Skip To Content

統合 Windows 認証およびクライアント証明書認証での Web 層認証の構成

Windows Active Directory を使用してユーザーを認証する場合は、公開鍵基盤 (PKI) を利用したクライアント証明書認証を使用して、ArcGIS Server へのアクセスを保護できます。

統合 Windows 認証とクライアント証明書認証を使用するには、Microsoft IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。 ArcGIS Web Adaptor (Java Platform) を統合 Windows 認証の実行に使用することはできません。 ArcGIS Web Adaptor (IIS) サイトに ArcGIS Server をインストールし、構成する方法については、「ArcGIS Web Adaptor (IIS) インストール ガイド」をご参照ください。

注意:

ArcGIS Server サイトをポータルとフェデレートし、サーバーで Windows Active Directory とクライアント証明書認証を使用する場合は、ポータルとフェデレートする前に、ArcGIS Server サイトでクライアント証明書認証を無効にして、匿名アクセスを有効にする必要があります。 これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。 これで、Windows Active Directory とクライアント証明書をポータルに構成できます。

サーバーに Windows Active Directory を構成する

サーバーに Active Directory を構成するには、次のセクションをご参照ください。

ArcGIS Server セキュリティの構成による Active Directory ユーザーとロールの使用

統合 Windows 認証をサポートするには、ArcGIS Server Active Directory サーバーからユーザーとロールを取得するように Windows を構成します。

  1. ArcGIS Server Manager を開いて、プライマリ サイト管理者としてサイン インします。 この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。

    プライマリ サイト管理者アカウントを使用する必要があります。

  2. [セキュリティ] > [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
  6. [Windows ドメインの認証情報] ページで、ユーザーが所属しているグループを判別する権限を持つアカウントの認証情報を入力します。 [次へ] をクリックします。
    注意:

    有効期限のないパスワードを使用してアカウントを指定することをお勧めします。 有効期限があると、パスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。

  7. [認証層] ページで、[Web 層] を選択します。
  8. 選択の概要を確認します。 [完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザーとロールの確認

ユーザーとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザーとロールが正しく取得されたことを確認します。 ユーザーとロールを追加、編集、または削除するには、Active Directory サーバーで使用可能なツールを使用する必要があります。

  1. ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
  2. ユーザーが Windows ドメイン サーバーから想定どおりに取得されたことを確認します。

    Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのユーザーが表示されます。

  3. 他のドメインのユーザーを表示するには、[ユーザーの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  4. [ロール] をクリックして、Windows ドメイン サーバーから取得したロールを確認します。

    Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのロールが表示されます。

  5. 他のドメインのロールを表示するには、[ロールの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  6. ロールが想定どおりに取得されたことを確認します。

Active Directory ユーザーに対する管理者と公開者の権限の構成

標準の ArcGIS Server では、プライマリ サイト管理者だけがサーバーにアクセスできます。 Active Directory ユーザーを使用して ArcGIS Server の管理やサービスの公開を行う場合は、次の手順に従う必要があります。

  1. ArcGIS Server Manager で、[セキュリティ] タブをクリックし、[ユーザー] ページを開きます。
  2. [ユーザーの検索] ツールを使用して、管理者または公開者の権限を割り当てるユーザーを検索します。 このユーザーが属しているロールを確認し、管理者または公開者の権限が割り当てられるロールを選択します。
  3. [ロール] ページを開き、[ロールの検索] ツールを使用して、前の手順で選択したロールを検索します。
  4. ロールの横にある [編集] ボタン 編集 をクリックします。
  5. [ロール タイプ] パラメーターに対して、[公開者] または [管理者] のいずれかを選択します。
  6. [保存] をクリックして、変更内容を適用します。

Active Directory クライアント証明書マッピング認証のインストールと有効化

Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。 フィーチャをインストールして有効にする必要があります。

クライアント証明書マッピング認証のインストール

この機能をインストールする手順は、使用しているオペレーティング システムによって異なります。

Windows Server 2016 でのインストール

Windows Server 2016 でインストールするには、次の手順を実行します。

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
  3. [Web サーバー] および [セキュリティ] の役割を展開します。
  4. [セキュリティ] 役割セクションで、[クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [機能の選択] タブで [次へ] をクリックして、[インストール] をクリックします。

Windows Server 2008 R2 および 2012/R2 でのインストール

Windows Server 2008 R2 および 2012/R2 にインストールするには、次の手順を実行します。

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
  3. [役割サービス] セクションにスクロールし、[役割サービスの追加] をクリックします。
  4. 役割サービスの追加ウィザードの [役割サービスの選択] ページで [クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [インストール] をクリックします。

Windows 7、8、8.1 でのインストール

Windows 7、8、8.1 でインストールするには、次の手順を実行します。

  1. [コントロール パネル] を開いて、[プログラムと機能] > [Windows の機能の有効化または無効化] の順に選択します。
  2. [インターネット インフォメーション サービス] > [World Wide Web サービス] > [セキュリティ] の順に展開し、[クライアント証明書マッピング認証] を選択します。
  3. [OK] をクリックします。

Active Directory クライアント証明書マッピング認証の有効化

Active Directory クライアント証明書マッピングをインストールしたら、次の手順に従ってフィーチャを有効にします。

  1. インターネット インフォメーション サービス (IIS) マネージャーを起動します。
  2. [接続] ノードで、Web サーバーの名前をクリックします。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. [Active Directory クライアント証明書認証] が表示されていることを確認します。

    この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。

  5. [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。

Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。 これについては、次のセクションで対処します。

SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する

SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成するには、次の手順を実行します。

  1. インターネット インフォメーション サービス (IIS) マネージャーを起動します。
  2. [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. すべての形式の認証を無効化します。
  5. [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
  6. [SSL 設定] をダブルクリックします。
  7. [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
  8. [適用] をクリックして変更内容を保存します。

Windows Active Directory とクライアント証明書認証を使用してサイトにアクセスできるか確認します。

サイトにアクセスできることを確認するには、次の手順を実行します。

  1. サービス ディレクトリを開きます。

    URL の形式は https://webadaptorhost.domain.com/webadaptorname/rest/services です。

  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。