トークンの最大の有効期限の指定

ArcGIS Enterprise 組織のメンバーを認証するために、トークンが使用されます。 ユーザーは組織へのアクセスを試みる際に、自分のユーザー名とパスワードを入力します。 ArcGIS Enterprise は、提示された認証情報を確認した上で、トークンを生成し、そのメンバーに対して発行します。

トークンは、ユーザー名、トークンの有効期限、およびその他の機密情報を含む暗号化された情報の文字列です。 トークンがメンバーに対して発行されると、そのメンバーはトークンの有効期限が切れるまでポータルにアクセスできます。 トークンの有効期限が切れた時点で、メンバーはユーザー名とパスワードをもう一度指定する必要があります。

ポータル内では、次の 3 種類のトークンが使用されます。

• ArcGIS トークン: sharing/rest/generateToken エンドポイントを介して生成されるトークン。
• OAuth アクセス トークン: OAuth2 認証ワークフローを介して生成されるトークン。
• OAuth リフレッシュ トークン: 有効期限が切れたときに新しい OAuth アクセス トークンを生成するために使用されるトークン。

組織のメンバーがトークンを生成する際に指定できる最大の有効期限は、トークン タイプによって異なります。 ユーザーが最大の有効期限を超える有効期限を指定した場合、トークンは、そのトークン タイプの最大値に一致する有効期限で生成されます。

次の値は、ポータルに指定できる最大の有効期限であり、組織のデフォルトの最大値です。

• ArcGIS トークン: 14 日 (20,160 分)
• OAuth アクセス トークン (Implicit 付与タイプまたは Client Credentials 付与タイプでの作成時): 14 日 (20,160 分)
• OAuth アクセス トークン (Authorization Code 付与タイプでの作成時): 30 分
• OAuth リフレッシュ トークン: 90 日 (129,600 分)

トークンを生成するときに有効期限を指定しない場合、各種のトークンには、トークンのタイプごとに異なるデフォルト値が使用されます。

• ArcGIS トークン: 120 分
• OAuth アクセス トークン (Implicit 付与タイプまたは Client Credentials 付与タイプでの作成時): 120 分
• OAuth アクセス トークン (Authorization Code 付与タイプでの作成時): 30 分
• OAuth リフレッシュ トークン: 2 週間 (20,160 分)

管理者は、ArcGIS Portal Administrator Directory の maxTokenExpirationMinutes プロパティを新しい値に設定することで、これらの値を下げることができます。 デフォルト値 -1 は、各トークン タイプの最大の有効期限とデフォルトの有効期限を表します。

設定した値が最大値より小さいが、デフォルト値より大きい場合、最大値のみが影響を受け、デフォルト値は変わりません。 この値が最大値とデフォルト値の両方より小さい場合、両方の値が影響を受け、最大値およびデフォルト値は、maxTokenExpirationMinutes で定義された値に一致します。

たとえば、maxTokenExpirationMinutes を 17280 (12 日) に設定すると、ArcGIS トークン、Implicit 付与タイプまたは Client Credentials 付与タイプで作成された OAuth アクセス トークン、OAuth リフレッシュ トークンの最大の有効期限は 12 日間になります。 Authorization Code 付与タイプで作成された OAuth アクセス トークンの有効期限は 30 分のままです。 有効期限が指定されていない場合に使用されるデフォルトの有効期限では、OAuth リフレッシュ トークンのみが 12 日間に更新されます。

トークンの背後にあるセキュリティの意味を検討することが重要です。 有効期限の長いトークンは、あまり安全ではありません。 たとえば、悪意のあるユーザーによって傍受されたトークンは、その有効期限が切れるまで不正に使用されるおそれがあります。 反対に、有効期限を短くすると、セキュリティは強化されますが、メンバーが頻繁にユーザー名とパスワードを入力しなければならないため、不便です。

このトピックへのフィードバック