Skip To Content

統合 Windows 認証による Web サービスのセキュリティ保護

このチュートリアルでは、統合 Windows 認証を使用して ArcGIS Web サービスをセキュリティで保護する方法を示しています。統合 Windows 認証では、Microsoft Windows Active Directory サーバーでユーザーとロールを管理する必要があります。GIS ユーザーがネットワーク上ですでに所有している Windows ドメイン アカウントを利用できるようにする場合は、この方法が便利です。

注意:

ArcGIS Server サイトがポータルとフェデートされている場合、このトピックの手順を使用するのではなく、ポータルを通じてアクセスのセキュリティを確保する必要があります。詳細については、「ポータルでの統合 Windows 認証の使用」をご参照ください。

統合 Windows 認証を使用するには、Microsoft IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。

ログオン設定により、Active Directory がホストされているコンピューターへのログイン権限が拒否される場合は、セキュリティの構成中にエラーが発生します。ユーザーに [ローカル ログオン] グループ ポリシー設定を付与する必要はありません。詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。

統合 Windows 認証を使用して ArcGIS Web サービスをセキュリティで保護するには、次の手順に従います。

  1. ArcGIS Web Adaptor (IIS) の構成による Windows 認証の使用
  2. ArcGIS Server の構成による Windows Active Directory ユーザーとロールの使用
  3. ユーザーとロールの確認
  4. Active Directory ユーザーに対する管理者と公開者の権限の構成
  5. サービスの権限の設定
  6. セキュリティで保護されたサービスへのテスト アクセス

ArcGIS Web Adaptor (IIS) の構成による Windows 認証の使用

ArcGIS Web Adaptor は、IIS を利用して、ユーザーを認証し、ユーザーのアカウント名を ArcGIS Web Adaptor 自体に提供します。アカウント名を指定したら、それを ArcGIS Server に渡します。

  1. ArcGIS Web Adaptor (IIS) のインストール」の手順に従って、ArcGIS Web Adaptor (IIS) をインストールします。
  2. インストール後の ArcGIS Web Adaptor の構成」の手順に従って ArcGIS Web Adaptor を構成します。
    注意:

    ArcGIS Web Adaptor を構成する際に、ArcGIS Web Adaptor を介する管理機能を有効にする必要があります。これにより、Windows Active Directory のユーザーは ArcGIS Desktop からサービスを公開できるようになります。これらのロールに含まれるユーザーは、ArcGIS Desktop でサーバーに接続する場合、ArcGIS Web Adaptor の URL を指定する必要があります。

  3. IIS マネージャーを使用して、ArcGIS Web Adaptor の認証方式を設定します。
    1. IIS マネージャーを開くには、[スタート] > [コントロール パネル] > [管理ツール] > [インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
    2. [サイト] で、IIS マネージャーの左側のツリーを展開します。[既定の Web サイト] を展開して、ArcGIS Web Adaptor (IIS) アプリケーションを見つけます。デフォルトでは、ArcGIS Web Adaptor (IIS) の名前は arcgis です。
    3. ArcGIS Web Adaptor の認証プロパティを編集します。[匿名] 認証の選択を解除し、[Windows 認証] を選択します。
    4. IIS マネージャーを閉じます。

ArcGIS Server セキュリティの構成による Windows Active Directory ユーザーとロールの使用

統合 Windows 認証をサポートするには、Windows Active Directory サーバーからユーザーとロールを取得するように ArcGIS Server を構成します。

  1. ArcGIS Server Manager を開いて、プライマリ サイト管理者としてログインします。プライマリ サイト管理者アカウントを使用する必要があります。この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
  2. [セキュリティ] > [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザーとロールの管理] ページで、[既存のエンタープライズ システムのユーザーとロール (LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
  6. [Windows ドメインの認証情報] ページで、ユーザーが所属しているグループを判別する権限を持つアカウントの認証情報を入力します。[次へ] をクリックします。
    注意:

    有効期限のないパスワードを使用してアカウントを指定することをお勧めします。有効期限があると、アカウントのパスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。

  7. [認証層] ページで、[Web 層] を選択します。
  8. 選択の概要を確認します。[完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザーとロールの確認

ユーザーとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザーとロールを確認してこれらが正しく取得されたことを確認します。ユーザーとロールを追加、編集、または削除するには、Active Directory サーバーで使用可能なツールを使用する必要があります。

  1. ArcGIS Server Manager で [セキュリティ] > [ユーザー] の順にクリックします。
  2. ユーザーが Windows ドメイン サーバーから想定どおりに取得されたことを確認します。Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのユーザーが表示されます。他のドメインのユーザーを表示するには、[ユーザーの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  3. [ロール] をクリックして、Windows ドメイン サーバーから取得したロールを確認します。Active Directory に複数のドメインがある場合、GIS サーバー コンピューターが属しているドメインからのロールが表示されます。他のドメインのロールを表示するには、[ロールの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索] ボタン 検索 をクリックします。
  4. ロールが想定どおりに取得されたことを確認します。
注意:

バージョン 10.3.1 以降の ArcGIS Web Adaptor (IIS) には、Active Directory 認証に関連するオプションを構成するためのプロパティが用意されています。詳細については、ArcGIS Web Adaptor (IIS) に関するヘルプの「ArcGIS Web Adaptor のメモリ キャッシュ オプションの構成」をご参照ください。

ユーザーおよびロールのキャッシュ

ArcGIS 10.5 の時点で、Active Directory からのユーザーおよびロールは、ユーザーまたはロールのリクエストの後に、サーバー上にキャッシュされます。これによって、セキュリティで保護されたサービスのパフォーマンスが最適化されます。デフォルトでは、ユーザーおよびロールは 30 分間キャッシュされます。この期間を変更するには、システム プロパティの下の ArcGIS Server Administrator Directory で、minutesToCacheUserRoles プロパティを別の値に設定します。このプロパティをゼロに設定して、キャッシュを無効にすることもできます。

Active Directory ユーザーに対する管理者と公開者の権限の構成

標準の ArcGIS Server では、プライマリ サイト管理者だけがサーバーにアクセスできます。Active Directory ユーザーを使用して ArcGIS Server の管理やサービスの公開を行う場合は、次の手順に従う必要があります。

  1. ArcGIS Server Manager で、[セキュリティ] タブをクリックし、[ユーザー] ページを開きます。
  2. [ユーザーの検索] ツールを使用して、管理者または公開者の権限を割り当てるユーザーを検索します。このユーザーが属しているロールを確認し、管理者または公開者の権限が割り当てられるロールを選択します。
  3. [ロール] ページを開き、[ロールの検索] ツールを使用して、前の手順で選択したロールを検索します。
  4. ロールの横にある [編集] ボタン 編集 をクリックします。
  5. [ロール タイプ] パラメーターに対して、[公開者] または [管理者] のいずれかを選択します。
  6. [保存] をクリックして、変更内容を適用します。

ArcGIS Web サービスの権限の設定

セキュリティ設定を構成し、ユーザーとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザーを制御することができます。

ArcGIS Server は、ロール ベースのアクセス制御モデルを使用して、サーバーでホストされる GIS Web サービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。

権限は、個々の Web サービスに、またはサービスのグループが含まれる親フォルダーに割り当てることができます。フォルダーに権限を割り当てた場合、フォルダー内のサービスはフォルダーの権限を継承します。たとえば、サイト (ルート) フォルダーへのアクセス権限をロールに付与すると、そのロールに属するユーザーにはそのサイトにホストされたすべてのサービスへのアクセス権限が付与されます。また、親フォルダーからサービスにより自動的に継承された権限を無効にするには、サービスを編集して継承された権限を明示的に削除することができます。

サービスの権限については、「Manager での権限の編集」をご参照ください。

注意:

統合 Windows 認証を使用して ArcGIS Server Manager を参照する場合、[サイン アウト] リンクは表示されません。これは、Web ブラウザーを実行しているユーザーが、オペレーティング システムによって自動的にログインしているためです。ブラウザーを別のユーザーとして実行するには、Windows の [Run as] コマンド オプションを使用します。これを実行するには、[スタート] メニューでプログラムのショートカットを特定し、Shift キーを押したままプログラムを右クリックし、[別のユーザーとして実行] を選択します。

セキュリティで保護されたサービスへのアクセスのテスト

設定をテストするには、サービスを含んでいるルート (サイト) フォルダーにアクセスできる Windows ドメイン ユーザー アカウントを特定します。このユーザー アカウントを使用して Windows にログインし、Web ブラウザーを開き、次の ArcGIS Server WSDL にアクセスします。

http://webadaptorhost.domain.com/webadaptorname/services?wsdl

同様に、Services Directory を表示して、次の安全なサービスへのアクセスを確認することもできます。

http://webadaptorhost.domain.com/webadaptorname/rest/services

注意:

統合 Windows 認証を使用して Services Directory を参照する場合、[ログアウト] リンクは表示されません。これは、Web ブラウザーを実行しているユーザーが、オペレーティング システムによって自動的にログインしているためです。ブラウザーを別のユーザーとして実行するには、Windows の [Run as] コマンド オプションを使用します。これを実行するには、[スタート] メニューでプログラムのショートカットを特定し、Shift キーを押したままプログラムを右クリックし、[別のユーザーとして実行] を選択します。

ルート フォルダーにアクセスできる Windows ドメイン ユーザーを特定するには、次の手順に従います。

  1. ArcGIS Server Manager にログインし、[サービス] をクリックします。
  2. サイト (ルート) フォルダーの横にある [ロック] ボタン ロック をクリックして、このフォルダーにアクセスする権限が付与されたロールを特定します。アクセスできるロールがない場合は、[ロールの追加] ロールの追加 をクリックして、少なくとも 1 つのロールにアクセス権を付与します。
  3. [セキュリティ] > [ロール] の順にクリックし、ルート フォルダーにアクセスできるロールの [編集] ボタン 編集 をクリックします。
  4. このロールのメンバーであるユーザーのリストを表示します。