適切な権限が付与されたデフォルトの管理者またはメンバーとして、すべての接続で HTTPS を必須とするかどうか、およびポータルへの匿名アクセスを許可するかどうかを決定します。 また、共有と検索、パスワード ポリシー、サイン イン オプション、アクセスの通知、情報バナー、信頼できるサーバーなどのセキュリティ設定を構成することもできます。
ヒント:
セキュリティ、プライバシー、およびコンプライアンスに関する詳細については、Trust ArcGIS をご参照ください。
- デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を有効化したカスタム ロールのメンバーとしてサイン インしていることを確認します。
- サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
- ページの横にある [セキュリティ] をクリックします。
- 以下のセキュリティ設定のうちのいずれかを構成します。
アクセスと権限
必要に応じて、以下のポリシー設定のいずれかを変更します。
- [HTTPS のみを使用したポータルへのアクセスを許可] - デフォルトでは、組織のデータおよび一時的な ID トークン (ユーザーのデータへのアクセスを許可する) がインターネット上での通信中に暗号化されることを保証するために、ポータルでは HTTPS のみの通信が適用されます。 HTTP 通信と HTTPS 通信の両方を許可する場合は、この切り替えボタンをオフにします。 この設定を変更すると、サイトのパフォーマンスに影響が出る可能性があります。
[ポータルへの匿名アクセスの許可] - このオプションを有効化すると、匿名ユーザーが組織の Web サイトにアクセスできるようになります。 このオプションを無効にすると、匿名アクセスが無効化され、匿名ユーザーがその Web サイトにアクセスできなくなります。 また、Bing Maps を使用したマップを表示することもできません (組織サイトで Bing Maps が構成されている場合)。
匿名アクセスを有効にした場合は、サイト構成グループがパブリックに共有されていることを確認してください。パブリックに共有されていない場合、匿名ユーザーは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。
- [メンバーが、自己紹介とそのプロフィールを参照できるユーザーを編集できます] - このオプションを有効化すると、メンバーがプロフィールの自己紹介を変更したり、プロフィールを表示できる人を指定したりできるようになります。
共有と検索
必要に応じて、以下の共有と検索の設定のいずれかを変更します。
[管理者以外のメンバーは、自分のコンテンツ、グループ、プロフィールを公開できます] - このオプションを有効化すると、メンバーが自分のプロフィールやグループをすべての人 (パブリック) に公開したり、Web アプリなどのアイテムをパブリックに共有したり、Web サイト内に自分のコンテンツやグループを埋め込んだりすることができます。 このオプションを無効にすると、デフォルトの管理者およびメンバー コンテンツをパブリックに共有する管理権限が割り当てられたメンバーは、引き続き他のメンバーのコンテンツ、グループ、プロフィールを公開できます。
- [アイテムおよびグループ ページにソーシャル メディア リンクを表示します] - このオプションを有効化すると、Facebook および Twitter へのリンクをアイテム ページやグループ ページに含めることができます。
サインイン ポリシー
組織での要件に応じてパスワード ポリシーとロックアウト設定を構成します。
パスワード ポリシー
メンバーは、自分のパスワードを変更する際に、パスワードが組織のポリシーに従っている必要があります。 ポリシーに従っていない場合、ポリシーの詳細を示すメッセージが表示されます。 組織のパスワード ポリシーは、SAML ログインなどの組織固有のログインや、アプリケーション ID とアプリの秘密の質問を使用するアプリ認証情報には適用されません。
[パスワード ポリシーの管理] をクリックし、組み込みアカウントを持つメンバーのパスワードの長さ、複雑度、履歴の各要件を構成します。 パスワードの長さ、およびパスワードに大文字、小文字、数字、特殊文字を 1 文字以上含める必要があるかを指定できます。 パスワードの有効期限が切れるまでの日数およびメンバーが再利用できない過去のパスワードの数も構成できます。 パスワードは、大文字と小文字の区別があり、ユーザー名と同じにすることができません。 [ポータルのデフォルトを使用] をクリックすると、標準の ArcGIS Enterprise パスワード ポリシー (1 つ以上の文字と 1 つ以上の数字を含む 8 文字以上で、空白は使用不可) を使用するように組織サイトをリセットします。
注意:
脆弱なパスワードは受け付けられない場合があります。 「password1」などの、よく使用されるパスワード、または繰り返し文字や連続的文字を含むパスワード (たとえば、「aaaabbbb」や「1234abcd」) である場合、そのパスワードは脆弱であると見なされます。
注意:
組織で電子メール設定が構成されている場合、パスワード ポリシーが変更されると、管理者の問い合わせ先に自動的に通知用電子メールが送信されます。
ロックアウト設定
デフォルトでは、メンバーが組み込みアカウントを使用して ArcGIS Enterprise 組織へのサイン インを試みたときに、失敗回数が 15 分間に 5 回を超えると 15 分間 Web サイトからロックアウトされます。 サインインを試みたときに許容される失敗回数、この回数を超えた場合のロックアウト時間、またはこの両方を変更するには、[ロックアウト設定の管理] をクリックします。 デフォルトのロックアウト設定に戻すには、[デフォルトに戻す] をクリックします。
ログイン
メンバーが ArcGIS ログイン、Security Assertion Markup Language (SAML) ログイン (これまでのエンタープライズ ログイン)、OpenID Connect ログインのいずれかの方法を使用してサイン インできるように、組織のサイン イン ページをカスタマイズできます。
ログイン方法が組織のサイン イン ページに表示される順序をカスタマイズすることもできます。 ログイン方法の順序を変更するには、その方法のハンドル をクリックして新しい位置にドラッグします。 [プレビュー] をクリックして、サイン イン ページの表示を確認します。
[ArcGIS ログイン] ボタンをオンにして、ユーザーが ArcGIS ログインを使用して ArcGIS にサイン インできるようにします。 エンタープライズ ログインを構成したら、[ArcGIS ログイン] 切り替えボタンをオフにして、組織のサインイン ページの代わりに外部 ID プロバイダーのサインイン ページにユーザーを移動できます。
注意:
[ArcGIS ログイン] オプションは、組織のサインイン ページ上の ArcGIS オプションのみを非表示にします。 トークンを手動で生成するか、ArcGIS API と SDK を使用すると、ArcGIS アプリケーションで ArcGIS によってホストされているリソースに引き続きアクセスできます。 ArcGIS アカウントを無効にするには、「メンバー アカウント (複数) の無効化」をご参照ください。
組織サイトの既存の SAML ID プロバイダーを使用してポータルにメンバーがサイン インする場合は、[新しい SAML ログイン] ボタンを使用して、SAML に準拠した ID プロバイダーをポータルに構成します。
組織サイトの既存の OpenID Connect ID プロバイダーを使用してメンバーがサイン インする場合は、[新しい OpenID Connect ログイン] ボタンを使用して OpenID Connect ログインを構成します。
多要素認証
注意:
このオプションは、組み込みアカウントの多要素認証を制御します。 SAML または OpenID Connect のログインに基づくアカウントの多要素認証を構成するには、ID プロバイダーに連絡して、対応するオプションを構成してください。
組織で電子メール設定が構成されている場合のみ、組み込みアカウントの多要素認証を有効化できます。
組織のメンバーが ArcGIS にサイン インする際に多要素認証を設定できるようにするには、[組織の多要素認証を有効化します] 切り替えボタンをオンにします。 多要素認証では、メンバーのサイン イン時にユーザーの名前とパスワードに加えて確認コードを要求することで、セキュリティ レベルを強化します。
この設定を有効にすると、組織のメンバーは各自の設定ページで多要素認証を有効化して、サポートされている認証アプリからの確認コードを、携帯電話またはタブレットで受信できます (現在は、Android および iOS 向け Google Authenticator と、Windows Phone 向け Authenticator がサポートされています)。
ヒント:
多要素認証が有効なメンバーには、[組織] ページの [メンバー] タブで、メンバー テーブルの [多要素認証] 列 にチェック マークが表示されます。
組織で多要素認証を有効にしている場合に、必要に応じてメンバー アカウントの多要素認証を無効にする電子メール リクエストを送信するには、宛先に少なくとも 2 人の管理者を指定する必要があります。 ArcGIS Enterprise は、[お使いのコードによるサイン インで問題が発生しましたか?] リンク (メンバーに認証コードの入力を求めるページに存在) で多要素認証に関するヘルプを要求したメンバーに代わって電子メールを送信します。 少なくとも 1 人が多要素認証の問題のあるメンバーに対応できるように、2 人以上の管理者が必要となります。
多要素認証は、OAuth 2.0 をサポートしている Esri アプリで機能します。 これには、ポータル Web サイト、ArcGIS Pro、ArcGIS アプリ、My Esri などがあります。
OAuth 2.0 をサポートしていないアプリにアクセスする場合、多要素認証を無効化する必要があります。 これには、ルート検索や標高解析を実行するジオコーディング サービスとジオプロセシング サービスが含まれます。 認証情報を Esri プレミアム コンテンツと一緒に格納する場合にも、多要素認証を無効にしておく必要があります。
アクセス時の通知
利用条件の注意事項を構成し、サイトにアクセスするユーザーに表示することができます。
組織のメンバー、または組織サイトにアクセスするすべてのユーザー、あるいはその両方のために、アクセス時の通知を構成することができます。 組織のメンバーのためのアクセス時の通知を設定した場合、メンバーがサイン インした後に注意事項が表示されます。 すべてのユーザーのためのアクセス時の通知を設定した場合、ユーザーがサイトにアクセスするときに、注意事項が表示されます。 両方のアクセス時の通知を設定した場合、組織のメンバーには両方の注意事項が表示されます。
組織のメンバーまたはすべてのユーザーのためのアクセス時の通知を構成するには、適切なセクションで [アクセス時の通知の設定] をクリックし、切り替えボタンをオンにしてアクセス時の通知を表示し、注意事項のタイトルとテキストを入力します。 ユーザーがサイトに進む前にアクセス時の通知に同意するようにする場合は [[同意する] および [同意しない]] オプションを選択し、ユーザーが [OK] をクリックするだけで続行できるようにする場合は [OK のみ] を選択します。 終了したら、[保存] をクリックします。
注意:
HTML タグはアクセス時の通知では使用できません。
組織のメンバーまたはすべてのユーザーのためのアクセスの通知を編集するには、適切なセクションの [アクセス時の通知の編集] をクリックし、タイトル、テキスト、アクション ボタンのオプションを変更します。 アクセス時の通知の表示が不要になった場合は、切り替えボタンを使用してアクセス時の通知を無効にします。 アクセス時の通知を無効にした後に、アクセス時の通知を再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。
情報バナー
情報バナーを使用して、組織サイトにアクセスするすべてのユーザーに対して、サイトの状態およびコンテンツに関して警告することができます。 たとえば、サイトの上部および下部に表示されるカスタム メッセージを作成することによって、メンテナンス スケジュール、分類情報通知、読み取り専用モードに関して、ユーザーに知らせます。 このバナーは、ホーム、ギャラリー、Map Viewer、Scene Viewer、ノートブック、グループ、コンテンツ、組織の各ページ、アプリで有効化している場合は ArcGIS Enterprise Sites で作成されたサイト上に表示されます。
組織で情報バナーを有効化するには、[情報バナーの設定] をクリックして、[情報バナーの表示] をオンにします。 テキストを [バナー テキスト] フィールドに追加し、背景色およびフォントの色を選択します。 選択したテキストおよび背景色のコントラスト比が表示されます。 コントラスト比は、WCAG 2.1 アクセシビリティ基準に基づく見やすさの尺度です。これらの基準に従うために、4.5 のコントラスト比をお勧めします。
注意:
HTML タグは情報バナーでは使用できません。
[プレビュー] ウィンドウで、情報バナーをプレビューできます。 [保存] をクリックして、バナーを組織サイトに追加します。
情報バナーを編集するには、[情報バナーの編集] をクリックして、バナーのテキストやスタイル設定を変更します。 情報バナーの表示が不要になった場合は、切り替えボタンを使用して情報バナーを無効にします。 情報バナーを無効にした後に、情報バナーを再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。
信頼できるサーバー
[信頼できるサーバー] で CORS (Cross-Origin Resource Sharing) リクエストを作成して Web 層認証で保護されたサービスにアクセスする際に、組織サイトによって認証情報を送信してもらう、信頼できるサーバーのリストを構成します。 これは主に、ArcGIS Server を実行しているスタンドアロンの (フェデレーションが解除された) サーバーから保護されたフィーチャ サービスを編集したり、保護された Open Geospatial Consortium (OGC) サービスを表示したりする場合に適用します。 トークンベースのセキュリティで保護された ArcGIS Server ホスティング サービスは、このリストに追加する必要はありません。 信頼できるサーバーのリストに追加されたサーバーは、CORS をサポートする必要があります。 CORS をサポートしていないサーバーでホストされているレイヤーは、期待どおりに機能しない可能性があります。 ArcGIS Server は、10.1 以降のバージョンで、CORS をデフォルトでサポートしています。 ArcGIS 以外のサーバーで CORS を構成するには、Web サーバー向けのベンダー ドキュメントをご参照ください。
ホスト名は、個々に入力する必要があります。 ワイルドカードは使用できません。 ホスト名を入力する際は、先頭にプロトコルを付けても付けなくてもかまいません。 たとえば、ホスト名 secure.esri.com は、secure.esri.com または https://secure.esri.com と入力できます。
注意:
Web 層認証で保護されたフィーチャ サービスを編集するには、CORS 対応の Web ブラウザーを使用する必要があります。 最新バージョンの Mozilla Firefox、Google Chrome、Safari は CORS に対応しています。 お使いのブラウザーが CORS に対応しているかをテストするには、https://caniuse.com/cors を開きます。
オリジンの許可
ArcGIS REST API は、デフォルトで、任意のドメインの Web アプリケーションから送信される CORS リクエストを受け入れています。 組織で、CORS を介して ArcGIS REST API にアクセスできる Web アプリケーション ドメインを制限するには、そのドメインを明示的に指定する必要があります。 たとえば、CORS のアクセスを acme.com の Web アプリケーションのみに制限する場合は、[追加] をクリックして、テキスト ボックスに「https://acme.com」と入力し、[ドメインの追加] をクリックします。 最大で 100 の信頼されたドメインを組織サイトに指定することができます。 arcgis.com ドメインで実行されるアプリケーションは、ArcGIS REST API に常にアクセスが許可されているため、arcgis.com を信頼されたドメインとして指定する必要はありません。
ポータルへのアクセスを許可
セキュリティで保護されたコンテンツを共有したいポータルのリスト (例: https://otherportal.domain.com/arcgis) を構成します。 この構成により、組織のメンバーは組織固有のログイン (SAML ログインを含む) を利用してセキュリティで保護されたコンテンツにアクセスし、ポータルからコンテンツを閲覧できるようになります。 組織サイトが連携しているポータルは自動的にリストに含まれるため、手動で追加する必要はありません。 これは、ArcGIS Enterprise バージョン 10.5 以降のポータルにのみ適用されます。 セキュリティ保護されたコンテンツを ArcGIS Online の組織サイトに共有する場合、この設定は不要です。
ポータルの URL は個別に入力する必要があります。入力する際はプロトコルも含めてください。 ワイルドカードは使用できません。 追加するポータルが HTTP アクセスと HTTPS アクセスの両方を許可している場合、そのポータルの 2 つの URL を追加する必要があります (例: http://otherportal.domain.com/arcgis と https://otherportal.domain.com/arcgis)。 リストに追加するすべてのポータルは最初に整合チェックされるため、ブラウザーからアクセスできる必要があります。
アプリ
組織のメンバーがアクセスできる外部アプリを指定できるほか、必要であれば、組織メンバーがアプリ ランチャーから承認済み Web アプリを使用できるようにすることもできます。 また、規制、標準、ベスト プラクティスに準拠するために、メンバーに対してブロックする Esri アプリのリストも指定できます。
アプリの承認
すべての Esri アプリおよびライセンス アプリは、メンバー アクセスが自動的に承認されます。[権限のリクエスト] プロンプトが表示されることなく、組織のメンバーに他のアプリ タイプのアクセス権を付与するには、組織で承認されたアプリのリストを指定する必要があります。 承認済みアプリには、組織内外でホストされている Web アプリ、モバイル アプリ、ネイティブ アプリが含まれます。 外部アプリへのアクセス権については、承認済みアプリ リストに追加されたアプリにのみサイン インを制限することも可能です。
注意:
承認済み Web アプリも、アプリ ランチャーから組織メンバーが使用できるようにすることができます。 ライセンス付きアプリは、該当するライセンスを持つメンバーのアプリ ランチャーに自動的に表示されます。 詳細については、「アプリ ランチャーでのアプリの管理」をご参照ください。
組織メンバーがアプリにアクセスできるよう承認するには、次の手順を表示します。
- デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を持つカスタム ロールのメンバーとしてサイン インしていることを確認します。
- サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
- ページの横にある [セキュリティ] をクリックし、[アプリ] をクリックして、ページの [アプリ] セクションに移動します。
- [承認済みアプリ] で [承認済みアプリの追加] をクリックします。
- 次のいずれかの方法で、アプリを検索します。
- リスト内のアプリを参照 - デフォルトでは、リストには組織に登録されているアプリのみが含まれます。
- 名前で検索
- アイテム URL で検索 - アイテム URL は、アプリのアイテム ページの [概要] タブ ([URL] セクション) で確認できます。
- アプリ ID で検索 - アプリ アイテムを所有しているか、権限がある場合は、アプリのアイテム ページの [設定] タブ ([アプリケーション設定] > [登録情報]) でアプリ ID を確認できます。 また、プライベート ブラウザー ウィンドウでアプリを開き、アプリのサインイン リンクをクリックして、ブラウザーのアドレス バーに表示される URL の cliend_id 値でアプリ ID を確認する方法もあります。
- 承認するアプリを選択します。
- Web アプリを選択した場合、必要に応じて、[アプリ ランチャーに表示] 切り替えボタンをオフにして、アプリ ランチャーで Web アプリを非表示にできます。
Web アプリをアプリ ランチャーで表示するには、この切り替えボタンをオンにしたまま「アプリ ランチャーでのアプリの管理」の手順を実行します。
- [保存] をクリックして、アプリを承認済みアプリ リストに追加します。
ブロックされた Esri アプリ
ユーザー タイプに含まれ、ライセンスによって制御できないアプリへのアクセスを組織が制限する場合は、ブロックされたアプリのリストを構成できます。
ブロックされたアプリはアプリ ランチャーから削除され、これらのアプリ アイテムはコンテンツ ページからも、Web マップからも作成することはできません。 管理者は、ライセンスを管理する場合や新しいメンバーを追加する場合に、ブロックされたアプリを引き続き表示できますが、それらのアプリを選択することはできません。 ブロックされる前に作成されたアプリ アイテムは組織で表示されたままですが、メンバーはそれらのアイテムにサイン インできません。 ブロックされたアプリが組織と共有されている場合、メンバーはそのアプリにサイン インして使用することはできません。
アプリをブロックするには、[ブロックされた Esri アプリの管理] をクリックし、ブロックするアプリを選択して、[保存] をクリックします。
管理者は、[ブロックされた Esri アプリの管理] ウィンドウでアプリの選択を解除するか、組織のブロックされたアプリのリストでアプリの横の [削除] ボタン をクリックして、リストからアプリを削除できます。
電子メール設定の構成
組織で電子メール設定を構成して、メンバーへの電子メール通知の送信に使用できます。 次の電子メール通知を構成できます。
- パスワード ポリシーの通知 - パスワード ポリシーが変更されると、管理者の問い合わせ先に自動的に通知用電子メールが送信されます。 管理者の問い合わせ先が設定されていない場合、組織で最も古い管理者アカウントまたは初期管理者アカウントに通知用電子メールが送信されます。
- パスワードのリセットの通知 - 管理者は [メンバー] タブでメンバーのパスワードをリセットできます。リセットされると、一時パスワードと一緒に電子メールがメンバーに送信されます。 メンバーは、パスワードを忘れたことを組織のサイン イン ページで示すときにもパスワードのリセット リンクをリクエストできます。 電子メールは、メンバーのプロフィールに関連付けられた電子メール アドレスに送信されます。
- 多要素認証の通知 - 多要素認証を有効化するには、組織で電子メール設定が構成されている必要があります。 多要素認証が構成されると、指定された管理者は、必要に応じて特定のメンバーの多要素認証を無効化するように通知する電子メールを受け取ります。
- アイテムのコメントの通知 - 組織でコメントが有効化されている場合、アイテムの所有者は自分のアイテムに公開された新しいコメントについての電子メール通知を受け取ります。
- プロフィールと設定の通知 - メンバーには、自分のプロフィールと設定 (パスワード、セキュリティの質問、プロフィール表示設定など) に対する変更が通知されます。
以下の手順に従って、メール設定を構成します。
- 組織の電子メール通知を構成するには、[電子メール設定] の [構成] をクリックします。
電子メール設定がすでに構成されている場合は、[電子メール設定の管理] をクリックして、[電子メール設定の構成] ウィンドウを開きます。
- SMTP 設定ページで、次の手順を実行します。
- SMTP サーバー アドレスを入力します。
これは、SMTP サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) (例: smtp.domain.com) です。
- SMTP ポートを入力します。
これは、SMTP サーバーの通信に使用されるポートです。 最も一般的な通信ポートには 25、465、587 があります。 デフォルト値は 25 です。
- [暗号化方法] で、組織から送信される電子メール メッセージの暗号化方法を選択します。
[プレーン テキスト]、[STARTTLS]、[SSL] を選択できます。
- 指定した SMTP サーバーとの接続に認証が必要な場合は、[SMTP 認証モードは必須です] をオンにします。
SMTP 認証が不要な場合は、このオプションをオフのままにしておくことができます。
- 上記で [SMTP 認証モードは必須です] が有効化された場合は、SMTP サーバーへのアクセスが認証されるユーザーのユーザー名とパスワードを入力します。
- 組織の電子メールの送信元となる電子メール アドレスを入力します。
これは、組織の管理者の問い合わせ先の下にリストされているメンバーに関連付けられている電子メール アドレスにすることをお勧めします。
- 送信元の電子メール アドレスとともに表示される電子メール アドレス ラベルを入力します。
この情報は、すべての電子メール通知で、送信元行の送信者として表示されます。 送信元の電子メール アドレスに関連付けられた名前を使用できます。または、送信元の電子メール アドレスにメンバーが直接返信しないようにする場合は、DO NOT REPLY などのラベルを使用できます。
- SMTP サーバー アドレスを入力します。
- [次へ] をクリックします。
テスト電子メールを送信して、電子メール設定を正しく構成していることを確認することをお勧めします。
- テスト電子メールが正常に配信されたことの確認に使用できる電子メール アドレスを入力して、[電子メールの送信] をクリックします。
電子メールが正常に送信されたかどうかを示す通知が表示されます。 ポータルのログで詳細情報を確認できます。
- [完了] をクリックして、電子メール設定を構成します。
組織からの電子メール通知を無効化する場合は、[電子メール設定の無効化] をクリックします。