LDAP および PKI を使用してポータルへのアクセスのセキュリティを保護する

Lightweight Directory Access Protocol(LDAP)を使用してユーザを認証するときに、PKI(Public Key Infrastructure)を使用して、ポータルへのアクセスのセキュリティを保護することができます。

以下のセクションでは、PKI を使用するための Portal for ArcGIS と ArcGIS Web Adaptor(Java Platform)の設定について説明します。すべての手順を、ここに示した順序で実行する必要があります。

これらの手順では、ArcGIS Web Adaptor(Java Platform)および Portal for ArcGIS をすでにインストールし、ポータルに ArcGIS Web Adaptor を構成済みであることを前提としています。

LDAP ユーザを使用するように Portal for ArcGIS を構成する

最初に、SSL だけを使用するようにポータルを構成します。これは、ポータル Web サイトの [セキュリティ] ページで設定します。

手順:
  1. ポータル Web サイトにポータル管理者としてサイン インします。
  2. [組織] ページで [設定を編集] をクリックします。
  3. [セキュリティ] をクリックします。
  4. [SSL を使用した組織へのアクセスのみ許可します] をオンにします。
  5. [保存] をクリックして、変更内容を適用します。
注意注意:

ポータルに ArcGIS Server サイトを追加して、サイトで Web 層認証を使用する場合、ポータルに追加する前に、Web 層認証(基本認証またはダイジェスト認証)を無効にして、サイトで構成されている ArcGIS Web Adaptor で 匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。

次に、組織の LDAP を使用するようポータルのアイデンティティ ストアを更新します。

手順:
  1. ArcGIS Portal Directory に管理者権限を持つアカウントでログインします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
  2. [Security] [Config] [Update Identity Store] の順にクリックします。
  3. [User store configuration (in JSON format)] テキスト ボックスに LDAP 構成の JSON を入力します。

    次のテキスト ボックスをコピーして、サイト固有の情報を含むよう変更します。

    {
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin\,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
    "userEmailAttribute": "email",
    "usernameAttribute": "cn",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}

    ほとんどの場合、userSearchAttribute、user、userPassword、および ldapURLForUsers の各パラメータの値を変更するだけです。userSearchAttribute は、PKI 認証の Subject パラメータの値です。組織が PKI 認証で電子メールなどの別の属性を使用している場合、userSearchAttribute を更新して、PKI 認証の Subject パラメータと一致させる必要があります。

    LDAP の URL は、LDAP 管理者が提供する必要があります。user パラメータに使用するアカウントは、組織サイト内のユーザの電子メール アドレスとユーザ名を検索する権限を持つ必要があります。パスワードをプレーン テキストで入力しても、ポータルの構成ディレクトリに保存または表示される際には暗号化されます。

  4. ユーザ ストア構成に JSON を入力したら、[Update Configuration] をクリックして変更を保存します。

    [Update Configuration] をクリックすると、ポータルが自動的に再起動します。再起動が完了するまでに、数分かかります。

ポータルの ArcGIS Web Adaptor での PKI 認証の設定

LDAP には Web 層認証が必要です。これは、ArcGIS Web Adaptor(Java Platform)を使用して実行する必要があります。ArcGIS Web Adaptor は、ユーザを認証し、ユーザのアカウント名を ArcGIS Web Adaptor で指定するのに Java アプリケーション サーバを利用します。アカウント名を指定したら、それをポータルに渡します。

ポータルで ArcGIS Web Adaptor(Java Platform)をインストールおよび構成したら、Java アプリケーション サーバで LDAP のレルムを構成し、ArcGIS Web Adaptor に PKI ベースのクライアント認証に基づいた認証を構成する必要があります。手順については、Java アプリケーション サーバの製品マニュアルを参照するか、システム管理者にお問い合わせください。

ポータルに ArcGIS Server サイトを追加して、LDAP などの サーバで PKI を使用する場合、ポータルに追加する前に、ArcGIS Server サイトで Web 層認証を無効にして、匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。

LDAP アカウントを管理者として指定する

LDAP アカウントをポータルに追加する方法は、ユーザがサイン インしたときにエンタープライズ ログインがポータルに自動的に追加されるようにポータルを構成するかどうか、またはアカウントを ArcGIS Portal Directory から追加する必要があるかどうかによって異なります。この設定の詳細については、「アカウント作成の構成」をご参照ください。

エンタープライズ アカウントを自動的に追加するようにポータルが構成されている場合、ポータル管理者として使用する LDAP アカウントでログインして、ポータル Web サイトのホーム ページを開きます。お使いのブラウザと設定によっては、サイン インするよう求められる場合があります。

エンタープライズ ユーザのアカウントを手動で登録する場合

CreateUsers ツールを使用してアカウントを追加する必要があるようにポータルが構成されている場合、「ポータルへのメンバーの追加」の手順に従って、ポータル管理者として LDAP アカウントを追加します。エンタープライズ アカウントを登録する際に、[管理者] ロールを選択してください。

エンタープライズ ユーザのアカウントが自動的に登録される場合

エンタープライズ ユーザが最初にポータルにアクセスしたときにエンタープライズ アカウントがポータルに登録されるようにポータルが構成されている場合、LDAP アカウントを使用してポータルにアクセスし、そのアカウントをポータルに登録します。次に、初期管理者アカウントを使用してポータルにサイン インし、LDAP ユーザに管理者ロールを割り当てます。

アカウントを最初にポータルに追加すると、ユーザ ロールが割り当てられます。アカウントのロールを変更できるのは、管理者だけです。そのため、初期管理者アカウントを使用してポータルにログインし、LDAP アカウントに管理者ロールを割り当てる必要があります。ArcGIS Web Adaptor は LDAP 認証用に設定されているため、初期管理者アカウントを使用してサイン インするには、ArcGIS Web Adaptor の URL ではなくポート 7443 を通じてポータルに接続する必要があります。

手順:
  1. LDAP アカウントを使用してコンピュータにログインし、ポータル Web サイトに接続します。このアカウントが別のユーザのアカウントである場合、そのユーザにポータルに接続させて、アカウントがポータルに登録されるようにします。
  2. LDAP アカウントがポータル Web サイトに追加されたら、ブラウザを開いて、ポート 7443 を使用してポータル Web サイトに接続します(たとえば、https://portal.domain.com:7443/arcgis/home)。
  3. ポータルを最初に設定したときに作成した初期管理者アカウントを使用してサイン インします。
  4. ポータルの管理に使用する LDAP アカウントのロールを [管理者] に変更します。
  5. Web サイトからサイン アウトします。

この LDAP アカウントを使用してコンピュータにログインすると、ArcGIS Web Adaptor の URL を介してポータルに接続して、ポータルを管理できます。

初期管理者アカウントの権限の降格または削除

代わりのポータル管理者アカウントができたため、初期管理者アカウントにユーザ ロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。

ユーザが自分のアカウントを作成できないようにする

ポータルへのアクセスのセキュリティを保護したら、ポータル Web サイトの [アカウントの作成] ボタンとサインアップ ページ(signup.html)を無効化して、ユーザが自分のアカウントを作成できないようにできます。このようにすると、すべてのメンバーはエンタープライズ認証情報を使用してポータルにサイン インするようになり、必要のないメンバー アカウントは作成できなくなります。

ユーザが自分のアカウントを作成できないようにするには、次の手順に従います。

手順:
  1. <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline を参照し、テキスト エディタで config.js を開きます。
  2. showSignUp プロパティの値を false に指定します。
  3. 編集したファイルを保存して閉じます。
  4. 編集内容を適用するには、ポータルを再起動します。
  5. ポータルを再起動したら、ブラウザのキャッシュ(cookie など)を削除して、ポータル Web サイトの変更を確認します。
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014