セキュリティ設定の構成

デフォルトの管理者または適切な権限を持つメンバーとして、すべての接続で HTTPS を必須とするかどうか、およびポータルへの匿名アクセスを許可するかどうかを決定します。 また、共有と検索、パスワード ポリシー、サイン イン オプション、アクセスの通知、情報バナー、信頼できるサーバーなどのセキュリティ設定を構成することもできます。

ヒント:

セキュリティ、プライバシー、およびコンプライアンスに関する詳細については、Trust ArcGIS をご参照ください。

  1. デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を有効化したカスタム ロールのメンバーとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. 以下のセキュリティ設定のうちのいずれかを構成します。

アクセスおよび権限

必要に応じて、以下のポリシー設定のいずれかを変更します。

  • [HTTPS のみを使用したポータルへのアクセスを許可] - デフォルトでは、組織のデータおよび一時的な ID トークン (ユーザーのデータへのアクセスを許可する) がインターネット上での通信中に暗号化されることを保証するために、ポータルでは HTTPS のみの通信が適用されます。 HTTP 通信と HTTPS 通信の両方を許可する場合は、この切り替えボタンをオフにします。 この設定を変更すると、サイトのパフォーマンスに影響が出る可能性があります。
  • [ポータルへの匿名アクセスの許可] - このオプションを有効化すると、匿名ユーザーが組織の Web サイトにアクセスできるようになります。 このオプションを無効にすると、匿名アクセスが無効化され、匿名ユーザーがその Web サイトにアクセスできなくなります。 また、Bing Maps を使用したマップを表示することもできません (組織サイトで Bing Maps が構成されている場合)。

    匿名アクセスを有効にした場合は、サイト構成グループがパブリックに共有されていることを確認してください。パブリックで共有されていない場合、匿名ユーザーは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。

  • [メンバーが、自己紹介とそのプロフィールを参照できるユーザーを編集できます] - このオプションを有効化すると、メンバーがプロフィールの自己紹介を変更したり、プロフィールを表示できる人を指定したりできるようになります。

共有と検索

必要に応じて、以下の共有と検索の設定のいずれかを変更します。

  • [組織サイト外へのコンテンツ共有を許可します] - このオプションを有効化すると、メンバーが、プロフィールをすべての人 (パブリック) に公開したり、Web アプリなどのアイテムをパブリックに共有したり、Web サイト内にマップやグループを埋め込んだりすることができます。

  • [アイテムおよびグループ ページにソーシャル メディア リンクを表示します] - このオプションを有効化すると、Facebook および Twitter へのリンクをアイテム ページやグループ ページに含めることができます。

パスワード ポリシー

メンバーは、自分のパスワードを変更する際に、パスワードが組織のポリシーに従っている必要があります。 ポリシーに従っていない場合、ポリシーの詳細を示すメッセージが表示されます。 組織のパスワード ポリシーは、SAML ログインなどの組織固有のログインや、アプリケーション ID とアプリの秘密の質問を使用するアプリ認証情報には適用されません。

[パスワード ポリシーの管理] をクリックし、ビルトインアカウントを持つメンバーのパスワードの長さ、複雑度、および履歴の各要件を構成します。 パスワードの長さ、およびパスワードに大文字、小文字、数字、または特殊文字を 1 文字以上含める必要があるかを指定できます。 パスワードの有効期限が切れるまでの日数、およびメンバーが再利用できない過去のパスワードの数も構成できます。 パスワードは、大文字と小文字の区別があり、ユーザー名と同じにすることができません。 [ポータルのデフォルトの使用] をクリックすると、標準の ArcGIS Enterprise パスワード ポリシー (1 つ以上の文字と 1 つ以上の数字を含む 8 文字以上で、空白は使用不可) を使用するように組織サイトをリセットします。

注意:

脆弱なパスワードは受け付けられない場合があります。 「password1」などの、よく使用されるパスワード、または繰り返し文字や連続的文字を含むパスワード (たとえば、「aaaabbbb」や「1234abcd」) である場合、そのパスワードは脆弱であると見なされます。

注意:

組織で電子メール設定が構成されている場合、パスワード ポリシーが変更されると、管理者の問い合わせ先に自動的に通知用電子メールが送信されます。

ログイン

メンバーが ArcGIS ログイン、Security Assertion Markup Language (SAML) ログイン (これまでのエンタープライズ ログイン)、および OpenID Connect ログインのいずれかの方法を使用してサイン インできるように、組織のサイン イン ページをカスタマイズできます。

ログイン方法が組織のサイン イン ページに表示される順序をカスタマイズすることもできます。 ログイン方法の順序を変更するには、その方法のハンドル 順序変更 をクリックして新しい位置にドラッグします。 [プレビュー] をクリックして、サイン イン ページの表示を確認します。

[ArcGIS ログイン] 切り替えボタンをオンにして、ユーザーが ArcGIS ログインを使用して ArcGIS にサイン インできるようにします。

組織サイトの既存の SAML ID プロバイダーを使用してポータルにメンバーがサイン インする場合は、[新しい SAML ログイン] ボタンを使用して、SAML に準拠した ID プロバイダーをポータルに構成します。

組織サイトの既存の OpenID Connect ID プロバイダーを使用してメンバーがサイン インする場合は、[新しい OpenID Connect ログイン] ボタンを使用して OpenID Connect ログインを構成します。

Multifactor authentication

注意:

このオプションは、組み込みアカウントの多要素認証を制御します。 SAML または OpenID Connect のログインに基づくアカウントの多要素認証を構成するには、ID プロバイダーに連絡して、対応するオプションを構成してください。

組織で電子メール設定が構成されている場合のみ、組み込みアカウントの多要素認証を有効化できます。

組織のメンバーが ArcGIS にサイン インする際に多要素認証を設定できるようにするには、[メンバーが、個々のアカウントの多要素認証を設定するかどうかを選択できるようにします] 切り替えボタンを有効化します。 多要素認証では、メンバーのサイン イン時にユーザーの名前とパスワードに加えて確認コードを要求することで、セキュリティ レベルを強化します。

この設定を有効にすると、組織のメンバーは各自のプロフィール ページで多要素認証を有効化して、サポートされている認証アプリからの確認コードを、携帯電話またはタブレットで受信できます (現在は、Android および iOS 用の Google Authenticator と、Windows Phone 用の Authenticator がサポートされています)。 多要素認証が有効なメンバーには、[組織] ページの [メンバー] タブで、メンバー テーブルの多要素認証列 多要素認証 にチェック マークが表示されます。

組織で多要素認証を有効にしている場合に、必要に応じてメンバー アカウントの多要素認証を無効にする電子メール リクエストを送信するには、宛先に少なくとも 2 人の管理者を指定する必要があります。 ArcGIS Enterprise は、[お使いのコードによるサイン インで問題が発生しましたか?] リンク (メンバーに認証コードの入力を求めるページに存在) で多要素認証に関するヘルプを要求したメンバーに代わって電子メールを送信します。 少なくとも 1 人が多要素認証の問題のあるメンバーに対応できるように、2 人以上の管理者が必要となります。

多要素認証は、OAuth 2.0 をサポートしている Esri アプリで機能します。 これには、ポータル Web サイト、ArcGIS Pro、ArcGIS アプリ、My Esri などがあります。

OAuth 2.0 をサポートしていないアプリにアクセスする場合、多要素認証を無効化する必要があります。 これには、ルート検索や標高解析を実行するジオコーディング サービスとジオプロセシング サービスが含まれます。 認証情報を Esri プレミアム コンテンツと一緒に格納する場合にも、多要素認証を無効にしておく必要があります。

アクセス時の通知

利用条件の注意事項を構成し、サイトにアクセスするユーザーに表示することができます。

組織のメンバー、または組織サイトにアクセスするすべてのユーザー、あるいはその両方のために、アクセス時の通知を構成することができます。 組織のメンバーのためのアクセス時の通知を設定した場合、メンバーがサイン インした後に注意事項が表示されます。 すべてのユーザーのためのアクセス時の通知を設定した場合、ユーザーがサイトにアクセスするときに、注意事項が表示されます。 両方のアクセス時の通知を設定した場合、組織のメンバーには両方の注意事項が表示されます。

組織のメンバーまたはすべてのユーザーのためのアクセス時の通知を構成するには、適切なセクションで [アクセス時の通知の設定] をクリックし、切り替えボタンをオンにしてアクセス時の通知を表示し、注意事項のタイトルとテキストを入力します。 ユーザーがサイトに進む前にアクセス時の通知に承認するようにする場合は [承認および拒否] オプションを選択し、ユーザーが [OK] をクリックするだけで続行できるようにする場合は、[OK のみ] を選択します。 終了したら、[保存] をクリックします。

組織のメンバーまたはすべてのユーザーのためのアクセスの通知を編集するには、適切なセクションの [アクセス時の通知の編集] をクリックし、タイトル、テキスト、またはアクション ボタンのオプションを変更します。 アクセス時の通知の表示が不要になった場合は、切り替えボタンを使用してアクセス時の通知を無効にします。 アクセス時の通知を無効にした後に、アクセス時の通知を再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

情報バナー

情報バナーを使用して、組織サイトにアクセスするすべてのユーザーに対して、サイトの状態およびコンテンツに関して警告することができます。 たとえば、サイトの上部および下部に表示されるカスタム メッセージを作成することによって、メンテナンス スケジュール、分類情報通知、および読み取り専用モードに関して、ユーザーに知らせます。 このバナーは、ホーム、ギャラリー、Map Viewer、Scene Viewer、ノートブック、グループ、コンテンツ、組織の各ページ、およびアプリで有効化している場合は ArcGIS Enterprise Sites で作成されたサイト上に表示されます。

組織で情報バナーを有効化するには、[情報バナーの設定] をクリックして、[情報バナーの表示] をオンにします。 テキストを [バナー テキスト] フィールドに追加し、背景色およびフォントの色を選択します。 選択したテキストおよび背景色のコントラスト比が表示されます。 コントラスト比は、WCAG 2.1 アクセシビリティ基準に基づく見やすさの尺度です。これらの基準に従うために、4.5 のコントラスト比をお勧めします。

[プレビュー] ウィンドウで、情報バナーをプレビューできます。 [保存] をクリックして、バナーを組織サイトに追加します。

情報バナーを編集するには、[情報バナーの編集] をクリックして、バナーのテキストやスタイル設定を変更します。 情報バナーの表示が不要になった場合は、切り替えボタンを使用して情報バナーを無効にします。 情報バナーを無効にした後に、情報バナーを再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

信頼できるサーバー

[信頼できるサーバー] で CORS (Cross-Origin Resource Sharing) リクエストを作成して Web 層認証で保護されたサービスにアクセスする際に、組織サイトによって認証情報を送信してもらう、信頼できるサーバーのリストを構成します。 これは主に、ArcGIS Server を実行しているスタンドアロンの (フェデレーションが解除された) サーバーから保護されたフィーチャ サービスを編集したり、保護された OGC サービスを表示したりする場合に適用します。 トークンベースのセキュリティで保護された ArcGIS Server ホスティング サービスは、このリストに追加する必要はありません。 信頼できるサーバーのリストに追加されたサーバーは、CORS をサポートする必要があります。 CORS をサポートしていないサーバーでホストされているレイヤーは、期待どおりに機能しない可能性があります。 ArcGIS Server は、10.1 以降のバージョンで、CORS をデフォルトでサポートしています。 ArcGIS 以外のサーバーで CORS を構成するには、Web サーバー向けのベンダー ドキュメントをご参照ください。

ホスト名は、個々に入力する必要があります。 ワイルドカードは使用できません。 ホスト名を入力する際は、先頭にプロトコルを付けても付けなくてもかまいません。 たとえば、ホスト名 secure.esri.com は、secure.esri.com または https://secure.esri.com として入力できます。

注意:

Web 層認証で保護されたフィーチャ サービスを編集するには、CORS 対応の Web ブラウザーを使用する必要があります。 最新バージョンの Mozilla FirefoxGoogle ChromeSafari は CORS に対応しています。 お使いのブラウザーが CORS に対応しているかテストするには、http://caniuse.com/cors を開きます。

オリジンの許可

ArcGIS REST API は、デフォルトで、任意のドメインの Web アプリケーションから送信される CORS (Cross-Origin Resource Sharing) リクエストを受け入れています。 組織で、CORS を介して ArcGIS REST API にアクセスできる Web アプリケーション ドメインを制限するには、そのドメインを明示的に指定する必要があります。 たとえば、Web アプリケーションへの CORS アクセスを acme.com のみに制限する場合は、[追加] をクリックして、テキスト ボックスに「https://acme.com」と入力し、[ドメインの追加] をクリックします。 最大で 100 の信頼されたドメインを組織サイトに指定することができます。 arcgis.com ドメインで実行されるアプリケーションは、ArcGIS REST API に常にアクセスが許可されているため、arcgis.com を信頼されたドメインとして指定する必要はありません。

ポータルへのアクセスを許可

セキュリティで保護されたコンテンツを共有したいポータルのリスト (例: https://otherportal.domain.com/arcgis) を構成します。 この構成により、組織のメンバーは組織固有のログイン (SAML ログインを含む) を利用してセキュリティで保護されたコンテンツにアクセスし、ポータルからコンテンツを閲覧できるようになります。 組織サイトが連携しているポータルは自動的にリストに含まれるため、手動で追加する必要はありません。 これは、ArcGIS Enterprise バージョン 10.5 以降のポータルにのみ適用されます。 セキュリティ保護されたコンテンツを ArcGIS Online の組織サイトに共有する場合、この設定は不要です。

ポータルの URL は個別に入力する必要があります。入力する際はプロトコルも含めてください。 ワイルドカードは使用できません。 追加するポータルが HTTP アクセスと HTTPS アクセスの両方を許可している場合、そのポータルの 2 つの URL を追加する必要があります (例: http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 リストに追加するすべてのポータルは最初に整合チェックされるため、ブラウザーからアクセスできる必要があります。

アプリ

組織のメンバーがアクセスできる外部アプリを指定できるほか、必要であれば、組織メンバーがアプリ ランチャーから承認済み Web アプリを使用できるよう選択することもできます。

承認済みアプリ

すべての Esri アプリおよびライセンス アプリは、メンバー アクセスが自動的に承認されます。[権限のリクエスト] プロンプトが表示されることなく、組織のメンバーに他のアプリ タイプのアクセス権を付与するには、組織で承認されたアプリのリストを指定する必要があります。 承認済みアプリには、組織内外でホストされている Web アプリ、モバイル アプリ、ネイティブ アプリが含まれます。 外部アプリへのアクセス権については、承認済みアプリ リストに追加されたアプリにのみサイン インを制限することも可能です。

注意:

承認済み Web アプリも、アプリ ランチャーから組織メンバーが使用できるようにすることができます。 ライセンス付きアプリは、該当するライセンスを持つメンバーのアプリ ランチャーに自動的に表示されます。 詳細については、「アプリ ランチャーでのアプリの管理」をご参照ください。

組織メンバーがアプリにアクセスできるよう承認するには、次の手順を表示します。

  1. デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を持つカスタム ロールのメンバーとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの横にある [セキュリティ] をクリックし、[アプリ] をクリックして、ページの [アプリ] セクションに移動します。
  4. [承認済みアプリ][承認済みアプリの追加] をクリックします。
  5. 次のいずれかの方法で、アプリを検索します。
    • リスト内のアプリを参照 - デフォルトでは、リストには組織に登録されているアプリのみが含まれます。
    • 名前で検索
    • アイテム URL で検索 - アイテム URL は、アプリのアイテム ページ[概要] タブ ([URL] セクション) で確認できます。
    • アプリ ID で検索 - アプリ アイテムを所有しているか、権限がある場合は、アプリのアイテム ページの [設定] タブ ([アプリケーション設定] > [登録情報]) でアプリ ID を確認できます。 また、プライベート ブラウザー ウィンドウでアプリを開き、アプリのサインイン リンクをクリックして、ブラウザーのアドレス バーに表示される URL の cliend_id 値でアプリ ID を確認する方法もあります。
  6. 承認するアプリを選択します。
  7. Web アプリを選択し、必要に応じて [アプリ ランチャーに表示] 切り替えボタンをオフにすると、アプリ ランチャーで Web アプリを非表示にできます。

    Web アプリをアプリ ランチャーで表示するには、この切り替えボタンをオンにしたまま「アプリ ランチャーでのアプリの管理」の手順を実行します。

  8. [保存] をクリックして、アプリを承認済みアプリ リストに追加します。

電子メール設定

組織で電子メール設定を構成して、メンバーへの電子メール通知の送信に使用できます。 次の電子メール通知を構成できます。

  • パスワード ポリシーの通知 - パスワード ポリシーが変更されると、管理者の問い合わせ先に自動的に通知用電子メールが送信されます。 管理者の問い合わせ先が設定されていない場合、組織で最も古い管理者アカウントまたは初期管理者アカウントに通知用電子メールが送信されます。
  • パスワードのリセットの通知 - 管理者は [メンバー] タブでメンバーのパスワードをリセットできます。リセットされると、一時パスワードと一緒に電子メールがメンバーに送信されます。 メンバーは、パスワードを忘れたことを組織のサイン イン ページで示すときにもパスワードのリセット リンクをリクエストできます。 電子メールは、メンバーのプロフィールに関連付けられた電子メール アドレスに送信されます。
  • 多要素認証の通知 - 多要素認証を有効化するには、組織で電子メール設定が構成されている必要があります。 多要素認証が構成されると、指定された管理者は、必要に応じて特定のメンバーの多要素認証を無効化するように通知する電子メールを受け取ります。
  • アイテムのコメントの通知 - 組織でコメントが有効化されている場合、アイテムの所有者は自分のアイテムに公開された新しいコメントについての電子メール通知を受け取ります。
  • プロフィールと設定の通知 - メンバーには、自分のプロフィールと設定 (パスワード、セキュリティの質問、プロフィール表示設定など) に対する変更が通知されます。

  1. 組織の電子メール通知を構成するには、[電子メール設定][構成] をクリックします。

    電子メール設定がすでに構成されている場合は、[電子メール設定の管理] をクリックして、[電子メール設定の構成] ウィンドウを開きます。

  2. SMTP 設定ページで、次の手順を実行します。
    1. SMTP サーバー アドレスを入力します。

      これは、SMTP サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) (例: smtp.domain.com) です。

    2. SMTP ポートを入力します。

      これは、SMTP サーバーの通信に使用されるポートです。 最も一般的な通信ポートには 25、465、587 があります。 デフォルト値は 25 です。

    3. [暗号化方法] で、組織から送信される電子メール メッセージの暗号化方法を選択します。

      [PLAIN TEXT][STARTTLS]、または [SSL] を選択できます。

    4. 指定した SMTP サーバーとの接続に認証が必要な場合は、[SMTP 認証モードは必須です] をオンにします。

      SMTP 認証が不要な場合は、このオプションをオフのままにしておくことができます。

    5. 上記で [SMTP 認証モードは必須です] が有効化された場合は、SMTP サーバーへのアクセスが認証されるユーザーのユーザー名とパスワードを入力します。
    6. 組織の電子メールの送信元となる電子メール アドレスを入力します。

      これは、組織の管理者の問い合わせ先の下にリストされているメンバーに関連付けられている電子メール アドレスにすることをお勧めします。

    7. 送信元の電子メール アドレスとともに表示される電子メール アドレス ラベルを入力します。

      この情報は、すべての電子メール通知で送信元行の送信者として表示されます。 送信元の電子メール アドレスに関連付けられた名前を使用できます。または、送信元の電子メール アドレスにメンバーが直接返信しないようにする場合は、DO NOT REPLY などのラベルを使用できます。

  3. [次へ] をクリックします。

    テスト電子メールを送信して、電子メール設定を正しく構成していることを確認することをお勧めします。

  4. テスト電子メールが正常に配信されたことの確認に使用できる電子メール アドレスを入力して、[電子メールの送信] をクリックします。

    電子メールが正常に送信されたかどうかを示す通知が表示されます。 ポータルのログで詳細情報を確認できます。

  5. [完了] をクリックして、電子メール設定を構成します。

組織からの電子メール通知を無効化する場合は、[電子メール設定の無効化] をクリックします。