GIS リソースのセキュリティは、ユーザーの適切かつ厳重な認証と許可に基づいています。 認証は、ユーザーが本人であることを検証するプロセスであり、許可は、認証されたユーザーに、リクエストされたリソースにアクセスする権限またはリクエストされた操作を実行する権限があることを検証するプロセスです。 セキュリティで保護されたリソースおよび操作に権限を適用する場合は、最初にユーザーが認証され、次にそのユーザーの許可が検証されます。 これらの用語はセキュリティ モデルで定義されています。
ArcGIS Server サイトのセキュリティ モデルによって、サイトのサービスにアクセスできるユーザー、サービスを公開、変更、削除できるユーザー、サイト内で管理タスクを実行できるユーザーが決まります。 複数のセキュリティ モデルが用意されており、GIS 配置の構成と、組織固有の ID プロバイダーを配置と統合するかどうかによって利用できるセキュリティ モデルが異なります。
ユーザー、ロール、権限
ArcGIS Server のリソースがセキュリティで保護されている場合は、許可されたユーザーのみがそのリソースにアクセスできます。 ArcGIS Enterprise (スタンドアロン ArcGIS Server を含む) では、ロールベースのアクセス制御システムを使用して、セキュリティで保護されたリソースへのアクセスを管理しています。 ロールベースのアクセス制御システムの主要な構成要素は、ユーザー、ロール、および権限の 3 つです。
ユーザー
ユーザーは、サーバー リソースにアクセスする人またはソフトウェア エージェントを表します。 アイデンティティ ストアは、リソースのリクエストを実行できるユーザーのリストです。 ArcGIS Server と ArcGIS Enterprise ポータルのどちらにも組み込みアイデンティティ ストアがあり、組織固有の ID プロバイダーのアイデンティティ ストアを使用することもできます。
ロール
ロールは、特定のアクセス レベルを持つ一連のユーザーです。 通常、ロールを構成するユーザーは職務、役職、またはその他の関係によって関連付けられています。 たとえば、ArcGIS Server サイトの管理を実行するユーザーは [管理者] というロールに分類され、GIS リソースの表示と検索だけを実行する必要のあるユーザーには [閲覧者] というロールが割り当てられます。 ArcGIS Server の組み込みアイデンティティ ストアでは、1 人のユーザーが複数のロールに属することができます。 ArcGIS Enterprise ポータルの組み込みアイデンティティ ストアでは、1 人のユーザーに 1 つのロールだけが付与されます。
権限
アクセス権限では、特定のタスクを実行する権限や特定のリソースにアクセスする権限が付与されます。 1 つのアクセス権限を 1 つのロールにのみ割り当てることができます。 個々のユーザーは、各自のロールから継承することでのみ、アクセス権限を取得できます。 ロールベースのアクセス制御では、組織のアクセス制御ポリシーを効率的かつ効果的に適用、管理、および監査することができます。 アクセス権限は ArcGIS Server によって内部で管理されます。
利用可能なセキュリティ モデル
ArcGIS Server は ArcGIS Enterprise プラットフォームの主要なコンポーネントであり、包括的な Web GIS システムを組織に提供します。 ArcGIS Server は、スタンドアロン システムとして配置したり、フェデレーションを使用して ArcGIS Enterprise ポータルと統合したりすることができます。
スタンドアロン ArcGIS Server サイトのセキュリティ モデルは、サーバー管理者が決定します。 フェデレートされた ArcGIS Enterprise 配置では、ポータル管理者が共有モデルとセキュリティ モデルを決定します。これによって、サーバー サイトのモデルが無効化されます。
ArcGIS Server と ArcGIS Enterprise ポータルのどちらにも、堅牢かつ効果的な組み込み認証ストアおよびアイデンティティ ストアがあり、デフォルトで適用されています。 ArcGIS Enterprise およびスタンドアロン ArcGIS Server サイトでは、Web 層認証と外部 ID プロバイダーもサポートされています。 このプロバイダーを構成すると、ユーザー認証がアイデンティティ ストアで実行されます。
スタンドアロン ArcGIS Server サイト
ArcGIS Server では、ロールベースのアクセス モデルが使用されます。 ユーザーには、特定のアクセス権限が付与された 1 つ以上のロールが割り当てられます。
これらのユーザーとロールを管理するために、スタンドアロン構成内の ArcGIS Server サイトで組み込みアイデンティティ ストアと数種類のサードパーティ ID プロバイダーを使用することができます。 これらの設定を変更するには、ArcGIS Server Manager の [セキュリティ構成ウィザード] を使用します。
スタンドアロン ArcGIS Server サイトの認証は、サーバー層または Web 層で実行できます。
次の表に、選択された認証のタイプでサポートされているアイデンシティ ストア構成を示します。
認証メカニズム | サポートされているアイデンティティ ストア構成 |
---|---|
ArcGIS Server 認証 |
|
Web 層認証 | Web サーバーに組み込みサポートまたは拡張サポートがあるすべてのユーザー ストア たとえば、Web サーバーに Active Directory、LDAP、およびカスタム アイデンティティ ストアに対する組み込みサポートがある場合は、次のいずれかの構成を使用できます。
|
次の図に示されているように、サーバー層認証はサーバー サイト内ですべて実行され、Web 層認証では、ユーザーの認証情報の検証に外部アイデンティティ ストアが使用されます。
構成された組み込みアイデンティティ ストアは、ArcGIS Server Manager で管理されます。 ユーザーとロールに関する情報はサーバーの構成ストア内に保持され、ArcGIS Server だけがこの情報にアクセスできます。 アイデンティティ ストアでのユーザーの認証には、トークンが使用されます。トークンは、ユーザーの名前、トークンの有効期間、他の機密情報を含む暗号化された情報の文字列です。
スタンドアロン ArcGIS Server サイトに数種類の Web 層認証システムを構成できます。 これには、Lightweight Directory Access Protocol (LDAP) ディレクトリ、公開鍵基盤 (PKI) ベースのクライアント証明書認証、および統合 Windows 認証 (IWA) があります。
ArcGIS Server サイトをスタンドアロン サイトのままにして、Web 層認証を構成しない場合は、「サーバー層認証の構成」をご参照ください。
スタンドアロン ArcGIS Server サイトに Web 層認証 (LDAP ディレクトリ、IWA、またはクライアント証明書認証の使用) を構成する場合は、「Web 層認証の構成」をご参照ください。
フェデレートされた ArcGIS Server サイト
ArcGIS Server サイトを ArcGIS Enterprise ポータルとフェデレートする場合、ArcGIS Enterprise 配置にいくつかのセキュリティ モデルが使用されていることがあります。 ポータルでどのセキュリティ モデルが使用されているかに関係なく、ArcGIS Server サイトをポータルとフェデレートすると、サーバーのアイデンティティ ストアに代わって、そのセキュリティ モデルが使用されます (ArcGIS Server Manager で構成したすべてのユーザーとロールを含む)。
ポータルには独自の組み込みアイデンティティ ストアがあり、スタンドアロン ArcGIS Server サイトと同様に、IWA、クライアント証明書認証、または LDAP ベースの ID プロバイダーによる Web 層認証を構成できます。 また、Security Assertion Markup Language (SAML) 対応の外部 ID プロバイダーを ArcGIS Enterprise ポータルに構成することもできます。
ArcGIS Server サイトを ArcGIS Enterprise ポータルとフェデレートしている場合またはフェデレートする予定の場合は、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。 ポータルのセキュリティ モデル オプションの詳細は、このトピックと Portal for ArcGIS ドキュメントで確認できます。