ArcGIS Help 10.1 - ArcGIS for Spatial Data Server for IIS の web.config ファイルのセキュリティ構成

Windows 認証ユーザがイントラネット経由で、ArcGIS Spatial Data Server for IIS サービスにアクセスする場合、ArcGIS Spatial Data Server for IIS インストールディレクトリの REST フォルダにある web.config ファイルを構成することによって、Spatial Data Server のセキュリティが確保できます。

これを実行するには、まず、IIS 役割サービスを有効にして、Windows 認証または基本認証を有効にする必要があります。そこで、authorization 要素を含む location 要素を configuration 要素の子として、web.config ファイルに追加できます。

IIS 役割サービスの有効化

location 要素を web.config ファイルに追加してサービスへのアクセスを制御する前に、URL 認証の IIS 役割サービスを有効にして、Windows 認証または基本認証のいずれかの IIS 役割サービスを有効にする必要があります。

役割サービスの有効化は、サーバマネージャーから実行します。Windows 管理者グループのメンバーとしてサーバにログインして、サーバマネージャーで設定を変更する必要があります。

手順:

サーバマネージャーを起動します。
[スタート] → [管理ツール] → [サーバマネージャー] → [役割]
[サーバマネージャー] ダイアログボックスが開きます。
[Web サーバ（IIS）] セクションまでスクロールして、[役割サービスの追加] をクリックします。
[セキュリティ] の下にある [URL 認証] をオンにします。
[Windows 認証] をオンにするか、または、SSL 証明書を使用する場合は、[基本認証] をオンにします。
[次へ] をクリックします。
設定内容を確認してから、[インストール] をクリックします。
[閉じる] をクリックします。
サーバマネージャーを閉じます。

Windows 認証または基本認証の有効化

Windows 認証または基本認証のいずれかの役割サービスを追加したら、IIS Manager 内でこれを有効にできます。Windows 管理者グループのメンバーとしてサーバにログインして、IIS Manager で設定を変更する必要があります。

手順:

IIS Manager を起動します。
[スタート] → [管理ツール] → [インターネットインフォメーションサービス]
[インターネットインフォメーションサービス (IIS) マネージャー] が開きます。
マネージャー内からサーバに接続します。
IIS の [機能ビュー] で、[認証] をダブルクリックします。
[認証] ウィンドウが開きます。
[認証] で [Windows 認証] または [基本認証] を選択して、[操作] の下の [有効にする] をクリックします。
基本認証を使用する場合は、SSL を有効にして、認証情報がプレーンテキストで送信されないようにします。
[ファイル] → [終了] の順にクリックして、IIS Manager を閉じます。

web.config ファイルの location 要素の構成

web.config ファイルに location 要素を追加して、サービスへのアクセスを制御できます。location 要素は、次のように指定できます。

<location path="path">
    <system.webServer>
      <security>
        <authorization>
          <remove users="" roles="" verbs="" />
          <add accessType="Allow" 
               users="allowedUsers" 	
               roles="allowedRoles" />
        </authorization>
      </security>
    </system.webServer>
  </location>

location 要素の以下の子要素の値を変更します。

location path:アクセスのセキュリティを確保したいリソース（この場合、Spatial Data Server）への相対アプリケーション URI パスを入力します。
authentication:これは、Windows に設定する必要があります。設定されていない場合は設定してください。
remove:指定したパスの認証を削除します。users、roles、verbs の認証を削除できます。
- users:特定の Windows ログインのカンマ区切りリスト、すべてのログイン（「*」）、または匿名ログイン（「？」）です。
- roles:特定の Windows グループのカンマ区切りリスト、すべてのグループ（「*」）、または匿名グループ（「？」）です。
- verbs:HTTP 動詞がサポートされています。特定の動詞のカンマ区切りリストまたはすべての動詞（「*」)のいずれかです。
add:指定したパスの認証ルールを追加します。
accessType:認証ルールのプロパティです。accessType を Allow に設定して、リソースにアクセスできるログインとグループを指定するルールを作成します。
allowedUsers:accessType が Allow に設定されている場合、これは、リソースへのアクセス権限を持つ特定の Windows ログインのカンマ区切りリストまたはすべてのログイン（「*」）です。
allowedRoles:accessType が Allow に設定されている場合、これは、リソースへのアクセス権限を持つ特定の Windows グループのカンマ区切りリストまたはすべてのグループ（「*」）です。

location 要素を configuration 要素の子要素として追加します。configuration 要素の直接の子要素は数多くありますが、location 要素は、configSections 要素の後および同じレベルの任意の位置に追加できます。

例 1: 管理要求のセキュリティ

次の location 要素の例では、web.config ファイルからデフォルトの IIS 認証設定を削除して、認証ルールを構成し、Windows 管理者グループ内のユーザのみが管理エンドポイント内のコンテンツにアクセスできるようにします。

<configuration>
  <location path="admin">
    <system.webServer>
      <security>
        <authorization>
          <remove users="*" roles="" verbs="" />
          <add accessType="Allow" 
               users="" 
               roles="Administrators" />
        </authorization>
      </security>
    </system.webServer>
  </location>
</configuration>

例 2: 特定ユーザおよび特定ロールによるすべてのサービスへのアクセス許可

この location 要素の例では、web.config ファイルのデフォルトの IIS 認証設定を変更して、svcsusers グループと svcmgr Windows ユーザが Spatial Data Server 上のすべてのサービスにアクセスできるようにします。

<configuration>
  <location path="rest/services">
   <system.webServer>
      <security>
        <authorization>
          <remove users="*" roles="" verbs="" />
          <add accessType="Allow" 
               users="mydomain\svcmgr" 
               roles="svcsusers" />
        </authorization>
      </security>
    </system.webServer>
  </location>
</configuration>

例 3: 特定サービスへのアクセス許可

単一のロールが特定のサービスにアクセスするのを完全に制限するには、1 つのサービスに適用されて指定したロールに認証が付与されるように、location 要素を web.config ファイルに追加します。この例では、気象学者ロールのメンバーのみが気象サービスにアクセスできます。

<configuration>
  <location path="rest/services/weather/FeatureServer">
    <system.webServer>
      <security>
        <authorization>
          <remove users="*" roles="" verbs="" />
          <add accessType="Allow" 
               roles="meteorologists" />
        </authorization>
      </security>
    </system.webServer>
  </location>
</configuration>

例 4: 複数ロールの特定サービスへのアクセス許可

複数のロールが特定のサービスにアクセスするのを許可するには、1 つのサービスに適用されて複数ロールによるアクセスが許可されるように、location 要素を web.config ファイルに追加します。この例では、設計者、契約業者、開発者のロールのメンバーが土地利用サービスにアクセスできます。

<configuration>
  <location path="rest/services/landuse/FeatureServer">
    <system.webServer>
      <security>
        <authorization>
          <remove users="*" roles="" verbs="" />
          <add accessType="Allow" 
               roles="planners,contractors,developers" />
        </authorization>
      </security>
    </system.webServer>
  </location>
</configuration>

9/15/2013