セキュリティ設定の構成

サブスクリプションサブスクリプション:

セキュリティ設定を構成するには、管理者ロールを持つ組織向けアカウントが必要です。

組織サイトの管理者として、すべての接続で SSL を必須とするかどうか、匿名アクセスを許可するかどうか、および組織外での共有と検索を許可するかどうかを決定します。エンタープライズ ログイン(ベータ版)を設定することもできます。

セキュリティ設定を構成するには、次の手順に従います。

手順:
  1. ArcGIS.com にサイン インしていること、そして自身が組織サイトの管理者であることを確認します。
  2. 上部バナーの [組織] リンクをクリックします。組織のページが開きます。
  3. [設定の編集] ボタンをクリックします。
  4. ページの左側にある [セキュリティ] リンクをクリックします。
  5. [SSL を使用した組織へのアクセスのみ許可します] をオンにします。

    SSL(Secure Sockets Layer)により、組織のデータおよび一時的な ID トークン(ユーザのデータへのアクセスを許可する)がインターネット上での通信中に暗号化されることが保証されます。SSL をオンにすると、サイトのパフォーマンスに影響が出る可能性があります。

    SSL は、組織独自のコンテンツのみにアクセスする組織、または組織独自のコンテンツ/他の SSL 組織からのコンテンツにアクセスする組織を対象としています。また、組織は SSL を有効にして、組織外部からの非 HTTPS コンテンツに組織のユーザがアクセスできるようにすることもできます。ただし、一部のアプリケーションは、コンテンツが混合した Web マップの使用をサポートしていないため、この設定により、さまざまなマップ ビューアでユーザの操作環境が損なわれるおそれがあります。ArcGIS Explorer Online および他の Microsoft Silverlight アプリケーションは混合コンテンツをサポートしていません。たとえば、SSL 組織のメンバーとして ArcGIS Explorer Online で Web マップを開こうとする際に、そのマップに HTTP レイヤが含まれている場合、それらのレイヤは破損した状態で表示されることがあります。SSL の詳細については、「ホストされたサービスのセキュリティ」をご参照ください。

  6. ユーザの組織の URL への匿名アクセスを許可するためのチェックボックスをオンにします。

    オフのままの場合、匿名ユーザは組織のプライベート URL を使用してリソースにアクセスできません。匿名アクセスを有効にした場合(チェックボックスをオンにした場合)は、サイト構成で選択したグループがパブリックに共有されていることを確認してください。パブリックに共有されていない場合、匿名ユーザは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。サイト構成グループの設定の詳細については、「組織サイトの管理について」をご参照ください。

  7. [共有と検索] では、メンバーが外部にあるコンテンツを共有できるように指定する場合や、メンバーが外部にあるコンテンツを検索する場合にチェックボックスをオンにします。

    組織内のみで共有するようにメンバーを制限する場合、メンバーは Web サイト内に Web マップやグループを埋め込んだり、パブリックの Web アプリケーションやその他のアイテムを共有することはできません。ただし、管理者はメンバーのアイテムをパブリックで共有することができます。たとえば、管理者はメンバーの Web マップをパブリックにして、Web サイト内に埋め込むことができます。

    組織サイトへの匿名アクセスを無効にしている場合、Web マップ、アプリケーション、およびグループを共有するには、アイテムをすべてのユーザ(パブリック)で共有することで、アイテムの URL を組織のプライベート URL からパブリックの ArcGIS Online URL(www.arcgis.com)に変更します。たとえば、組織の Web マップの 1 つを匿名ユーザと共有するには、URL を http://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 から http://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 に変更します。

    組織外のアイテムをメンバーが共有できないように制限している場合、ユーザおよび公開者には、コンテンツやグループをすべてのユーザ(パブリック)と共有するオプションが表示されません。また一方で、管理者は組織内のアイテムをパブリックに共有することができます。

  8. エンタープライズ ログインを設定します。
  9. [保存] をクリックして、行った変更を保存します。

エンタープライズ ログインの設定

ベータベータ:

ArcGIS Online ベータ版の強化機能は組織向けアカウントを持つすべての ArcGIS Online ユーザが利用できます。これらはサイトの安定したコンポーネントですが、不完全な機能やドキュメントが含まれていたり、小さな問題点が残っていたりする可能性があります。

初期ベータ版では、ユーザが自動的に加入するのが唯一のオプションであることに注意してください。つまり、ID プロバイダ内のアカウントを持つすべてのユーザが、各自のエンタープライズ ログインを使用して組織サイトにサイン インすることによって、ArcGIS Online の組織サイトに自動的に加入できます。最終的なリリースでは、組織サイトの管理者は、ArcGIS Online の組織に明示的に招待されたユーザのみにメンバーシップを制限できるようになります。

いずれかのベータ機能で問題が発生した場合は、Esri テクニカル サポートまでご連絡いただくか、ArcGIS Online フォーラムにアクセスしてください。

エンタープライズ ログインを設定することで、組織サイトのユーザはエンタープライズ情報システムにアクセスするときと同じログインを使用して ArcGIS Online にログインが可能になります。これを実現するための方法は、SAML Web シングル サインオンと呼ばれます。この方法を使用してエンタープライズ ログインを設定するメリットは、ユーザが ArcGIS Online システム内で追加のログインを作成する必要がなくなるということです。代わりにユーザは、エンタープライズ内で設定済みのログインを使用します。ユーザは、ArcGIS Online にログインすると、エンタープライズ内のログイン ページにリダイレクトされます。ユーザは、エンタープライズのログイン マネージャ(エンタープライズ ID プロバイダとも呼ばれる)に、自分のエンタープライズ ユーザ名とパスワードを直接入力します。ユーザのログインの検証時に、エンタープライズ ID プロバイダは、ログインしようとするユーザの検証済み ID を ArcGIS Online に知らせます。

ArcGIS Online では、エンタープライズ ログインの設定に SAML 2.0 がサポートされています。設定に必要なパラメータを取得するには、エンタープライズ ID プロバイダの管理者に連絡する必要があります(以降の手順で説明)。たとえば、組織で Microsoft Active Directory を使用している場合、エンタープライズ ID プロバイダ側で SAML を設定または有効化し、ArcGIS Online 側での設定に必要なパラメータを取得するための連絡先は、Microsoft Active Directory を担当する管理者になります。

SAML とは?

SAML(Security Assertion Markup Language)は、ID プロバイダ(組織)とサービス プロバイダ(この場合は ArcGIS Online)との間で認証/認可データを安全に交換するためのオープン規格です。ArcGIS Online は SAML 2.0 に準拠し、SAML 2 Web シングル サインオンをサポートする ID プロバイダと一体化しています。

エンタープライズ ID プロバイダでのフェデレーションの設定

ID プロバイダを設定するには、以下の手順に従います。

手順:
  1. [エンタープライズ ログイン] セクションで、[ID プロバイダの設定] ボタンをクリックし、表示されるウィンドウに組織名を入力します。
  2. ユーザがエンタープライズ ログインを使用して ArcGIS Online の組織サイトに加入する方法を選択します
    • 初期ベータ版では、ユーザが自動的に加入するのが唯一のオプションです。つまり、ID プロバイダ内のアカウントを持つすべてのユーザが、各自のエンタープライズ ログインを使用して組織サイトにサイン インすることによって、ArcGIS Online の組織サイトに自動的に加入できます。
    • 最終的なリリースでは、組織サイトの管理者は、ArcGIS Online の組織に明示的に招待されたユーザのみにメンバーシップを制限できるようになります。
    • デフォルトでは、エンタープライズ ログイン アカウントを使用して ArcGIS Online に加入しているすべてのユーザは、ユーザ権限を付与されて組織サイトに追加されます。管理者は、ArcGIS Online 内の各ユーザの権限レベルを、公開者または管理者に変更できます。
      注意注意:

      初期ベータ版では、フェデレーションを設定すると、エンタープライズ ログインを持つすべてのユーザが組織サイトにサイン インが可能になることに注意してください。最終的なリリースでは、組織サイトの管理者は、ArcGIS Online の組織に明示的に招待されたユーザのみにメンバーシップを制限できるようになります。

  3. SAML に準拠するエンタープライズ ID プロバイダに関するメタデータ情報とともに、ArcGIS Online を提供します。

    これを実行するには、ArcGIS Online がアクセスし、SAML に準拠するエンタープライズ ID プロバイダに関するメタデータ情報を取得するためのソースを指定します。提供するメタデータ情報のソースを確認するには、ID プロバイダの管理者に連絡してください。この情報のソースとして、次の 3 つを指定できます。

    • URL - ID プロバイダに関するメタデータ情報を返す URL を入力します。
    • ファイル - ID プロバイダに関するメタデータ情報を含むファイルをアップロードします。
    • パラメータ - 以下のパラメータを指定することによって、ID プロバイダに関するメタデータ情報を直接入力します。

      ログイン URL - ユーザのログインを許可するために ArcGIS Online が使用する URL を入力します。

      HTTP リダイレクトまたは HTTP ポスト - ID プロバイダに HTTP を使用して接続するかリダイレクトによって接続するかを選択します。

      X.509 証明書 - エンタープライズ ID プロバイダの証明書を表すローカル ファイルを参照します。これは、エンタープライズ ID プロバイダから送信された暗号化 SAML レスポンスを、ArcGIS Online が復号化できるようにする証明書です。

  4. ID プロバイダに関する追加のオプション情報を提供するには、[高度な設定] リンクを使用します。
    • ログアウト URL - ArcGIS Online でユーザが組織サイトからログアウトする際に使用されるログアウト URL を設定します。
    • ユーザ ID の属性 - ID プロバイダからの SAML レスポンスのユーザ ID 属性を入力します。これは、ArcGIS Online で、ユーザのサイン インのユーザ名を取得するために使用されます。これを設定しない場合、ArcGIS Online は、このプロパティにデフォルトの属性名(Subject/NameID)を使用します。
  5. フェデレーション プロセスを完了し、信頼を確立するには、サービス プロバイダ(ArcGIS Online)に対応するメタデータ ファイルをダウンロードし、それをエンタープライズ ID プロバイダに登録する必要があります。[サービス プロバイダの取得] ボタンを使用して、このファイルをダウンロードします。

登録済みエンタープライズ ID プロバイダの変更

[ID プロバイダの削除] ボタンを使用して、現在登録されている ID プロバイダを削除できます。このボタンは、ID プロバイダを設定した場合にのみ有効化されます。ID プロバイダを削除したら、必要に応じて新しい ID プロバイダを設定できます。

Copyright © 1995-2013 Esri.無断複写・転載を禁じます。
4/12/2013