LDAP (Lightweight Directory Access Protocol) でユーザー認証を行う場合は、公開鍵基盤 (PKI) ベースのクライアント証明書認証を使用して、ArcGIS Enterprise 組織へのアクセスのセキュリティを確保することができます。
LDAP と PKI を使用するには、Java アプリケーション サーバーにデプロイされた ArcGIS Web Adaptor (Java Platform) を使用して、クライアント証明書認証を設定する必要があります。 ArcGIS Web Adaptor (IIS) を使用してクライアント証明書認証を LDAP で実行することはできません。
LDAP を使用した組織サイトの構成
デフォルトでは、ArcGIS Enterprise 組織サイトはすべての通信に HTTPS を適用します。 以前にこのオプションを HTTP と HTTPS の両方の通信を許可するように変更した場合は、以下の手順に従って、HTTPS のみの通信を使用するようにポータルを再構成する必要があります。
すべての通信に HTTPS を使用するように組織サイトを構成します。
HTTPS を使用するように組織サイトを構成するには、次の手順を実行します。
- 管理者として組織の Web サイトにサイン インします。
URL の形式は https://organization.example.com/<context>/home です。
- [組織] → [設定] タブの順にクリックして、ページの左側にある [セキュリティ] をクリックします。
- [HTTPS のみを使用したポータルへのアクセスを許可] を有効にします。
LDAP のユーザーとグループを使用したアイデンティティ ストアの構成
次に、LDAP のユーザーとグループを使用するように、組織サイトのアイデンティティ ストアを更新します。
- 組織の管理者として ArcGIS Enterprise Manager にサイン インします。
URL の形式は https://organization.example.com/<context>/manager です。
- [セキュリティ]、[アイデンティティ ストア] の順にクリックします。
- [ユーザー ストア] および [グループ ストア] の下のボタンをクリックすると、組織でのユーザーとグループの管理方法を選択できます。
- [ユーザー ストア] で [LDAP] をクリックします。
LDAP ユーザーの場合、組み込みグループ ストアまたは LDAP グループ ストアを使用できます。 [ユーザー ストアとグループ ストアの構成] セクションの入力ボックスは、選択したグループ ストアのタイプに応じて異なります。
- [ユーザー ストアとグループ ストアの構成] セクションで、各設定に適切な情報を指定します。
各テキスト ボックスについて、以下で説明します。
- Type- LDAP または LDAPS。
- Hostname (Required)- LDAP ディレクトリが実行されているホスト コンピューターの名前。
- Port (Required)- LDAP ディレクトリが着信接続をリッスンしているホスト コンピューター上のポート番号。
注意:
セキュリティで保護された接続では、通常、636 を使用します。
- User Base DN (Required)- ユーザー情報が維持されているノード ディレクトリ サーバー内のノードの識別名 (DN)。たとえば ou=users,dc=example,dc=com。
- Group base DN (Required)- グループ情報が維持されているノード ディレクトリ サーバー内のノードの識別名 (DN)。たとえば ou=groups,dc=example,dc=com。
- Username (Required)- ユーザー情報を含んでいるノードにアクセスできる LDAP ユーザー アカウントの識別名 (DN)。 このアカウントを使用する場合、管理アクセスは必要ありません。
- Password (Required)- ディレクトリ サーバーへのアクセスに使用される LDAP ユーザー アカウントのパスワード。
- LDAP URL for users- LDAP ディレクトリへの接続に使用される、ユーザー向けの LDAP URL。
注意:
これは自動的に生成されますが、必要に応じて変更することができます。 - LDAP URL for groups- LDAP ディレクトリへの接続に使用される、グループ向けの LDAP URL。
注意:
これは自動的に生成されますが、必要に応じて変更することができます。 - Are usernames case sensitive?- はい/いいえ。
- User first name attribute (Required)- ユーザーの氏名 (名) 用のディレクトリ サーバー属性。
- User last name attribute (Required)- ユーザーの氏名 (姓) 用のディレクトリ サーバー属性。
- User email attribute (Required)- ユーザーの電子メール アドレス用のディレクトリ サーバー属性。
- Username attribute (Required)- ユーザーのユーザー名のディレクトリ サーバー属性。
- User search attribute- Java Web アダプターで Web 層認証を使用するように Enterprise を構成する場合にのみ必須となるオプション フィールド。 場合によっては、Java Web アダプターが、上記で指定された予期されるユーザー名以外の形式で認証ユーザー名を返すことがあります。 この例としては、クライアント証明書認証を使用するように Java Web アダプターが構成されているときに、ユーザー名だけではなくユーザーの完全識別名が Web サーバーから返される場合があります。 この例では、ユーザーの検索属性を distinguishedName に設定する必要があります。
- Member attribute (Required)- 特定のグループのメンバーであるユーザーのリスト用のディレクトリ サーバー属性。
- Group name attribute (Required)- グループ名のディレクトリ サーバー属性。
- アイデンティティ ストアを構成するための情報の入力が完了したら、[保存] をクリックします。
組織固有のアカウントの追加
デフォルトでは、組織固有のユーザーは ArcGIS Enterprise 組織にアクセスできます。 ただし、エンタープライズ ユーザーは、組織内の全員で共有しているアイテムしか表示できません。 これは、組織固有のアカウントが追加されておらず、またアクセス権限も付与されていないからです。
次のいずれかの方法を使用して、アカウントを組織に追加します。
少なくとも 1 つの組織固有のアカウントをポータルの管理者として指定することをお勧めします。 これを行うには、アカウントを追加する際に [管理者] ロールを選択します。 代わりのポータル管理者アカウントをお持ちの場合は、初期管理者アカウントにユーザー ロールを割り当てたり、このアカウントを削除したりすることができます。 詳細については、「初期管理者アカウントについて」をご参照ください。
アカウントを追加して、次の手順をすべて実行したら、組織にサイン インし、コンテンツにアクセスできるようになります。
クライアント証明書認証を使用するための XArcGIS Web Adaptor の構成
ArcGIS Web Adaptor (Java Platform) を組織サイトにインストールして構成したら、Java アプリケーション サーバー上に LDAP のレルムを構成し、ArcGIS Web Adaptor に対して PKI ベースのクライアント証明書認証を構成します。 手順については、システム管理者に問い合わせるか、Java アプリケーション サーバーの製品ドキュメントでご確認ください。
注意:
クライアント証明書認証が機能するには、Java アプリケーション サーバーで TLS 1.3 が無効になっている必要があります。
LDAP とクライアント証明書認証を使用した組織へのアクセスの確認
LDAP とクライアント証明書認証を使用してポータルにアクセスできることを確認するには、次の手順を実行します。
- ArcGIS Enterprise ポータルを開きます。
- セキュリティ認証情報が求められ、Web サイトにアクセスできることを確認します。
ユーザーが独自の組み込みアカウントを作成できないようにする
ユーザーが独自の組み込みアカウントを作成できないようにするには、組織の設定でユーザーが組み込みカウントを作成する機能を無効にします。