ポータルでの LDAP と Web 層認証の使用
ユーザの認証に組織が使用しているのと同じ LDAP(Lightweight Directory Access Protocol)を使用するようにポータルを構成できます。ポータルで LDAP を使用するには、以下の手順を示した順序で実行する必要があります。
- 組織で使用している LDAP を使用するようにポータルを構成します。
- ポータルの ArcGIS Web Adaptor で Web 層認証を設定します。
- LDAP ユーザの管理者権限の 1 つをポータルに付与します。
開始するには、下記のセクションの手順に従います。
レガシー:10.2 では、ディスク上のプロパティ ファイルを編集して、ポータルのセキュリティを構成する必要がありました。この作業は、10.2.1 以降のバージョンでは不要になっています。以下の手順は、10.2.1 以降のバージョンにのみ適用されます。10.2 でのこれらの手順については、10.2 のドキュメントをご参照ください。
LDAP を使用したポータルの構成
最初に、SSL だけを使用するようにポータルを構成します。これは、ポータル Web サイトの [セキュリティ] ページで設定します。
- ポータル Web サイトにポータル管理者としてサイン インします。
- [組織] ページで [設定を編集] をクリックします。
- [セキュリティ] をクリックします。
- [SSL を使用した組織へのアクセスのみ許可します] をオンにします。
- [保存] をクリックして、変更内容を適用します。
次に、組織の LDAP を使用するようポータルのアイデンティティ ストアを更新します。
- ArcGIS Portal Directory に管理者権限を持つアカウントでログインします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
- [Security] → [Config] → [Update Identity Store] の順にクリックします。
-
[User store configuration (in JSON format)] テキスト ボックスに LDAP 構成の JSON を入力します。
次のテキスト ボックスをコピーして、サイト固有の情報を含むよう変更します。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "userEmailAttribute": "email", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn" } }
ほとんどの場合、user、userPassword、および ldapURLForUsersの各パラメータの値を変更するだけです。LDAP の URL は、LDAP 管理者が提供する必要があります。user パラメータに使用するアカウントは、組織サイト内のユーザの電子メール アドレスとユーザ名を検索する権限を持つ必要があります。パスワードをプレーン テキストで入力しても、ポータルの構成ディレクトリに保存または表示される際には暗号化されます。
LDAP が大文字と小文字を区別するように構成されている場合は、caseSensitive パラメータを false に設定します。
-
ユーザ ストア構成に JSON を入力したら、[Update Configuration] をクリックして変更を保存します。
[Update Configuration] をクリックすると、ポータルが自動的に再起動します。再起動が完了するまでに、数分かかります。
ポータルの ArcGIS Web Adaptor での Web 層認証の設定
LDAP には Web 層認証が必要です。これは、ArcGIS Web Adaptor(Java Platform)を使用して実行する必要があります。ArcGIS Web Adaptor は、ユーザを認証し、ユーザのアカウント名を ArcGIS Web Adaptor で指定するのに Java アプリケーション サーバを利用します。アカウント名を指定したら、それをポータルに渡します。
ポータルで ArcGIS Web Adaptor(Java Platform)をインストールおよび構成したら、Java アプリケーション サーバで LDAP のレルムを構成し、ArcGIS Web Adaptor の認証方式を構成する必要があります。手順については、Java アプリケーション サーバの製品マニュアルを参照するか、システム管理者にお問い合わせください。
ポータルに ArcGIS Server サイトを追加して、サイトで Web 層認証を使用する場合、ポータルに追加する前に、Web 層認証(基本認証またはダイジェスト認証)を無効にして、サイトで構成されている ArcGIS Web Adaptor で 匿名アクセスを有効にする必要があります。これは、一見間違っているように感じるかもしれませんが、サイトをポータルとフェデレートして、ポータルのユーザとロールを読み取ることができるようにするために必要です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。サーバをポータルに追加する方法については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
LDAP アカウントを管理者として指定する
LDAP アカウントをポータルに追加する方法は、ユーザがサイン インしたときにエンタープライズ ログインがポータルに自動的に追加されるようにポータルを構成するかどうか、またはアカウントを ArcGIS Portal Directory から追加する必要があるかどうかによって異なります。この設定の詳細については、「アカウント作成の構成」をご参照ください。
エンタープライズ アカウントを自動的に追加するようにポータルが構成されている場合、ポータル管理者として使用する LDAP アカウントでログインして、ポータル Web サイトのホーム ページを開きます。お使いのブラウザと設定によっては、サイン インするよう求められる場合があります。
エンタープライズ ユーザのアカウントを手動で登録する場合
CreateUsers ツールを使用してアカウントを追加する必要があるようにポータルが構成されている場合、「ポータルへのメンバーの追加」の手順に従って、ポータル管理者として LDAP アカウントを追加します。エンタープライズ アカウントを登録する際に、[管理者] ロールを選択してください。
エンタープライズ ユーザのアカウントが自動的に登録される場合
エンタープライズ ユーザが最初にポータルにアクセスしたときにエンタープライズ アカウントがポータルに登録されるようにポータルが構成されている場合、LDAP アカウントを使用してポータルにアクセスし、そのアカウントをポータルに登録します。次に、初期管理者アカウントを使用してポータルにサイン インし、LDAP ユーザに管理者ロールを割り当てます。
アカウントを最初にポータルに追加すると、ユーザ ロールが割り当てられます。アカウントのロールを変更できるのは、管理者だけです。そのため、初期管理者アカウントを使用してポータルにログインし、LDAP アカウントに管理者ロールを割り当てる必要があります。ArcGIS Web Adaptor は LDAP 認証用に設定されているため、初期管理者アカウントを使用してサイン インするには、ArcGIS Web Adaptor の URL ではなくポート 7443 を通じてポータルに接続する必要があります。
- LDAP アカウントを使用してコンピュータにログインし、ポータル Web サイトに接続します。このアカウントが別のユーザのアカウントである場合、そのユーザにポータルに接続させて、アカウントがポータルに登録されるようにします。
- LDAP アカウントがポータル Web サイトに追加されたら、ブラウザを開いて、ポート 7443 を使用してポータル Web サイトに接続します(たとえば、https://portal.domain.com:7443/arcgis/home)。
- ポータルを最初に設定したときに作成した初期管理者アカウントを使用してサイン インします。
- ポータルの管理に使用する LDAP アカウントのロールを [管理者] に変更します。
- Web サイトからサイン アウトします。
この LDAP アカウントを使用してコンピュータにログインすると、ArcGIS Web Adaptor の URL を介してポータルに接続して、ポータルを管理できます。
初期管理者アカウントの権限の降格または削除
代わりのポータル管理者アカウントができたため、初期管理者アカウントにユーザ ロールを割り当てたり、このアカウントを削除したりできます。詳細については、「初期管理者アカウントについて」をご参照ください。
ユーザが自分のアカウントを作成できないようにする
ポータルへのアクセスのセキュリティを保護したら、ポータル Web サイトの [アカウントの作成] ボタンとサインアップ ページ(signup.html)を無効化して、ユーザが自分のアカウントを作成できないようにできます。このようにすると、すべてのメンバーはエンタープライズ認証情報を使用してポータルにサイン インするようになり、必要のないメンバー アカウントは作成できなくなります。
ユーザが自分のアカウントを作成できないようにするには、次の手順に従います。
- <Portal for ArcGIS installation directory>/customizations/10.2.2/webapps/arcgis#home/js/esri/arcgisonline を参照し、テキスト エディタで config.js を開きます。
- showSignUp プロパティの値を false に指定します。
- 編集したファイルを保存して閉じます。
- 編集内容を適用するには、ポータルを再起動します。
- ポータルを再起動したら、ブラウザのキャッシュ(cookie など)を削除して、ポータル Web サイトの変更を確認します。