認証の構成

ArcGIS Enterprise 組織でセキュリティをどのように構成するかを決めるために使用すべき主な要素は、ユーザー情報のデータ ソースと、必要な場合はグループです。 このユーザーとグループの情報源は、アイデンティティ ストアと呼ばれています。 組織内外のユーザーとグループは、アイデンティティ ストアを使用して管理されます。

アイデンティティ ストアの理解

組織のアイデンティティ ストアは、ポータル アカウントの認証情報を保存する場所と、認証がどのように発生するか、およびグループ メンバーシップの管理方法を定義します。 ArcGIS Enterprise 組織は、組み込みアイデンティティ ストアと組織固有のアイデンティティ ストアという 2 種類のアイデンティティ ストアをサポートしています。

組み込みアイデンティティ ストア

組織に組み込みアカウントおよびグループを作成した場合は、組み込みアイデンティティ ストアを利用することになります。ストアは認証を実行して、アカウントのユーザー名、パスワード、ロール、およびグループ メンバーシップを保存します。 組織の初期管理者アカウントを作成するには、組み込みアイデンティティ ストアを使用する必要があります。ただし、後で組織固有のアイデンティティ ストアに切り替えることができます。 組み込みアイデンティティ ストアは、ポータルを起動して実行する場合に利用され、開発やテストを行う場合にも役立ちます。 ただし、運用環境では、一般的に組織固有のアイデンティティ ストアが利用されます。

組織固有のアイデンティティ ストア

ArcGIS Enterprise は、組織固有のアカウントおよびグループを使用して ArcGIS の組織サイトへのアクセスを制御できるように設計されています。 この手順は、「組織固有のログインの設定」ドキュメントで説明されています。

この方法の利点は、ポータルに追加アカウントを作成する必要がないことです。 メンバーは、組織固有のアイデンティティ ストアにすでに設定されているログイン情報を使用します。 パスワードの複雑さと有効期限のポリシーを含めアカウント認証情報の管理は、完全にポータルの外部で行われます。 認証は、ポータル層 (ポータル層認証を使用) で処理するか、または外部 ID プロバイダー (SAML を使用) を通して処理できます。

同様に、ポータルにアイデンティティ ストアの既存の Windows Active Directory、LDAP、または SAML グループへリンクするグループを作成することもできます。 これにより、グループのメンバーシップの管理を完全にポータルの外部で行うことができます。 メンバーがポータルにサイン インすると、コンテンツ、アイテム、およびデータへのアクセスは、Active Directory、LDAP、または SAML グループで定義されているメンバーシップ ルールで管理されます。 また、組織の Active Directory、LDAP、または SAML グループから組織固有のアカウントを一括で追加できます。

たとえば、組織サイトへの匿名アクセスを無効化し、ポータルを組織の目的の Active Directory、LDAP、または SAML グループに接続してから、それらのグループに基づいて組織固有のアカウントを追加することをお勧めします。 こうすることで、組織内の特定の Active Directory、LDAP、または SAML グループに基づいて、ポータルへのアクセスを制限できます。

複数のアイデンティティ ストアのサポート

SAML 2.0 では、複数のアイデンティティ ストアを使用したポータルへのアクセスを許可できます。 サイン インするユーザーは、組み込みアカウントと、相互に信頼するように構成された複数の SAML 準拠の ID プロバイダーで管理されているアカウントを使用できます。 これは、組織内外に存在する複数ユーザーを管理するのに役立ちます。 詳細については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。

ポータルのアイデンティティ ストアを使用する組み込みユーザーおよびグループの構成

組み込みのユーザーとグループを使用する場合、ポータルを構成する手順は必要ありません。ソフトウェアをインストールした後、組み込みのユーザーとグループはすぐにポータルを利用できます。 組織固有のユーザーを使用する場合は、次のセクションと関連リンクをご参照ください。

組織固有のログインの構成

ポータルでは、次の組織固有の ID プロバイダーを構成できます。 認証は、Web 層 (ArcGIS Enterprise on Kubernetes Web Adaptor を使用) またはポータル層で処理できます。

Web 層認証

組織が外部アイデンティティ ストアを構成している場合は、ArcGIS Enterprise on Kubernetes のデプロイメント環境の Web 層認証を構成できます。 詳細については、「Web 層認証」をご参照ください。

ポータル層認証

組織固有および組み込みアイデンティティ ストアを使用して、SAML を使用せずにポータルへのアクセスを許可するには、ポータル層認証を使用できます。 これには、ポータルを Active Directory または LDAP アイデンティティ ストアを使用して構成します。 ユーザーがポータルのサイン イン ページにアクセスするとき、組織固有の認証情報または組み込み認証情報を使用してサイン インできるようになります。 組織固有のユーザーは、ポータルにサイン インするたびにアカウント認証情報を入力する必要があり、自動サイン オンまたはシングル サインオンは使用できません。

ポータル層認証を使用する場合、メンバーは次の構文を使用してサイン インします。

  • ポータルで Active Directory を使用している場合、domain\username または username@domain という構文を使用できます。 メンバーのサイン イン方法に関係なく、ユーザー名はポータル Web サイトで常に username@domain と表示されます。
  • ポータルで LDAP を使用している場合、構文は管理者が定義できます。 ポータル Web サイトでも、アカウントがこの形式で表示されます。

SAML を使用する組織固有のログインの構成

ArcGIS Enterprise ポータルは、すべての SAML 対応の ID プロバイダーをサポートしています。 詳細については、「ポータルでの SAML 準拠の ID プロバイダーの構成」をご参照ください。

アカウントのロックアウト ポリシー

ユーザーのパスワードを推測しようとする大量の自動処理から保護するために、ソフトウェア システムがアカウントのロックアウト ポリシーを強制する場合があります。 特定の期間内に一定の回数ログオンに失敗したユーザーは、指定した期間、それ以上のログオン操作を拒否されます。 これらのポリシーでは、ユーザーが自分のユーザー名とパスワードを忘れてサイン インに失敗する場合があることも考慮します。

ポータルで強制的に適用されるロックアウト ポリシーは、使用するアイデンティティ ストアのタイプによって異なります。

組み込みアイデンティティ ストア

組み込みアイデンティティ ストアでは、無効な試行が 5 回連続して行われると、ユーザーがロックアウトされます。 ロックアウトの期間は 15 分です。 このポリシーは、アイデンティティ ストアのすべてのユーザー (初期管理者アカウントを含む) に適用されます。 このポリシーを変更または置換することはできません。

組織固有のアイデンティティ ストア

組織固有のアイデンティティ ストアを使用する場合、アカウントのロックアウト ポリシーはアイデンティティ ストアから継承されます。 アイデンティティ ストアでは、アカウントのロックアウト ポリシーを変更することができます。 アカウントのロックアウト ポリシーを変更する方法については、各種アイデンティティ ストア タイプのドキュメントをご参照ください。

ログインの失敗の監視

ログインの失敗を監視するには、ArcGIS Enterprise Manager で組織のログを表示します。 ログインの失敗では、ユーザー名とパスワードの組み合わせが無効であるためにユーザーのサイン インが失敗したことを示す、警告レベルのメッセージが生成されます。 ユーザーのログインの試行回数が最大数を超えた場合は、アカウントがロックアウトされたことを示す、重大レベルのメッセージがログに記録されます。 ログでログインの失敗を監視することで、システムに対してパスワード攻撃が発生している可能性があるかどうかを判断できます。

詳細については、「システム ログの操作」をご参照ください。