ポータルでの統合 Windows 認証の使用

統合 Windows 認証(IWA)を使用して、ポータルへのアクセスのセキュリティを保護できます。IWA を使用する場合、Microsoft Windows Active Directory を通じてログインが管理されます。ユーザは、ポータル Web サイトのサイン インとサイン アウトを行わず、Web サイトを開くときに、Windows へのログインと同じアカウントを使用してサイン インします。

ポータルで IWA を構成するには、3 つの主な手順を実行する必要があります。この手順は、次の順序で実行します。

  1. Windows Active Directory ユーザを使用するように Portal for ArcGIS を構成します
  2. Windows 認証を使用するように ArcGIS Web Adaptor を構成します
  3. Windows アカウントを管理者として指定します

Windows Active Directory ユーザを使用するように Portal for ArcGIS を構成する

最初に、SSL だけを使用するようにポータルを構成します。これは、ポータル Web サイトの [セキュリティ] ページで設定します。

手順:
  1. ポータル Web サイトにポータル管理者としてサイン インします。
  2. [組織] ページで [設定を編集] をクリックします。
  3. [セキュリティ] をクリックします。
  4. [SSL を使用した組織へのアクセスのみ許可します] をオンにします。
  5. [保存] をクリックして、変更内容を適用します。

次に、Windows Active Directory アカウントを使用するようポータルのアイデンティティ ストアを更新します。

手順:
  1. ArcGIS Portal Directory に管理者権限を持つアカウントでログインします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
  2. [Security] [Config] [Update Identity Store] の順にクリックします。
  3. [User store configuration (in JSON format)] テキスト ボックスに IWA 構成の JSON を入力します。

    次のテキスト ボックスをコピーして、サイト固有の情報を含むよう変更します。

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    ほとんどの場合、ユーザとユーザ パスワードのパラメータの値を変更するだけです。パスワードをプレーン テキストで入力しても、ポータルの構成ディレクトリに保存または表示される際には暗号化されます。ユーザ パラメータに使用するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限のみが必要です。可能な限り、パスワードに有効期限のないアカウントを使用します。

    まれに、アクティブ ディレクトリが大文字と小文字を区別するように構成されている場合があります。この場合は、caseSensitive パラメータを true に設定します。

  4. ユーザ ストア構成に JSON を入力したら、[Update Configuration] をクリックして変更を保存し、ポータルを再起動します。

Windows 認証を使用するように ArcGIS Web Adaptor を構成する

次に、Windows 認証を使用するように ArcGIS Web Adaptor を構成します。ArcGIS Web Adaptor (IIS) の場合、IIS マネージャで認証方法と SSL 設定を設定します。

注意注意:

現在 ArcGIS Server で ArcGIS Web Adaptor を共有している場合、ArcGIS Server に別の Web Adaptor を構成する必要があります。IWA を使用する場合は、 ArcGIS Server で ArcGIS Web Adaptor を共有できません。

手順:
  1. IIS マネージャを起動します。
  2. [接続] パネルで ArcGIS Web Adaptor の Web サイトにアクセスします。

    [<サーバ>] [サイト] [Default Web Site] の順に展開して、ArcGIS Web Adaptor をクリックします。デフォルト名を使用した場合、サイト名は arcgis になります。

  3. [ホーム] パネルで [認証] をダブルクリックします。
  4. [匿名認証] をクリックして、[無効] をクリックします。
  5. [Windows 認証] をクリックして、[有効] をクリックします。
  6. IIS Manager を閉じます。
注意注意:

ポータルに ArcGIS Server サイトを追加して、サーバで IWA を使用する場合、ポータルに追加する前に、ArcGIS Server サイトで IWA を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、IWA からポータルのユーザとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトが IWA を使用していない場合は、上記の操作は必要ありません。

ArcGIS Server サイトで IWA を無効にする手順については、「Windows アカウントを使用するようにポータルとフェデレーション サーバを設定する」をご参照ください。ポータルに ArcGIS Server サイトを追加する詳細な手順については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。

Windows アカウントを管理者として指定する

Windows アカウントをポータルに追加する方法は、ユーザがエンタープライズ ログインを使用してサイン インする場合、またはアカウントを ArcGIS Portal Directory から追加する必要がある場合に、自動でポータルにアカウントが追加されるようポータルが構成されているかどうかによって異なります。この設定の詳細については、「アカウント作成の構成」をご参照ください。

エンタープライズ ユーザのアカウントを手動で登録する場合

CreateUsers ツールを使用してアカウントを追加する必要があるようにポータルが構成されている場合、「ポータルへのエンタープライズ アカウントの追加」の手順に従って、ポータル管理者として Windows アカウントを追加します。エンタープライズ アカウントを登録する際に、[管理者] ロールを選択してください。

エンタープライズ ユーザのアカウントが自動的に登録される場合

エンタープライズ アカウントを自動的に登録するようにポータルが構成されている場合、ポータル管理者として使用する Windows アカウントでログインして、ポータル Web サイトのホーム ページを開きます。お使いのブラウザと設定によっては、サイン インするよう求められる場合があります。

アカウントが最初に自動的にポータルに追加されるときに、ユーザ ロールが割り当てられます。アカウントのロールを変更できるのは、管理者だけです。そのため、初期管理者アカウントを使用してポータルにログインし、Windows アカウントに管理者ロールを割り当てる必要があります。ArcGIS Web Adaptor は Windows 認証用に設定されているため、初期管理者アカウントを使用してサイン インするには、ArcGIS Web Adaptor ではなくポート 7443 を通じてポータルに接続する必要があります。

手順:
  1. 管理者として使用する Windows アカウントでコンピュータにログインして、ポータルに接続します。このアカウントが別のユーザのアカウントである場合、そのユーザにポータルに接続させて、アカウントがポータルに登録されるようにします。
  2. Windows アカウントがポータルに追加されたら、ブラウザを開いて、ポート 7443 を使用してポータルに接続します(たとえば、https://portal.domain.com:7443/arcgis/home)。
  3. Portal for ArcGIS を設定したときに作成した初期管理者アカウントを使用してサイン インします。
  4. ポータルの管理に使用する Windows アカウントを検索し、そのロールを [管理者] に変更します。アカウントが username@domain の形式で表示されます。
  5. Web サイトからサイン アウトします。

これで、Windows アカウントを使用してコンピュータにログインすると、ArcGIS Web Adaptor を通じてポータルに接続して、ポータルを管理できます。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントにユーザ ロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザが自分のアカウントを作成できないようにする

ポータルへのアクセスのセキュリティを保護したら、ポータル Web サイトの [アカウントの作成] ボタンとサインアップ ページ(signup.html)を無効化して、ユーザが自分のアカウントを作成できないようにできます。このようにすると、すべてのメンバーはエンタープライズ認証情報を使用してポータルにサイン インするようになり、必要のないメンバー アカウントは作成できなくなります。

ユーザが自分のアカウントを作成できないようにするには、次の手順に従います。

手順:
  1. を参照し、テキスト エディタで config.js を開きます。
  2. showSignUp プロパティの値を false に指定します。
  3. 編集したファイルを保存して閉じます。
  4. 編集内容を適用するには、ポータルを再起動します。
  5. ポータルを再起動したら、ブラウザのキャッシュ(cookie など)を削除して、ポータル Web サイトの変更を確認します。
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014