Windows Active Directory および PKI を使用してアクセスのセキュリティを保護する

Windows Active Directory でユーザー認証を行う場合、PKI (Public Key Infrastructure) を使用して、組織サイトへのアクセスのセキュリティを確保することができます。

統合 Windows 認証および PKI を使用するには、MicrosoftIIS Web サーバーに配置された ArcGIS Web Adaptor (IIS) を使用する必要があります。 ArcGIS Web Adaptor (Java Platform) を統合 Windows 認証の実行に使用することはできません。 まだ行っていない場合は、ArcGIS Web Adaptor (IIS) を組織サイトにインストールして構成します。

ポータルで Windows Active Directory を構成する

最初に、すべての通信に SSL を使用するようにポータルを構成します。 次に、Windows Active Directory のユーザーとグループを使用するように、ポータルのアイデンティティ ストアを更新します。

すべての通信に HTTPS を使用するように組織サイトを構成します。

HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。

  1. 管理者として組織の Web サイトにサイン インします。

    URL の形式は https://organization.example.com/<context>/home です。

  2. [組織][設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
  3. [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。

Active Directory のユーザーとグループを使用したアイデンティティ ストアの構成

次に、Windows Active Directory のユーザーとグループを使用するように、組織のアイデンティティ ストアを更新します。

  1. 組織の管理者として ArcGIS Enterprise Manager にサイン インします。

    URL の形式は https://site.example.com/<site context>/manager です。

  2. [セキュリティ] > [アイデンティティ ストア] の順にクリックします。

    [ユーザー ストア] および [グループ ストア] の下のオプション ボタンを使用すると、組織でのユーザーとグループの管理方法を選択できます。

  3. [ユーザー ストア][Windows] をクリックします。

    Windows ユーザーの場合、組み込みグループ ストアまたは Windows グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションのテキスト ボックスは、選択したグループ ストアのタイプに応じて異なります。

  4. [ユーザー ストアとグループ ストアの構成] で、各テキスト ボックスに適切な情報を指定します。
    各テキスト ボックスについて、以下で説明します。

    • ユーザー名 (必須)
    • パスワード (必須)
    • ユーザー名では大文字/小文字が区別されますか - はいまたはいいえ。
    • ユーザーの氏名 (名) 属性 (必須) - ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
    • ユーザーの氏名 (姓) 属性 (必須) - ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
    • ユーザーの電子メール属性 (必須) - ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
    • ドメイン コントローラー (必須)
    • ドメイン コントローラーのマッピング

  5. アイデンティティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。

組織固有のアカウントの追加

デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。

次のいずれかの方法を使用して、アカウントを組織に追加します。

  • 個別または一括 (1 つずつ、もしくは .csv ファイルまたは既存の Active Directory グループから一括で追加可能)
  • 自動

少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。

アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。

Active Directory クライアント証明書マッピング認証のインストールと有効化

Active Directory クライアント証明書マッピングは、IIS のデフォルトのインストールでは使用できません。 フィーチャをインストールして有効にする必要があります。

Windows Server 2016 でのインストール

Windows Server 2016 でクライアント証明書マッピング認証をインストールするには、次の手順を実行します。

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー] の階層ウィンドウで、[役割] を展開し、[Web サーバー (IIS)] をクリックします。
  3. [Web サーバー] および [セキュリティ] の役割を展開します。
  4. [セキュリティ] 役割セクションで、[クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  5. [機能の選択] タブで [次へ] をクリックして、[インストール] をクリックします。

Windows Server 2019 または 2022 を使用したインストール

Windows Server 2019 または 2022 でクライアント証明書マッピング認証をインストールするには、次の手順を実行します。

  1. [管理ツール] を開いて、[サーバー マネージャー] をクリックします。
  2. [サーバー マネージャー ダッシュボード] で、[役割と機能の追加] をクリックします。
  3. デフォルト設定をそのまま使用し、[開始する前に][インストールの種類]、および [サーバーの選択] ページで [次へ] をクリックします。
  4. [サーバーの役割] ページで、[Web サーバー (IIS)] を有効にして、[次へ] をクリックします。
  5. [機能] ページで [次へ] をクリックします。
  6. [Web サーバーの役割 (IIS)] ページで、[次へ] をクリックします。
  7. [役割サービス] ページで、[セキュリティ] セクションを展開します。
  8. [セキュリティ] セクションで、[IIS クライアント証明書マッピング認証] を選択し、[次へ] をクリックします。
  9. [確認] ページで [インストール] をクリックします。

Active Directory クライアント証明書マッピング認証の有効化

Active Directory クライアント証明書マッピングをインストールしたら、次の手順を実行して機能を有効にします。

  1. Internet Information Server (IIS) マネージャーを起動します。
  2. [接続] ノードで、Web サーバーの名前をクリックします。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. [Active Directory クライアント証明書認証] が表示されていることを確認します。 この機能が表示されないか使用不可になっている場合、Web サーバーを再起動して、Active Directory クライアント証明書認証機能のインストールを完了する必要があります。
  5. [Active Directory クライアント証明書認証] をダブルクリックして、[アクション] ウィンドウで [有効化] を選択します。

Active Directory クライアント証明書認証を使用するには SSL を有効化する必要があることを示すメッセージが表示されます。 これについては、次のセクションで対処します。

SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成する

SSL 証明書とクライアント証明書の提示を求めるように ArcGIS Web Adaptor を構成するには、次の手順を実行します。

  1. インターネット インフォメーション サービス (IIS) マネージャーを起動します。
  2. [接続] ノードを開き、ArcGIS Web Adaptor のサイトを選択します。
  3. [機能ビュー] ウィンドウで [認証] をダブルクリックします。
  4. すべての形式の認証を無効化します。
  5. [接続] リストから ArcGIS Web Adaptor をもう一度選択します。
  6. [SSL 設定] をダブルクリックします。
  7. [SSL が必要] オプションを有効化し、[クライアント証明書] の下の [必要] オプションを選択します。
  8. [適用] をクリックして変更内容を保存します。
注意:

クライアント証明書認証 (PKI) が Microsoft Windows Server 2022 で機能するには、HTTPS サイトのバインドで TLS 1.3 が無効になっている必要があります。

Windows Active Directory と PKI を使用してポータルにアクセスできることを確認する

Windows Active Directory と PKI を使用してポータルにアクセスできることを確認するには、次の手順を実行します。

  1. ポータルを開きます。

    URL の形式は https://organization.example.com/<context>/home です。

  2. セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。

ユーザーが独自の組み込みアカウントを作成できないようにする

ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが組み込みカウントを作成する機能を無効にします。