統合 Windows 認証 (IWA) を使用して、ポータルへのアクセスのセキュリティを保護できます。IWA を使用する場合、Microsoft Windows Active Directory を通じてログインが管理されます。ユーザーは、ポータル Web サイトのサイン インとサイン アウトを行わず、Web サイトを開くときに、Windows へのログインと同じアカウントを使用してサイン インします。
統合 Windows 認証を使用するには、Microsoft の IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。ArcGIS Web Adaptor (Java Platform) を使用して、統合 Windows 認証を実行することはできません。まだ行っていない場合は、ArcGIS Web Adaptor (IIS) をポータルにインストールして構成します。
メモ:
フェデレートされた ArcGIS Server サイトで Web 層認証を使用する場合、ポータルとフェデレートする前に Web 層認証 (クライアント証明書認証を含む) を無効化し、ArcGIS Web Adaptor サイトで構成されている ArcGIS Server に対する匿名アクセスを有効化する必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバーをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
次の手順を実行して、ポータルで IWA を構成します。
Windows Active Directory を使用するようにポータルを構成する
デフォルトでは、Portal for ArcGIS はすべての通信に HTTPS を適用します。以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。
メモ:
ArcGIS Enterprise は、Active Directory アイデンティティ ストアを使用して、単一のフォレストでの複数のドメインからの認証をサポートしますが、フォレスト間の認証を提供しません。複数のフォレストからのエンタープライズ ユーザーをサポートするには、SAML アイデンティティ プロバイダーが必要です。
すべての通信に HTTPS を使用するようにポータルを構成します。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。
ポータルのアイデンティティ ストアの更新
次に、Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] → [Config] → [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、[caseSensitive] パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存のエンタープライズ グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。また、組織に固有のグループ情報を次のサンプルに反映させることもできます。ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。詳細な手順については、「ポータルの停止と起動」をご参照ください。
追加のアイデンティティ ストア パラメーターの必要に応じた構成
ArcGIS Portal Directory の管理 API で変更できる、追加のアイデンティティ ストア構成パラメーターがあります。これらのパラメーターには、エンタープライズ ユーザーがポータルにサイン インしたときにグループを自動的に更新するかどうかの制限、メンバーシップ更新間隔の設定、複数のユーザー名フォーマットのチェックを行うかどうかの定義といったオプションが含まれます。詳細については、「アイデンティティ ストアの更新」をご参照ください。
ポータルにエンタープライズ アカウントを追加する
デフォルトでは、エンタープライズ ユーザーはポータル Web サイトにアクセスできます。ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。これは、エンタープライズ アカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法で、ポータルにアカウントを追加します。
- Portal for ArcGIS サイト (1 つずつ、もしくは CSV ファイルまたは既存のエンタープライズ グループから一括で追加可能)
- Python スクリプト
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つのエンタープライズ アカウントをポータルの管理者として指定することをお勧めします。これを行うには、アカウントを追加する際に [管理者] ロールを選択します。代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
IWA を使用するように ArcGIS Web Adaptor を構成する
- Internet Information Server (IIS) Manager を開きます。
- [接続] パネルで、ArcGIS Web Adaptor をホストしている Web サイトを特定して展開します。
- ArcGIS Web Adaptor の名前をクリックします。デフォルトは、arcgis です。
- [ホーム] パネルで [認証] をダブルクリックします。
- [匿名認証] を選択して [無効] をクリックします。
- [Windows 認証] を選択して [有効] をクリックします。
- Internet Information Server (IIS) マネージャーを閉じます。
IWA を使用してポータルにアクセスできることを確認する
- ポータル Web サイトを開きます。URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- エンタープライズ アカウントの認証情報の入力を求められるか、エンタープライズ アカウントを使用して自動的にサイン インできることを確認します。この動作を判断できない場合は、コンピューターへのログインに使用した Windows アカウントがポータルに追加されていることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。