LDAP および Web 層認証の使用

LDAP (Lightweight Directory Access Protocol) を使用して、組織サイトへのアクセスのセキュリティを確保できます。 LDAP を使用すると、組織の LDAP サーバーでログインが管理されます。

LDAP を使用するには、Java アプリケーション サーバーに配置された ArcGIS Web Adaptor (Java Platform) を使用して、ポータル層認証または Web 層認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用して Web 層認証を LDAP で実行することはできません。

LDAP を使用した組織サイトの構成

デフォルトでは、ArcGIS Enterprise はすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。

すべての通信に HTTPS を使用するように組織サイトを構成します。

HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。

  1. 管理者として組織の Web サイトにサイン インします。

    URL の形式は https://organization.example.com/<context>/home です。

  2. [組織][設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
  3. [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。

LDAP のユーザーとグループを使用したアイデンティティ ストアの構成

次に、LDAP のユーザーとグループを使用するように、組織サイトのアイデンティティ ストアを更新します。

  1. ArcGIS 組織の管理者として ArcGIS Enterprise Manager にサイン インします。 URL の形式は https://organization.example.com/<context>/manager です。
  2. [セキュリティ][アイデンティティ ストア] の順にクリックします。
  3. [ユーザー ストア] および [グループ ストア] の下のオプションを使用すると、組織でのユーザーとグループの管理方法を選択できます。
  4. [ユーザー ストア][LDAP] をクリックします。 LDAP ユーザーの場合、組み込みグループ ストアまたは LDAP グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションの入力ボックスは、選択したグループ ストアのタイプに応じて異なります。
  5. [ユーザー ストアとグループ ストアの構成] で、各設定に適切な情報を指定します。 各テキスト ボックスについて、以下で説明します。

    • Type- LDAP または LDAPS。
    • Hostname (Required)- LDAP ディレクトリが実行されているホスト コンピューターの名前。
    • Port (Required)- LDAP ディレクトリが着信接続をリッスンしているホスト コンピューター上のポート番号。
      注意:

      セキュリティで保護された接続では、通常、636 を使用します。

    • User Base DN (Required)- ユーザー情報が保持されているノードのディレクトリ サーバー上の識別名 (DN) (例: ou=users,dc=example,dc=com)。
    • Group base DN (Required)- グループ情報が保持されているノードのディレクトリ サーバー上の識別名 (DN) (例: ou=groups,dc=example,dc=com)。
    • Username (Required)- ユーザー情報を含んでいるノードにアクセスできる LDAP ユーザー アカウントの識別名 (DN)。 このアカウントを使用する場合、管理アクセスは必要ありません。
    • Password (Required)- ディレクトリ サーバーへのアクセスに使用される LDAP ユーザー アカウントのパスワード。
    • LDAP URL for users- LDAP ディレクトリへの接続に使用される、ユーザー向けの LDAP URL。
      注意:
      これは自動的に生成されますが、必要に応じて変更することができます。
    • LDAP URL for groups- LDAP ディレクトリへの接続に使用される、グループ向けの LDAP URL。
      注意:
      これは自動的に生成されますが、必要に応じて変更することができます。
    • Are usernames case sensitive?- はい/いいえ。
    • User first name attribute (Required)- ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
    • User last name attribute (Required)- ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
    • User email attribute (Required)- ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
    • Username attribute (Required)- ユーザーのユーザー名のディレクトリ サーバー属性。
    • User search attribute- Java Web アダプターで Web 層認証を使用するように Enterprise を構成する場合にのみ必須となるオプション フィールド。 場合によっては、Java Web アダプターが、上記で指定された予期されるユーザー名以外の形式で認証ユーザー名を返すことがあります。 この例としては、クライアント証明書認証を使用するように Java Web アダプターが構成されているときに、ユーザー名だけではなくユーザーの完全識別名が Web サーバーから返される場合があります。 この例では、ユーザーの検索属性を distinguishedName に設定する必要があります。
    • Member attribute (Required)- 特定のグループのメンバーであるユーザーのリスト用のディレクトリ サーバー属性。
    • Group name attribute (Required)- グループ名のディレクトリ サーバー属性。

  6. アイデンティティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。

組織固有のアカウントの追加

デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法を使用して、アカウントを組織に追加します。

  • 個別または一括 (1 つずつ、もしくは *.csv ファイルまたは既存の Active Directory グループから一括で追加可能)
  • 自動

少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。

Web 層認証を使用するための ArcGIS Web Adaptor の構成

該当のインストール ガイドに従って組織サイトに ArcGIS Web Adaptor (Java Platform) をインストールして構成したら、主に以下の 2 つの作業を行って、Java アプリケーション サーバーを構成する必要があります。

  1. LDAP アイデンティティ ストアを統合する。 これにより、Java アプリケーション サーバーがその LDAP ストアで管理されるユーザーを認証できるようになります。
  2. 組織サイトの ArcGIS Web Adaptor コンテキストについて、フォームまたはダイアログを使用した認証など、ブラウザーを使用した認証機能を有効化する。

手順については、システム管理者または Esri Professional Services にお問い合わせいただくか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。

LDAP を使用してポータルにアクセスできることを確認する

  1. ポータル Web サイトを開きます。

    URL の形式は https://organization.example.com/<context>/home です。

  2. LDAP アカウントの認証情報の入力を求められることを確認します。 この動作を判断できない場合は、コンピューターへのサイン インに使用した LDAP アカウントがポータルに追加されていることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが新しい組み込みカウントを作成する機能を無効にします