グループの作成

グループはアイテムの集合で、多くの場合、特定の分野、主題、プロジェクトと関連しています。グループは、グループの所有者が作成および管理します。 グループを作成する権限がある場合は、グループを検索できるユーザー、他のユーザーがグループへの加入をリクエストできるかどうか、グループで共有されているアイテムをメンバーが更新できるかどうか、コンテンツを提供できるユーザー、グループにデフォルトで表示されるアイテムのタイプ (マップやレイヤーなど) を決定することができます。 また、グループに共有されたアイテムを管理したり、グループがメンバー加入の申請を受け付けない設定でも、ユーザーをグループに招待したりできます。 デフォルトの管理者は、グループ メンバーのリストを表示できるメンバーを制限できます。また、デフォルトの管理者と、必要な権限を持つユーザーは、メンバーを管理グループとして指定することで、グループから脱退できるメンバーを制限できます。

また、組織の管理者はグループを利用することで、組織を構成することもできます。 これらのサイト構成グループには、組織の注目のコンテンツ、ベースマップ、テンプレートが含まれています。

グループの作成

グループを作成するには、次の手順に従います。

  1. サイン インしていることと、グループを作成する権限を持っていることを確認します。
  2. サイトの上部にある [グループ] をクリックし、[マイ グループ] タブの [グループの作成] をクリックします。
  3. グループを表すサムネイル画像をアップロードします。

    画像をドラッグするか、ファイルを参照することができます。 最適な結果を得るには、縦横比が 1:1 で 400 x 400 ピクセル以上の Web ファイル形式 (PNG、JPEG、GIF) の画像を追加します。 サムネイルに表示したい内容になるまで画面移動および拡大します。 画像ファイルのサイズと解像度、およびサムネイルのカスタマイズの際の拡大率によっては、画像の保存時にリサンプリングされ、サイズ変更される場合があります。 GIF または JPEG 形式の画像を追加すると、画像の保存時に PNG に変換されます。

  4. グループ名とタグを入力します。 簡単なサマリーも追加できます。
  5. [このグループを閲覧できる人] で、次のいずれかのオプションを選択します。
    • [グループ メンバーのみ] - グループのメンバーのみがグループを検索および表示できます。 メンバーは、グループへの加入の招待を受ける必要があります。
    • [すべての組織のメンバー] - 組織かパートナー組織のメンバーのみが、グループの検索と表示を行えます。 メンバーはグループに招待されるか、加入を申し込みできます。
    • [すべての人 (パブリック)] - ポータル組織のメンバーでなくても、ポータルにアクセスできるすべてのユーザーがグループを検索および表示でき、グループと一般ユーザーの両方と共有されているすべてのコンテンツにアクセスできます。 これがデフォルトです。
    ヒント:

    組織の [ギャラリー] ページのフィーチャに対する管理コンテンツがグループに含まれる場合は、対象ユーザーに最も適したオプションを選択します。 一般の訪問者がギャラリーを表示すると予想される場合は、[すべての人 (パブリック)] を選択します。 組織のメンバーが訪問すると予想される場合は、[組織内のユーザー] を選択します。 ギャラリーに表示されるコンテンツ アイテムは、アイテムの共有方法によっても変わります。

  6. [グループへの参加方法] で、次のいずれかを選択します。
    • [招待] - グループの所有者またはグループの管理者から招待されたメンバーのみが、グループに加入できます。
    • [リクエスト] - グループへの加入申請を行い、グループの所有者またはグループの管理者の承認を得たメンバーのみがグループに加入できます。
    • [SAML グループのメンバーであること] - メンバーシップは、SAML 2.0 ID プロバイダー (IdP) が管理する外部グループによって制御されています。 グループにおける各ユーザーのメンバーシップは、ユーザーが正常にサイン インするたびに IdP から返される SAML アサーション応答によって定義されます。

      このオプションを使用するには、次の条件を満たす必要があります。

      グループの定義は、当該グループの正確な名前 (大文字と小文字の区別はなし) をテキスト ボックスに入力して行います。

      注意:

      ここで入力するグループ名は、SAML アサーションの属性値で返されるので、外部の SAML グループの値と完全に一致していなければなりません。 正しい値がわからない場合は、組織の SAML システムを構成した管理者に問い合わせてください。

    • [OpenID Connect グループのメンバーである] - メンバーシップは、OpenID Connect ID プロバイダーが管理する外部グループによって制御されています。 グループにおける各ユーザーのメンバーシップは、ユーザーが正常にサイン インするたびに ID プロバイダーから返されるグループ要求応答によって定義されます。

      このオプションを使用するには、次の条件を満たす必要があります。

      グループを定義するには、[OpenID Connect グループのメンバーである] の横にあるボックスをオンにし、当該グループの正確な名前 (大文字と小文字の区別はなし) を [グループ名] テキスト ボックスに入力します。

      注意:

      ここで入力するグループ名は、外部の OpenID Connect グループの値と完全に一致していなければなりません。 正しい名前がわからない場合は、組織の OpenID Connect システムを構成した管理者に問い合わせてください。

    • [Active Directory グループのメンバーであること] - メンバーシップは、Windows Active Directory (AD) ID プロバイダーが管理する外部グループによって制御されています。 グループにおける各ユーザーのメンバーシップは、ユーザーが正常にサイン インするたびに ID プロバイダーから返されるグループ要求応答によって定義されます。

      このオプションを使用するには、次の条件を満たす必要があります。

      グループを定義するには、[Active Directory グループのメンバーであること] の横にあるボックスをオンにし、当該グループの正確な名前 (大文字と小文字の区別はなし) を [グループ名] テキスト ボックスに入力します。

      注意:

      ここで入力するグループ名は、外部の Active Directory グループの値と完全に一致していなければなりません。 正しい名前がわからない場合は、組織の Active Directory システムを構成した管理者に問い合わせてください。

    • [LDAP グループのメンバーであること] - メンバーシップは、Lightweight Directory Access Protocol (LDAP) ID プロバイダーが管理する外部グループによって制御されています。 グループにおける各ユーザーのメンバーシップは、ユーザーが正常にサイン インするたびに ID プロバイダーから返されるグループ要求応答によって定義されます。

      このオプションを使用するには、次の条件を満たす必要があります。

      グループを定義するには、[LDAP グループのメンバーであること] の横にあるボックスをオンにし、当該グループの正確な名前 (大文字と小文字の区別はなし) を [グループ名] テキスト ボックスに入力します。

      注意:

      ここで入力するグループ名は、外部の LDAP グループの値と完全に一致していなければなりません。 正しい名前がわからない場合は、組織の LDAP システムを構成した管理者に問い合わせてください。

    • [自分で追加] - 招待または承認されなくても、組織のすべてのメンバーがグループに加入できます。 メンバーがグループ ページで [このグループに加入] をクリックすると、即座にグループのメンバーシップが付与されます。
    注意:

    表示されるオプションは、[このグループを閲覧できる人] で選択したオプションによって異なります。

  7. [コンテンツを提供できるユーザー] では、次のいずれかを選択します。
    • [すべてのグループ メンバー] - すべてのグループ メンバーが、グループにコンテンツを提供できます。
    • [グループの所有者と管理者] - グループの所有者およびグループの管理者のみがコンテンツをグループに提供できます。 このオプションを選択した場合、メンバーはアイテムを表示してアクセスできますが、自分のアイテムをグループと共有することはできません。 このタイプのグループは、信頼できるマップとデータを特定のユーザーで共有するのに適しています。 グループで表示されるアイテムと、それを参照できるユーザーを管理します。
  8. [グループの [メンバー] タブでメンバーのリストを表示できるユーザー] では、次のいずれかを選択します。
    注意:

    この設定は、デフォルトの管理者のみが使用できます。

    • [グループを表示できるすべてのユーザー] - グループを表示できるユーザーであれば、グループのメンバーのリストを誰でも表示できます。
    • [グループの所有者と管理者] - グループの所有者と管理者、すべてのメンバーとグループを表示する管理権限のあるメンバーだけがグループ メンバーの完全なリストを表示できます。 グループの他のメンバーは、[メンバー] タブにリスト表示されたグループの所有者とグループの管理者のみを参照することができます。 このオプションは、グループ メンバーのプライバシーを保護したいパブリック グループ (コミュニティ グループやクラウドソーシング グループなど) の場合に選択します。
      注意:

      グループ内の個々のアイテムのアイテム ページには、まだアイテム所有者が表示されます。 このオプションは、グループ ページの [メンバー] タブにのみ適用されます。 組織のメンバーは、メンバーをグループに招待する場合や組織ページの [メンバー] タブでメンバーを管理する場合にグループをフィルタリング オプションとして表示することができます。

  9. 次のグループ指定のいずれかを有効にします。
    • [共有の更新] - すべてのグループ メンバーが、グループで共有したアイテムを編集できるようにします。 共有の更新を有効にすると、自分の組織と、パートナー コラボレーションの組織にグループ メンバーシップが限定されます。

      アイテムに対するアクションのいくつかは、そのアイテムの所有者 (または管理者) しか実行することができません。 たとえば、削除、共有、移動、所有者の変更、削除の防止の変更、アプリの登録、フィールドの削除、フィールドの追加、フィールドの編集、ホスト フィーチャ レイヤー内のデータの上書き、ホスト タイル レイヤー内のタイルの管理 (すべてのアクションがすべてのアイテム タイプに適用されるわけではありません) は、所有者 (または管理者) しか実行できません。 ただし、この共有更新グループのメンバーは、アイテム タイプとアイテムへのアクセスに使用されるアプリに応じて、他の管理者タイプの権限を持ちます。

      注意:
      この設定は、更新機能を持つグループを作成する権限がある場合のみ使用できます。 アイテムの更新には、アイテムの詳細情報の変更や、コンテンツの更新が含まれます。 この設定は、グループを新しく作成する場合と、グループのメンバーシップが、招待されたユーザー、または要求して、加入を承認されたユーザーのみに開かれている場合のみ使用可能になります。
    • [管理] - グループの管理者と所有者のみが、メンバーを削除できます。 このオプションは、デフォルトの管理者ロールまたは適切な権限を持つカスタム ロールのメンバーのみが利用できます。
      注意:
      この設定は、新しいグループを作成する場合にのみ使用できます。 SAML ベースのグループや招待も承認もなしでユーザーが加入できるグループには使用することができません。
  10. [保存] をクリックします。

    指定した基本情報とプロパティを使用して、新しいグループが作成されます。 グループに関する簡単なサマリーを追加する (まだ追加していない場合) とともに、詳細な説明を追加することをお勧めします。

    これで、グループを使用する準備ができました。 グループの所有者は、グループ ページの [アイテムをグループに追加] ボタンを使用して、アイテムをグループで共有できます。 グループ プロパティは [概要] タブで、グループ設定は [設定] タブで編集できます。 [概要] タブまたは [メンバー] タブにある [メンバーの招待] ボタンを使用して、メンバーを検索し、グループにそのメンバーを招待します。

IdP から Active Directory、LDAP、SAML グループをリンク

注意:

このオプションがあるのは、組織の管理者であるか、組み込みグループを Windows Active Directory、LDAP、SAML グループにリンクする権限を持っている場合に限ります。

AD、LDAP、SAML のいずれかをベースとする IdP が、組織の Active Directory、LDAP、SAML グループを管理している場合、これらのグループを、ArcGIS Enterprise ポータルで新たに作成するグループにリンクできます。 上記のワークフローで、新たなグループに参加できるユーザーを選択する場合、以下の手順も実行する必要があります。

AD または LDAP ベースの IdP

ポータルに組織固有のアイデンティティ ストアが設定されていて、アイデンティティ ストア内の Active Directory、LDAP、SAML グループに関するメタデータが提供されている場合、新しいポータル グループのメンバーシップを既存の Active Directory、LDAP、SAML グループのメンバーに設定することができます。 Active Directory、LDAP、SAML グループを定義するには、テキスト ボックスにグループ名の全部または一部を入力し、[グループの検索] をクリックします。 結果のリストから目的のグループを選択して、[グループの選択] をクリックします。

注意:

この Active Directory、LDAP、SAML グループに含まれる組織固有のアカウントのうち、すでにポータル メンバーであるものは、ポータル グループが作成されると同時にポータル グループに追加されます。 組織固有のアカウントおよびグループが Windows Active Directory サーバーで管理されている場合、ネストした Active Directory グループのアカウントも含まれます。

AD のグループ [Domain Users]Active Directory グループとして使うことはできません。 ほとんどの AD ユーザーにとって、これはプライマリ グループだからです。したがって memberOf 属性にも現れません。

SAML ベースの IdP

SAML グループを、SAML ベースの IdP から、ポータルで作成した新規グループにリンクするためには、ポータルの設定で IdP を設定する際、[SAML ベースのグループのメンバーシップを有効化] ボックスをオンにしてください。 確実にグループが外部 SAML グループに正常にリンクされるようにするには、SAML アサーションの属性値で返されるので、グループの作成者が外部 SAML グループの正確な値を入力する必要があります。 SAML IdP からの SAML アサーションの応答を表示して、グループの参照に使用される値を判定します。 [SAML ベースのグループのメンバーシップを有効化] を選択した場合、[グループの検索] オプションは使えません。

ユーザーのグループ メンバーシップを定義する属性に使用できる名前は次のとおりです (大文字と小文字の区別なし)。

注意:

URL のように見える属性名は、実際は URN です。

  • グループ
  • グループ
  • ロール
  • ロール
  • MemberOf
  • member-of
  • https://wso2.com/claims/role
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
  • urn:oid:2.16.840.1.113719.1.1.4.1.25

たとえば、サイン インしているユーザーが SAML グループの FullTimeEmployees および GIS Faculty のメンバーであるとします。 次に示すように、IdP から受信される SAML アサーションでは、グループ情報を含む属性の名前は MemberOf です。 この例で SAML グループ GIS Faculty にリンクされているグループを作成するには、グループの作成者がグループ名として「GIS Faculty」と入力する必要があります。

<saml2p:Response>
  ...
  ...
  <saml2:Assertion>
      ...
      ...	  
      <saml2:AttributeStatement>
        ...
        ...	  
        <saml2:Attribute Name="MemberOf">
  	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
        </saml2:Attribute>	  
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>

ID 値を使用してグループを識別する別の例を次に示します。

<saml2p:Response>
  ...
  ...
  <saml2:Assertion>
      ...
      ...	  
      <saml2:AttributeStatement>
        ...
        ...	  
        <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
  	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
        </saml2:Attribute>	  
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>

注意:

IdP の SAML アサーションの応答を介して取得した SAML グループについて、各ユーザーのグループのメンバーシップが更新されるのは、当該ユーザーがポータルにサイン インする時点に限ります。

グループ プロパティとグループ設定の編集

グループを作成したら、作成者である自分または指定した他のユーザー (グループ権限を持つ管理者を含む) が、グループのプロパティと設定を編集できます。 たとえば、グループのタイトルや説明を修正したり、コンテンツを提供できるユーザーなどの設定を変更したりできます。 グループのコンテンツとグループ メンバーの管理など、所有するグループの操作に関する詳細については、「グループの所有」をご参照ください。

  1. 所有者、グループの管理者、またはグループ権限を持つ管理者としてサイン インしていることを確認します。
  2. サイトの上部の [グループ] をクリックし、必要に応じてタブ、フィルター、並べ替えオプションを使用して検索を実行し、編集対象のグループを見つけます。
  3. グループの名前をクリックしてグループ ページを開き、次のいずれかを実行します。
    • [概要] タブで、編集するプロパティ (説明やタグなど) の横にある [編集] をクリックして変更を加えます。[保存] をクリックして、変更を保存します。 グループ名、サマリー、説明、サムネイル、タグを編集できます。
    • [設定] タブで、グループ設定 (グループ コンテンツを並べ替える方法、グループを表示できるユーザー、グループに加入できるユーザー、コンテンツを提供できるユーザーなど) を変更します。 デフォルトでグループの [コンテンツ] タブと [概要] タブに表示するアイテムのタイプ (マップやレイヤーなど) を指定することもできます。
    注意:

    一部の設定は、付与されている権限とグループ ロールによって編集の可否が決まります。 既存のグループでは、[共有の更新] の設定と、メンバーによるグループ脱退を制限する [管理] の設定を変更できません。 これらの設定は、新しいグループにのみ使用できます。 これらの設定を変更する場合は、既存のグループを削除した後、必要なオプションを使用して新しいグループを作成する必要があります。

共有の更新グループ

組織の管理者はグループを作成し、グループと共有されているアイテムをメンバーが更新できるように設定できます。 それらの共有の更新グループは、運用センターで交代制の作業員がアプリやダッシュボードの基になるマップを更新する必要がある場合など、複数のユーザーが同じアイテムを更新しなければならないコラボレーションの状況で有効です。

メンバーが共有の更新グループとアイテムを共有している場合、メンバーはアイテムの所有者のままです。 他のグループ メンバーはアイテムを更新できます。 アイテムの更新には、アイテムの詳細情報の変更や、コンテンツの更新が含まれます。 たとえば、メンバーはマップにレイヤーを追加し、更新したコンテンツでマップを保存できます。

グループを共有の更新グループにするには、グループの作成時に [共有の更新] グループの設定を有効にします。

注意:

現時点では、共有更新グループは、マップ、アプリ、シーンのアイテム詳細およびコンテンツの更新を対象にしています。 一部の更新 (アイテムの移動、共有、削除、所有権の変更、レイヤーへの上書きまたは追加によるアイテムの更新など) は、アイテムの所有者または管理者のために予約されています。 また、このグループのメンバーは、ホスト フィーチャ レイヤーのコンテンツを編集する機能、編集情報の記録設定を変更する機能、添付ファイルを有効/無効にする機能、レイヤーのスキーマを変更する機能など、昇格した権限も保有しています。 したがって、このタイプのグループにメンバーを追加する際には、注意して処理を進める必要があります。 現在、大半の ArcGIS アプリは、共有更新グループと共有されたアイテムの更新をサポートしていません。 この機能が特定の ArcGIS アプリでサポートされているかどうかを確認するには、製品のドキュメントをご参照ください。