP のユーザーとロールは、ユーザーまたはロールのリクエストの後でサーバー上にキャッシュされます。 これによって、セキュリティで保護されたサービスのパフォーマンスが最適化されます。 デフォルトでは、ユーザーおよびロールは 30 分間キャッシュされます。 この期間を変更するには、システム プロパティの下にある ArcGIS Server Administrator Directory で minutesToCacheUsersAndRoles プロパティを別の値に設定します。 このプロパティをゼロに設定して、キャッシュを無効にすることもできます。
サーバーの ArcGIS Web Adaptor での Web 層認証の設定
LDAP には Web 層認証が必要です。これは、ArcGIS Web Adaptor (Java Platform) を使用して実行する必要があります。 ArcGIS Web Adaptor は、ユーザーを認証し、ユーザーのアカウント名を ArcGIS Web Adaptor で指定するのに Java アプリケーション サーバーを利用します。 アカウント名を指定したら、それをサーバーに渡します。
注意:
ArcGIS Web Adaptor を構成する際に、ArcGIS Web Adaptor を介する管理機能を有効にする必要があります。 これによって、組織固有のアイデンティティ ストアのユーザーは、ArcGIS Pro からサービスを公開できるようになります。 これらのロールに含まれるユーザーは、ArcGIS Pro でサーバーに接続する場合、ArcGIS Web Adaptor の URL を指定する必要があります。
サーバーで ArcGIS Web Adaptor をインストールおよび構成したら、Java アプリケーション サーバーで LDAP のレルムを構成し、ArcGIS Web Adaptor の認証方式を構成する必要があります。 手順については、Java アプリケーション サーバーの製品マニュアルを参照するか、システム管理者にお問い合わせください。
サービスの権限の制御
セキュリティ設定を構成し、ユーザーとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザーを制御することができます。
ArcGIS Server では、ロール ベースのアクセス制御モデルを使用してサービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。
サービスに対する権限を変更するには、「サービスへのアクセスの制御」をご参照ください。