LDAP (Lightweight Directory Access Protocol) または Microsoft Windows Active Directory を使用して、組織へのアクセスのセキュリティを確保できます。 LDAP を使用すると、組織の LDAP サーバーで認証情報が管理されます。 Windows Active Directory を使用する場合、そのディレクトリを通じて認証情報が管理されます。
ポータルのアイデンティティ ストアの更新
LDAP または Windows Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
LDAP のユーザーとグループを使用したアイデンティティ ストアの構成
LDAP のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 管理者として ArcGIS Enterprise Manager にサイン インします。
URL の形式は https://organization.example.com/<context>/manager です。
- [セキュリティ] > [アイデンティティ ストア] の順にクリックします。
[ユーザー ストア] および [グループ ストア] 設定を使用すると、組織でのユーザーとグループの管理方法を指定できます。
- [ユーザー ストア] で [LDAP] をクリックします。
LDAP ユーザーの場合、組み込みグループ ストアまたは LDAP グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションの設定は、選択したグループ ストアのタイプに応じて異なります。
- [ユーザー ストアとグループ ストアの構成] セクションで、各設定に適切な情報を指定します。
- タイプ - LDAP または LDAPS
- ホスト名 (必須) - LDAP ディレクトリが実行されているホスト コンピューターの名前。
- ポート (必須) - LDAP ディレクトリが着信接続をリッスンしているホスト コンピューター上のポート番号。
注意:
セキュリティで保護された接続では、通常、636 を使用します。
- ユーザー ベース DN (必須) - ユーザー情報が維持されているノードのディレクトリ サーバー上の識別名 (DN) (例: ou=users,dc=example,dc=com)。
- グループ ベース DN (必須) - グループ情報が維持されているノードのディレクトリ サーバー上の DN (例: ou=groups,dc=example,dc=com)。
- ユーザー名 (必須) - ユーザー情報を含んでいるノードにアクセスできる LDAP ユーザー アカウントの DN。 このアカウントを使用する場合、管理アクセスは必要ありません。
- パスワード (必須) - ディレクトリ サーバーへのアクセスに使用される LDAP ユーザー アカウントのパスワード。
- ユーザー向けの LDAP URL - LDAP ディレクトリへの接続に使用される、ユーザー向けの LDAP URL。
注意:
これは自動的に生成されますが、変更することができます。 - グループ向けの LDAP URL - LDAP ディレクトリへの接続に使用される、グループ向けの LDAP URL。
注意:
これは自動的に生成されますが、変更することができます。 - ユーザー名では大文字/小文字が区別されますか - [はい] または [いいえ]。
- ユーザーの氏名 (名) 属性 (必須) - ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
- ユーザーの氏名 (姓) 属性 (必須) - ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
- ユーザーの電子メール属性 (必須) - ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
- ユーザー名属性 (必須) - ユーザーのユーザー名用のディレクトリ サーバー属性。
- メンバー属性 (必須) - 特定のグループのメンバーであるユーザーのリスト用のディレクトリ サーバー属性。
- グループ名属性 (必須) - グループ名用のディレクトリ サーバー属性。
- アイデンティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。
Windows Active Directory のユーザーとグループを使用したアイデンティティ ストアの構成
Windows Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。
- 管理者として ArcGIS Enterprise Manager にサイン インします。
URL の形式は https://organization.example.com/<context>/manager です。
- [セキュリティ] > [アイデンティティ ストア] の順にクリックします。
- [ユーザー ストア] で [Windows] をクリックします。
Windows ユーザーの場合、組み込みグループ ストアまたは Windows グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションの設定は、選択したグループ ストアのタイプに応じて異なります。
- [ユーザー ストアとグループ ストアの構成] セクションで、各設定に適切な情報を指定します。
- ユーザー名 (必須) - ドメインのメンバーである Windows ユーザー アカウント。 このアカウントを使用する場合、管理アクセスは必要ありません。
- パスワード (必須) - Windows ユーザー アカウントのパスワード。
- ユーザー名では大文字/小文字が区別されますか - [はい] または [いいえ]。
- ユーザーの氏名 (名) 属性 (必須) - ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
- ユーザーの氏名 (姓) 属性 (必須) - ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
- ユーザーの電子メール属性 (必須) - ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
- ドメイン コントローラー (必須) - ArcGIS Enterprise がドメイン ユーザーの取得とクエリのために通信するドメイン コントローラーのホスト名。
- ドメイン コントローラーのマッピング (オプション) - ArcGIS Enterprise が、単一のフォレストで複数のドメインを使用する環境にある場合、各ドメインのドメイン コントローラーをこの設定で指定する必要があります。 最初の値はドメイン名、2 番目の値は対応するドメイン コントローラー ホスト名です。 ドメインごとに複数のドメイン コントローラー ホスト名を指定するには、[コンピューター名の追加] をクリックします。
- アイデンティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。
追加のアイデンティティ ストア パラメーター
追加のアイデンティティ ストア構成パラメーターを ArcGIS Enterprise Administrator Directory で変更できます。 これらのパラメーターには、エンタープライズ ユーザーがポータルにサイン インしたときにグループを自動的に更新するかどうかや、メンバーシップの更新間隔、複数のユーザー名形式をチェックするかどうかが含まれます。 詳細については、「構成 (セキュリティ) の更新」をご参照ください。
サイン イン ページ
ユーザーが ArcGIS Enterprise のサイン イン ページにアクセスすると、エンタープライズ認証情報または組み込み認証情報を使用してサイン インできます。 組織のユーザーは、ArcGIS Enterprise にサイン インするたびにアカウント認証情報を指定する必要があります。自動およびシングル サイン インは利用できません。
認証情報を使用したサイン インの確認
- ArcGIS Enterprise ポータルを開きます。
URL の形式は https://organization.example.com/<context>/home です。
- エンタープライズ アカウント認証情報を使用してサイン インします。
ポータル層認証を使用する場合、エンタープライズ内のメンバーは、次の構文を使用してサイン インします。
- ポータルで Windows Active Directory を使用している場合、domain\username または username@domain という構文を使用できます。 メンバーのサイン イン方法に関係なく、ユーザー名はポータル Web サイトで常に username@domain と表示されます。
- ポータルで LDAP を使用している場合、構文は管理者が定義できます。 ポータル Web サイトでも、アカウントがこの形式で表示されます。
ポータルにエンタープライズ アカウントを追加する
エンタープライズ アカウントを組織に追加するには、次のいずれかの方法を使用します。
- ポータル内 (1 つずつ、もしくは .csv ファイルまたは既存のエンタープライズ グループから一括で追加可能)
- 組織固有のアカウントの自動登録
- コマンド ライン ユーティリティ
少なくとも 1 つのエンタープライズ アカウントを管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりの管理者アカウントをお持ちの場合は、初期管理者アカウントに [ユーザー] ロールを割り当てたり、このアカウントを削除したりすることができます。
ユーザーは、アカウントが追加された時点で、ArcGIS Enterprise にサイン インしてコンテンツにアクセスできるようになります。