Windows 統合認証による Web サービスのセキュリティ保護

このチュートリアルでは、Windows 統合認証を使用して ArcGIS Web サービスをセキュリティで保護する方法を示しています。Windows 統合認証では、Microsoft Windows Active Directory サーバを使用してユーザとロールを管理する必要があります。GIS ユーザがネットワーク上ですでに取得しているアカウントを利用できるようにしたい場合は、この方法が便利です。

ユーザが Windows ドメイン アカウントを持っており、ローカル ネットワークを介してサービスにアクセスする場合は、Windows 統合認証を使用できます。

注意注意:

Windows 統合認証はインターネット経由ではサポートされていません。Windows 統合認証には、ArcGIS Web Adaptor(IIS) のインストールと構成が必要です。詳細については、「ArcGIS Web Adaptor について」をご参照ください。Web アダプタが認証を実行し、ArcGIS Server が Web サービスへのアクセスを許可します。

Windows 統合認証を使用して ArcGIS Web サービスをセキュリティで保護するには、次のステップに従います。

  1. ArcGIS Server の構成による Windows Active Directory ユーザとロールの使用
  2. ユーザとロールの確認
  3. サービスの権限の設定
  4. ArcGIS Web Adaptor(IIS) の構成による Windows 認証の使用
  5. セキュリティで保護されたサービスへのテスト アクセス.

ArcGIS Server セキュリティの構成による Windows Active Directory ユーザとロールの使用

Windows 統合認証をサポートするには、ArcGIS Server を構成して Windows Active Directory サーバからユーザとロールを取得します。

手順:
  1. Manager を開いて、プライマリ サイト管理者、または管理者アクセス権を持つユーザとしてログインします。このステップの詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
  2. [セキュリティ] [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザとロールの管理] ページで、[既存のエンタープライズ システムのユーザとロール(LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
  6. [Windows ドメインの認証情報] ページで、ドメインへの読み取りアクセス権を持つユーザの認証情報を入力し、[次へ] をクリックします。
  7. [認証層] ページで、[Web 層] を選択します。
  8. 選択の概要を確認します。[完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザとロールの確認

ユーザとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザとロールを確認してこれらが正しく取得されたことを確認します。ユーザとロールを追加、編集、または削除するには、Active Directory サーバで使用可能なツールを使用する必要があります。

手順:
  1. Manager で [セキュリティ] [ユーザ] の順にクリックします。
  2. ユーザが Windows ドメイン サーバから想定どおりに取得されたことを確認します。
  3. [ロール] をクリックして、Windows ドメイン サーバから取得したロールを確認します。
  4. ロールが想定どおりに取得されたことを確認します。ロールの横にある [編集] ボタンをクリックして、ロールのメンバーシップを確認します。必要に応じて、[ロール タイプ] の値を変更します。ロール タイプについては、「ArcGIS Server のセキュリティの仕組み」をご参照ください。

ArcGIS Web サービスの権限の設定

セキュリティ設定を構成し、ユーザとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザを制御することができます。

ArcGIS Server は、ロール ベースのアクセス制御モデルを使用して、サーバでホストされる GIS Web サービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。

権限は、個々の Web サービスに、またはサービスのグループが含まれる親フォルダに割り当てることができます。フォルダに権限を割り当てた場合、フォルダ内のサービスはフォルダの権限を継承します。たとえば、サイト(ルート)フォルダへのアクセス権限をロールに付与すると、そのロールに属するユーザにはそのサイトにホストされたすべてのサービスへのアクセス権限が付与されます。また、親フォルダからサービスにより自動的に継承された権限を無効にするには、サービスを編集して継承された権限を明示的に削除することができます。

サービスの権限については、「Manager での権限の編集」をご参照ください。

ArcGIS Web Adaptor(IIS) の構成による Windows 認証の使用

Windows Active Directory サーバのユーザとロールを活用するようにサービスを構成したら、ArcGIS Web Adaptor(IIS) をインストールして構成し、認証方法として Windows 認証を使用するように IIS を構成する必要があります。

手順:
  1. ArcGIS Web Adaptor(IIS) のインストール」の手順に従って、Web Adaptor をインストールします。
  2. インストール後の Web Adaptor の構成」の手順に従って Web Adaptor を構成します。
  3. IIS Manager を使用して、Web Adaptor の認証方式を設定します。
    1. IIS Manager を開くには、[スタート] [コントロール パネル] [管理ツール] [インターネット インフォメーション サービス(IIS)マネージャ] の順にクリックします。
    2. IIS マネージャの左側のパネルで、[サイト] を展開します。[既定の Web サイト] を展開して、ArcGIS Web Adaptor(IIS) アプリケーションを見つけます。デフォルトでは、ArcGIS Web Adaptor(IIS) の名前は arcgis です。
    3. Web Adaptor の認証プロパティを編集します。[匿名] 認証の選択を解除し、[Windows 認証] を選択します。
    4. IIS Manager を閉じます。

セキュリティで保護されたサービスへのアクセスのテスト

設定をテストするには、サービスを含んでいるルート(サイト)フォルダにアクセスできる Windows ドメイン ユーザ アカウントを特定します。このユーザ アカウントを使用して Windows にログインし、Web ブラウザを開き、次の ArcGIS Server WSDL にアクセスします。

http://<Web Adaptor ホスト>/arcgis/services?wsdl

ルート フォルダにアクセスできる Windows ドメイン ユーザを特定するには、次の手順に従います。

手順:
  1. ArcGIS Server Manager にログインし、[サービス] をクリックします。
  2. サイト(ルート)フォルダの横にある [ロック] ボタン ロック をクリックして、このフォルダにアクセスできる権限を付与されたロールを特定します。アクセスできるロールがない場合は、[ロールの追加] ロールの追加 をクリックして、少なくとも 1 つのロールにアクセスを付与します。
  3. [セキュリティ] [ロール] の順にクリックし、ルート フォルダにアクセスできるロールの [編集] ボタンをクリックします。
  4. このロールのメンバーであるユーザのリストを表示します。
Copyright © 1995-2013 Esri. All rights reserved.
9/15/2013