LDAP サーバからのユーザとロールによるサービスのセキュリティ保護
ArcGIS Server では、Apache Directory Server や Microsoft Active Directory などの LDAP サーバに格納されているユーザ情報およびロール情報を活用できます。ArcGIS Server は、ユーザ/ロール情報の読み取り専用ソースとして LDAP サーバを扱います。このため、ArcGIS Server Manager を使用してユーザやロールを追加または削除したり、これらの属性を編集することはできません。
ArcGIS Web サービスは、次の手順に従って LDAP からユーザとロールによってセキュリティを強化できます。
セキュリティ設定の構成
次の手順に従って、Manager を使用してセキュリティを設定します。
- Manager を開いて、プライマリ サイト管理者、または管理者アクセス権を持つユーザとしてログインします。このステップの詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
- [セキュリティ] → [設定] の順にクリックします。
- [構成設定] の横にある [編集] ボタン をクリックします。
- [ユーザとロールの管理] ページで、[既存のエンタープライズ システムのユーザとロール(LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
- [エンタープライズ ストア タイプ] ページで、[LDAP] オプションを選択し、[次へ] をクリックします。
- 次のページで、LDAP サーバに接続するためのパラメータを入力する必要があります。[テスト接続] をクリックして、LDAP へのテスト接続を作成します。接続の試行が成功したら、[次へ] をクリックします。以下の表では、このページのパラメータについて説明しています。
パラメータ
説明
例
ホスト名
LDAP サーバが実行されているホスト コンピュータの名前です。
myservername
ポート
LDAP サーバが着信接続をリッスンしているホスト コンピュータ上のポート番号です。LDAP サーバがセキュリティで保護された接続(LDAP)をサポートする場合、ArcGIS Server は、自動的に LDAP プロトコルに切り替えます。指定されたポートが 10389 である場合、ArcGIS Server は、セキュリティで保護された接続をポート 10636 に対して確立します。指定されたポートが 389 である場合、ArcGIS Server は、セキュリティで保護された接続をポート 636 に対して確立します。
10389
389
ベース DN
ユーザ情報が維持されているディレクトリ サーバ内のノードの識別名(DN)です。
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
LDAP サーバへの接続に使用される LDAP URL です(これは自動的に生成されます)。不適切な場合、または変更が必要な場合は、この URL を編集してください。LADP サーバが、セキュリティで保護された接続に標準のポート 636 を使用しない場合、ここでカスタム ポート番号を指定する必要があります。
ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com
RDN 属性
LDAP サーバのユーザ エントリ用の相対識別名(RDN)です。
DN が「cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「cn=john」であり、RDN 属性は cn です。
DN が「uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com」の場合、RDN は「uid=john」であり、RDN 属性は uid です。
管理者の DN
ユーザ情報を含んでいるノードにアクセスできる LDAP 管理者アカウントの DN です。
uid=admin,ou=administrators,dc=mydomain,dc=com
パスワード
管理者のパスワードです。
adminpassword
- 次のページで、LDAP サーバからロールを取得するためのパラメータを入力します。以下の表では、パラメータについて詳細に説明しています。
パラメータ
説明
例
ベース DN
ロール情報が維持されているディレクトリ サーバ内のノードの DN です。
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
サーバへの接続に使用される LDAP URL です(これは自動的に生成されます)。不適切な場合、または変更が必要な場合は、この URL を編集してください。
ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com
ロール エントリのユーザ属性
このロールのメンバーであるユーザの DN を含んでいるロール エントリ内の属性の名前です。
Apache Directory Server で、最も一般的に使用される属性名は uniqueMember です。Microsoft Active Directory で、最も一般的に使用される属性名は member です。
- パラメータを入力したら、[次へ] をクリックします。
- [認証層] ページで、認証を実行する場所を選択し、[次へ] をクリックします。このオプションの詳細については、「ArcGIS Server セキュリティの構成」をご参照ください。
- 選択の概要を確認します。[戻る] をクリックして変更を行うか、[完了] をクリックしてセキュリティ構成を適用し、保存します。
ユーザとロールの確認
ユーザとロールの管理にストアを使用するようにセキュリティを構成した後、ユーザとロールを確認してこれらが正しくインポートされたことを確認します。ユーザとロールを追加、編集、または削除するには、LDAP プロバイダが提供しているユーザ管理ツールを使用する必要があります。
- Manager で [セキュリティ] → [ユーザ] の順にクリックします。
- ユーザが、想定どおりに LDAP サーバから取得されたことを確認します。
- [ロール] をクリックして、LDAP サーバから取得したロールを確認します。
- ロールが、想定どおりに LDAP サーバから取得されたことを確認します。ロールの横にある [編集] ボタンをクリックして、ロールのメンバーシップを確認します。必要に応じて、[ロール タイプ] の値を変更します。ロール タイプについては、「ArcGIS Server へのアクセスの制限」をご参照ください。
ArcGIS Web サービスの権限の設定
セキュリティ設定を構成し、ユーザとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザを制御することができます。
ArcGIS Server は、ロール ベースのアクセス制御モデルを使用して、サーバでホストされる GIS Web サービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。
権限は、個々の Web サービスに、またはサービスのグループが含まれる親フォルダに割り当てることができます。フォルダに権限を割り当てた場合、フォルダ内のサービスはフォルダの権限を継承します。たとえば、サイト(ルート)フォルダへのアクセス権限をロールに付与すると、そのロールに属するユーザにはそのサイトにホストされたすべてのサービスへのアクセス権限が付与されます。また、親フォルダからサービスにより自動的に継承された権限を無効にするには、サービスを編集して継承された権限を明示的に削除することができます。
サービスの権限については、「Manager での権限の編集」をご参照ください。