統合 Windows 認証 (IWA) を使用して、ポータルへのアクセスのセキュリティを保護できます。 IWA を使用する場合、Microsoft Windows Active Directory を通じてログインが管理されます。 ユーザーは、ポータル Web サイトのサイン インとサイン アウトを行わず、Web サイトを開くときに、Windows へのサイン インと同じアカウントを使用してサイン インします。
統合 Windows 認証を使用するには、Microsoft の IIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。 ArcGIS Web Adaptor (Java Platform) を統合 Windows 認証の実行に使用することはできません。 まだ行っていない場合は、ArcGIS Web Adaptor (IIS) をポータルにインストールして構成します。
Windows Active Directory を使用するようにポータルを構成する
デフォルトでは、Portal for ArcGIS はすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。
注意:
ArcGIS Enterprise は、Active Directory アイデンティティ ストアを使用して、単一のフォレストでの複数のドメインからの認証をサポートしますが、フォレスト間の認証を提供しません。 複数のフォレストからの組織固有のユーザーをサポートするには、SAML ID プロバイダーが必要です。
すべての通信に HTTPS を使用するようにポータルを構成します。
- 組織サイトの管理者としてポータル Web サイトにサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- [組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。
ポータルのアイデンティティ ストアの更新
次に、Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 組織の管理者として ArcGIS Portal Directory にサイン インします。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [Config] > [Update Identity Store] の順にクリックします。
- [User store configuration (in JSON format)] テキスト ボックスに、組織の Windows Active Directory ユーザー構成情報を (JSON 形式で) 入力します。 また、組織に固有のユーザー情報を次のサンプルに反映させることもできます。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限だけが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
まれに、Windows Active Directory が大文字と小文字を区別するように構成されている場合があります。この場合は、[caseSensitive] パラメーターを [true] に設定します。
- ポータルに、アイデンティティ ストア内の既存の Active Directory グループを利用するグループを作成するには、次に示されているように、[Group store configuration (in JSON format)] テキスト ボックスに組織の Windows Active Directory グループ構成情報を (JSON 形式で) 入力します。 また、組織に固有のグループ情報を次のサンプルに反映させることもできます。 ポータルの組み込みグループのみを使用する場合は、テキスト ボックス内の情報をすべて削除し、この手順をスキップしてください。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
ほとんどの場合、[userPassword] パラメーターと [user] パラメーターの値を変更するだけで済みます。 パスワードをプレーン テキストで入力しても、[Update Configuration] (下記) をクリックすると、そのパスワードが暗号化されます。 ユーザー パラメーターに指定するアカウントには、ネットワーク上で Windows グループの名前を検索するための権限のみが必要です。 可能な限り、パスワードに有効期限のないアカウントを指定します。
- [Update Configuration] をクリックして、変更内容を保存します。
- 可用性の高いポータルを構成している場合は、各ポータル コンピューターを再起動します。 詳細な手順については、「ポータルの停止と起動」をご参照ください。
追加のアイデンティティ ストア パラメーターを構成する
必要に応じて、ArcGIS Portal Directory の管理 API を使用して、追加のアイデンティティ ストア構成パラメーターを変更できます。 これらのパラメーターには、組織固有のユーザーがポータルにサイン インしたときにグループを自動的に更新するかどうかの制限、メンバーシップ更新間隔の設定、複数のユーザー名フォーマットのチェックを行うかどうかの定義が含まれます。 詳細については、「アイデンティティ ストアの更新」をご参照ください。
ポータルに組織固有のアカウントを追加する
デフォルトでは、組織固有のユーザーはポータル Web サイトにアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントがポータルに追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法で、ポータルにアカウントを追加します。
- Portal for ArcGIS Web サイト (1 つずつ、もしくは CSV ファイルまたは既存の Active Directory グループから一括で追加可能)
- コマンド ライン ユーティリティ
- 自動
少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
IWA を使用するように ArcGIS Web Adaptor を構成する
IWA を使用するように ArcGIS Web Adaptor を構成するには、次の手順を実行します。
- Internet Information Server (IIS) Manager を開きます。
- [接続] パネルで、ArcGIS Web Adaptor をホストしている Web サイトを特定して展開します。
- ArcGIS Web Adaptor の名前をクリックします。 デフォルトは、arcgis です。
- [ホーム] パネルで [認証] をダブルクリックします。
- [匿名認証] を選択して [無効] をクリックします。
- [Windows 認証] を選択して [有効] をクリックします。
- Internet Information Server (IIS) Manager を閉じます。
IWA を使用したポータルへのアクセスを確認する
IWA を使用してポータルにアクセスできることを確認するには、次の手順を実行します。
- ポータル Web サイトを開きます。 URL の形式は https://webadaptorhost.domain.com/webadaptorname/home です。
- 組織固有のアカウントの認証情報の入力を求められるか、組織固有のアカウントを使用して自動的にサイン インできることを確認します。 この動作を判断できない場合は、コンピューターへのサイン インに使用した Windows アカウントがポータルに追加されていることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします。