LDAP および PKI を使用したアクセスのセキュリティ保護

LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、PKI (Public Key Infrastructure) を使用して、ArcGIS Enterprise 組織サイトへのアクセスのセキュリティを確保することができます。

LDAP と PKI を使用するには、Java アプリケーション サーバーにデプロイされた ArcGIS Web Adaptor (Java Platform) を使用して、PKI ベースのクライアント証明書認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用して PKI ベースのクライアント証明書認証を LDAP で実行することはできません。

LDAP を使用した組織サイトの構成

デフォルトでは、ArcGIS Enterprise 組織サイトはすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。

すべての通信に HTTPS を使用するように組織サイトを構成します。

HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。

  1. 管理者として組織の Web サイトにサイン インします。

    URL の形式は https://organization.example.com/<context>/home です。

  2. [組織][設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
  3. [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。

LDAP のユーザーとグループを使用したアイデンティティ ストアの構成

次に、LDAP のユーザーとグループを使用するように、組織サイトのアイデンティティ ストアを更新します。

  1. 組織の管理者として ArcGIS Enterprise Manager にサイン インします。 URL の形式は https://organization.example.com/<context>/manager です。
  2. [セキュリティ][アイデンティティ ストア] の順にクリックします。
  3. [ユーザー ストア] および [グループ ストア] の下のボタンを使用すると、組織でのユーザーとグループの管理方法を選択できます。
  4. [ユーザー ストア][LDAP] をクリックします。 LDAP ユーザーの場合、組み込みグループ ストアまたは LDAP グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションの入力ボックスは、選択したグループ ストアのタイプに応じて異なります。
  5. [ユーザー ストアとグループ ストアの構成] セクションで、各設定に適切な情報を指定します。 各テキスト ボックスについて、以下で説明します。

    • Type- LDAP または LDAPS。
    • Hostname (Required)- LDAP ディレクトリが実行されているホスト コンピューターの名前。
    • Port (Required)- LDAP ディレクトリが着信接続をリッスンしているホスト コンピューター上のポート番号。
      注意:

      セキュリティで保護された接続では、通常、636 を使用します。

    • User Base DN (Required)- ユーザー情報が保持されているノードのディレクトリ サーバー上の識別名 (DN) (例: ou=users,dc=example,dc=com)。
    • Group base DN (Required)- グループ情報が保持されているノードのディレクトリ サーバー上の識別名 (DN) (例: ou=groups,dc=example,dc=com)。
    • Username (Required)- ユーザー情報を含んでいるノードにアクセスできる LDAP ユーザー アカウントの識別名 (DN)。 このアカウントを使用する場合、管理アクセスは必要ありません。
    • Password (Required)- ディレクトリ サーバーへのアクセスに使用される LDAP ユーザー アカウントのパスワード。
    • LDAP URL for users- LDAP ディレクトリへの接続に使用される、ユーザー向けの LDAP URL。
      注意:
      これは自動的に生成されますが、必要に応じて変更することができます。
    • LDAP URL for groups- LDAP ディレクトリへの接続に使用される、グループ向けの LDAP URL。
      注意:
      これは自動的に生成されますが、必要に応じて変更することができます。
    • Are usernames case sensitive?- はい/いいえ。
    • User first name attribute (Required)- ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
    • User last name attribute (Required)- ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
    • User email attribute (Required)- ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
    • Username attribute (Required)- ユーザーのユーザー名のディレクトリ サーバー属性。
    • User search attribute- Java Web アダプターで Web 層認証を使用するように Enterprise を構成する場合にのみ必須となるオプション フィールド。 場合によっては、Java Web アダプターが、上記で指定された予期されるユーザー名以外の形式で認証ユーザー名を返すことがあります。 この例としては、クライアント証明書認証を使用するように Java Web アダプターが構成されているときに、ユーザー名だけではなくユーザーの完全識別名が Web サーバーから返される場合があります。 この例では、ユーザーの検索属性を distinguishedName に設定する必要があります。
    • Member attribute (Required)- 特定のグループのメンバーであるユーザーのリスト用のディレクトリ サーバー属性。
    • Group name attribute (Required)- グループ名のディレクトリ サーバー属性。

  6. アイデンティティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。

組織固有のアカウントの追加

デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法を使用して、アカウントを組織に追加します。

  • 個別または一括 (1 つずつ、もしくは .csv ファイルまたは既存の Active Directory グループから一括で追加可能)
  • 自動

少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。

PKI 認証を使用するための ArcGIS Web Adaptor の構成

ArcGIS Web Adaptor (Java Platform) を組織サイトにインストールして構成したら、Java アプリケーション サーバー上に LDAP のレルムを構成し、ArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。 手順については、システム管理者に問い合わせるか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。

注意:

クライアント証明書認証 (PKI) が機能するには、Java アプリケーション サーバーで TLS 1.3 が無効になっている必要があります。

LDAP と PKI を使用した組織へのアクセスの確認

LDAP と PKI を使用してポータルにアクセスできることを確認するには、次の手順を実行します。

  1. ArcGIS Enterprise ポータルを開きます。
  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが組み込みカウントを作成する機能を無効にします。