Windows Active Directory および PKI を使用してポータルへのアクセスのセキュリティを保護する

ユーザ アカウントが Windows Active Directory で管理されている場合、PKI(Public Key Infrastructure)を使用して、ポータルへのアクセスのセキュリティを保護することができます。

以下のセクションでは、PKI を使用するための Portal for ArcGISArcGIS Web Adaptor(IIS) の設定について説明します。すべての手順を、ここに示した順序で実行する必要があります。ArcGIS Web Adaptor で PKI を使用するために他の Web サーバを構成する必要がある場合は、Esri Professional Services にお問い合わせください。

以下の手順では、すでに ArcGIS Web Adaptor(IIS)Portal for ArcGIS がインストールされていて、ポータルで ArcGIS Web Adaptor が登録されていることを前提としています。

レガシーレガシー:

レガシー:10.2 では、ディスク上のプロパティ ファイルを編集して、ポータルのセキュリティを構成する必要がありました。この作業は、10.2.1 以降のバージョンでは不要になっています。以下の手順は、10.2.1 以降のバージョンにのみ適用されます。10.2 でのこれらの手順については、10.2 のドキュメントをご参照ください。

Windows Active Directory ユーザを使用するように Portal for ArcGIS を構成する

最初に、SSL だけを使用するようにポータルを構成します。これは、ポータル Web サイトの [セキュリティ] ページで設定します。

手順:
  1. ポータル Web サイトにポータル管理者としてサイン インします。
  2. [組織] ページで [設定を編集] をクリックします。
  3. [セキュリティ] をクリックします。
  4. [SSL を使用した組織へのアクセスのみ許可します] をオンにします。
  5. [保存] をクリックして、変更内容を適用します。
注意注意:

ポータルに ArcGIS Server サイトを追加して、サイトで Web 層認証を使用する場合、ポータルに追加する前に、Web 層認証(基本認証またはダイジェスト認証)を無効にして、サイトで構成されている ArcGIS Web Adaptor で 匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。

次に、Windows Active Directory アカウントを使用するようポータルのアイデンティティ ストアを更新します。

手順:
  1. ArcGIS Portal Directory に管理者権限を持つアカウントでログインします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
  2. [Security] [Config] [Update Identity Store] の順にクリックします。
  3. [User store configuration (in JSON format)] テキスト ボックスに Windows Active Directory 構成の JSON を入力します。

    次のテキスト ボックスをコピーして、サイト固有の情報を含むよう変更します。

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    ほとんどの場合、ユーザとユーザ パスワードのパラメータの値を変更するだけです。パスワードをプレーン テキストで入力しても、ポータルの構成ディレクトリに保存または表示される際には暗号化されます。ユーザ パラメータに使用するアカウントには、ネットワーク上で Windows アカウントの電子メール アドレスとフル ネームを検索するための権限のみが必要です。可能な限り、パスワードに有効期限のないアカウントを使用します。

  4. ユーザ ストア構成に JSON を入力したら、[Update Configuration] をクリックして変更を保存します。

Active Directory クライアント証明書マッピング認証のインストールと有効化

IIS で Active Directory クライアント証明書マッピング認証をインストールして有効化する必要があります。

クライアント証明書マッピング認証のインストール

Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。この機能をインストールする手順は、使用しているオペレーティング システムによって異なります。

Windows Server 2008 R2、および 2012 R2

手順:
  1. [管理ツール] を開いて、[サーバー マネージャ] をクリックします。
  2. [サーバー マネージャ] の階層ペインで、[役割] を展開し、[Web サーバー(IIS)] をクリックします。
  3. [役割サービス] セクションにスクロールし、[役割サービスの追加] をクリックします。
  4. [役割サービスの追加ウィザード][役割サービスの選択] ページで [クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [インストール] をクリックします。

Windows 7、8、および 8.1

手順:
  1. [コントロール パネル] を開いて、[プログラムと機能] [Windows の機能の有効化または無効化] の順に選択します。
  2. [インターネット インフォメーション サービス] [World Wide Web サービス] [セキュリティ] の順に展開し、[クライアント証明書マッピング認証] を選択します。
  3. [OK] をクリックします。

Active Directory クライアント証明書マッピング認証の有効化

Active Directory クライアント証明書マッピングは、Windows へのインストール後、自動的に有効化されません。以下の手順に従って、IIS で有効化する必要があります。

手順:
  1. インターネット インフォメーション サービス(IIS)マネージャを起動します。
  2. [接続] ノードで、Web サーバの名前をクリックします。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. [Active Directory クライアント証明書認証] が表示されていることを確認します。この機能が表示されないか使用不可になっている場合、Web サーバを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
  5. [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。

Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。これについては、次のセクションで対処します。

SSL が必要な ArcGIS Web Adaptor を構成する

ArcGIS Web Adaptor の認証と SSL 設定を変更します。

手順:
  1. インターネット インフォメーション サービス(IIS)マネージャを起動します。
  2. [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. すべての形式の認証を無効化します。
  5. [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
  6. [SSL 設定] をダブルクリックします。
  7. [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
  8. [適用] をクリックして変更内容を保存します。

Active Directory アカウントを管理者として指定する

Active Directory アカウントをポータルに追加する方法は、ユーザがエンタープライズ ログインを使用してサイン インする場合、またはアカウントを ArcGIS Portal Directory から追加する必要がある場合に、自動でポータルにアカウントが追加されるようポータルが構成されているかどうかによって異なります。この設定の詳細については、「アカウント作成の構成」をご参照ください。

エンタープライズ ユーザのアカウントを手動で登録する場合

CreateUsers ツールを使用してアカウントを追加する必要があるようにポータルが構成されている場合、「ポータルへのメンバーの追加」の手順に従って、ポータル管理者として Active Directory アカウントを追加します。エンタープライズ アカウントを登録する際に、[管理者] ロールを選択してください。

エンタープライズ ユーザのアカウントが自動的に登録される場合

エンタープライズ アカウントを自動的に追加するようにポータルが構成されている場合、ポータル管理者として使用する Active Directory アカウントでログインして、ポータル Web サイトのホーム ページを開きます。お使いのブラウザと設定によっては、サイン インするよう求められる場合があります。

アカウントが最初に自動的にポータルに追加されるときに、ユーザ ロールが割り当てられます。アカウントのロールを変更できるのは、管理者だけです。そのため、初期管理者アカウントを使用してポータルにログインし、Active Directory アカウントに管理者ロールを割り当てる必要があります。ArcGIS Web Adaptor は Windows 認証用に設定されているため、初期管理者アカウントを使用してサイン インするには、ArcGIS Web Adaptor ではなくポート 7443 を通じてポータルに接続する必要があります。

手順:
  1. 管理者を作成するエンタープライズ アカウントでログインし、ポータルに接続します。このアカウントが別のユーザのアカウントである場合、そのユーザにポータルに接続させて、アカウントがポータルに登録されるようにします。
  2. アカウントがポータルに追加されたら、ブラウザを開いて、ポート 7443 を使用してポータルに接続します(たとえば、https://portal.domain.com:7443/arcgis/home)。
  3. Portal for ArcGIS を設定したときに作成した初期管理者アカウントを使用してサイン インします。
  4. ポータルの管理に使用する Active Directory アカウントを検索し、そのロールを [管理者] に変更します。アカウントが username@domain の形式で表示されます。
  5. Web サイトからサイン アウトします。

これで、この Active Directory アカウントを使用してコンピュータにログインすると、ArcGIS Web Adaptor を通じてポータルに接続し、ポータルを管理できます。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントにユーザ ロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザが自分のアカウントを作成できないようにする

ポータルへのアクセスのセキュリティを保護したら、ポータル Web サイトの [アカウントの作成] ボタンとサインアップ ページ(signup.html)を無効化して、ユーザが自分のアカウントを作成できないようにできます。このようにすると、すべてのメンバーはエンタープライズ認証情報を使用してポータルにサイン インするようになり、必要のないメンバー アカウントは作成できなくなります。

ユーザが自分のアカウントを作成できないようにするには、次の手順に従います。

手順:
  1. <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline を参照し、テキスト エディタで config.js を開きます。
  2. showSignUp プロパティの値を false に指定します。
  3. 編集したファイルを保存して閉じます。
  4. 編集内容を適用するには、ポータルを再起動します。
  5. ポータルを再起動したら、ブラウザのキャッシュ(cookie など)を削除して、ポータル Web サイトの変更を確認します。
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014