ポータルのプロキシ機能の制限

シナリオによっては、ArcGIS Enterprise はプロキシ サーバーとして動作します。 この機能は次のような場合に使用されます。

  • ポータルとは別のドメインにあるリソースにアクセスしようとしたときに、CORS (Cross Origin Resource Sharing) サポートを使用できない場合。 CORS は、ドメイン間のリクエストを許可するかどうかを、Web サーバーと Web ブラウザーで対話して決定できるようにするための仕様です。
  • セキュリティで保護されたリソースを他のユーザーと共有する際に、リソースへのアクセスに必要なユーザーの認証情報を隠蔽する場合。

デフォルトでは、ポータルのプロキシ機能は制限されていません。 このため、ポータルが悪用され、ポータル コンピューターがアクセスできるコンピューターに対して DoS (Denial of Service) や SSRF (Server Side Request Forgery) 攻撃が実行される可能性があります。 この脆弱性を軽減するために、承認済みの Web アドレスのリストを定義して、ポータルのプロキシ機能を制限することをお勧めします。 ArcGIS Enterprise は、リストに指定されているアドレスへのリクエストだけをプロキシ処理し、その他のリクエストをすべてブロックできるようになります。 ArcGIS Server をポータルとフェデレートしている場合は、リストにサイト内にあるすべてのコンピューターのアドレスと、ポータルのアイテムとして共有されているすべてのリソースのアドレスを含める必要があります。

承認済みアドレスのリストを定義するには、次の手順に従います。

  1. Web ブラウザーを開き、組織の管理者として ArcGIS Enterprise Administrator Directory にサイン インします。 URL の形式は、https://example.organization.com/<context>/admin です。
  2. [Security] > [Configuration] > [Update Configuration] の順にクリックします。
  3. Security Configuration (JSON) フィールドで、allowedProxyHosts プロパティを追加して、承認済みアドレスのリストを指定します。

    {
      "disableServicesDirectory": false,
      "enableAutomaticAccountCreation": false;
      "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    

    注意:
    指定したドメイン内のすべてのコンピューターへのプロキシ リクエストを許可する場合は、(.*).domain.com という書式を使用します。 ワイルドカード (*) は注意して使用してください。承認されていないユーザーに、制限されたコンピューターへのアクセスが意図せず付与されてしまう場合があります。

  4. [Update Security Configuration] をクリックします。