統合 Windows 認証による Web サービスのセキュリティ保護

このチュートリアルでは、統合 Windows 認証を使用して ArcGIS Web サービスをセキュリティで保護する方法を示しています。統合 Windows 認証では、Microsoft Windows Active Directory サーバを使用してユーザとロールを管理する必要があります。GIS ユーザがネットワーク上ですでに取得しているアカウントを利用できるようにしたい場合は、この方法が便利です。

ユーザが Windows ドメイン アカウントを持っており、ローカル ネットワークを使用してサービスにアクセスする場合は、統合 Windows 認証を使用できます。

ログオン設定により、Active Directory がホストされているコンピュータへのログイン権限が拒否される場合は、セキュリティの構成中にエラーが発生します。ユーザに [ローカル ログオン] グループ ポリシー設定を付与する必要はありません。詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。

注意注意:

統合 Windows 認証はインターネット経由ではサポートされていません。統合 Windows 認証には、ArcGIS Web Adaptor (IIS) のインストールと構成が必要です。ArcGIS Web Adaptor が認証を実行し、ArcGIS Server が Web サービスへのアクセスを許可します。

統合 Windows 認証を使用して ArcGIS Web サービスをセキュリティで保護するには、次のステップに従います。

  1. ArcGIS Web Adaptor (IIS) の構成による Windows 認証の使用
  2. ArcGIS Server の構成による Windows Active Directory ユーザとロールの使用
  3. ユーザとロールの確認
  4. Active Directory ユーザに対する管理者と公開者の権限の構成
  5. サービスの権限の設定
  6. セキュリティで保護されたサービスへのテスト アクセス

ArcGIS Web Adaptor (IIS) の構成による Windows 認証の使用

Windows Active Directory サーバのユーザとロールを活用するようにサービスを構成したら、ArcGIS Web Adaptor (IIS) をインストールして構成し、認証方法として Windows 認証を使用するように IIS を構成する必要があります。

手順:
  1. ArcGIS Web Adaptor (IIS) のインストール」の手順に従って、ArcGIS Web Adaptor をインストールします。
  2. インストール後の ArcGIS Web Adaptor の構成」の手順に従って ArcGIS Web Adaptor を構成します。
  3. IIS Manager を使用して、ArcGIS Web Adaptor の認証方式を設定します。
    1. IIS Manager を開くには、[スタート] [コントロール パネル] [管理ツール] [インターネット インフォメーション サービス(IIS)マネージャ] の順にクリックします。
    2. IIS マネージャの左側のパネルで、[サイト] を展開します。[既定の Web サイト] を展開して、ArcGIS Web Adaptor (IIS) アプリケーションを見つけます。デフォルトでは、ArcGIS Web Adaptor (IIS) の名前は arcgis です。
    3. ArcGIS Web Adaptor の認証プロパティを編集します。[匿名] 認証の選択を解除し、[Windows 認証] を選択します。
    4. IIS マネージャを閉じます。

ArcGIS Server セキュリティの構成による Windows Active Directory ユーザとロールの使用

統合 Windows 認証をサポートするには、ArcGIS Server を構成して Windows Active Directory サーバからユーザとロールを取得します。

手順:
  1. ArcGIS Server Manager を開いて、プライマリ サイト管理者、または管理者アクセス権を持つユーザとしてログインします。この手順の詳細については、「ArcGIS Server Manager へのログイン」をご参照ください。
  2. [セキュリティ] [設定] の順にクリックします。
  3. [構成設定] の横にある [編集] ボタン 編集 をクリックします。
  4. [ユーザとロールの管理] ページで、[既存のエンタープライズ システムのユーザとロール(LDAP または Windows ドメイン)] オプションを選択し、[次へ] をクリックします。
  5. [エンタープライズ ストア タイプ] ページで、[Windows ドメイン] オプションを選択し、[次へ] をクリックします。
  6. [Windows ドメインの認証情報] ページで、ユーザが属するグループを決定する権限を持つアカウントの認証情報を入力し、[次へ] をクリックします。
    注意注意:

    有効期限のないパスワードを使用してアカウントを指定することをお勧めします。有効期限があると、アカウントのパスワードを変更するたびに、このセクションの手順を繰り返し実行する必要があります。

  7. [認証層] ページで、[Web 層] を選択します。
  8. 選択の概要を確認します。[完了] をクリックしてセキュリティ構成を適用し、保存します。

ユーザとロールの確認

ユーザとロールのストアとして Windows Active Directory ドメインを構成した後、ユーザとロールを確認してこれらが正しく取得されたことを確認します。ユーザとロールを追加、編集、または削除するには、Active Directory サーバで使用可能なツールを使用する必要があります。

手順:
  1. ArcGIS Server Manager で [セキュリティ] [ユーザ] の順にクリックします。
  2. ユーザが Windows ドメイン サーバから想定どおりに取得されたことを確認します。Active Directory に複数のドメインがある場合、GIS サーバ コンピュータが属しているドメインからのユーザが表示されます。他のドメインからのユーザを表示するには、[ユーザの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索]検索 ボタンをクリックします。
  3. [ロール] をクリックして、Windows ドメイン サーバから取得したロールを確認します。Active Directory に複数のドメインがある場合、GIS サーバ コンピュータが属しているドメインからのロールが表示されます。他のドメインからのロールを表示するには、[ユーザの検索] フィールドに検索文字列「[ドメイン名]\」を入力し、[検索]検索 ボタンをクリックします。
  4. ロールが想定どおりに取得されたことを確認します。

Active Directory ユーザに対する管理者と公開者の権限の構成

標準の ArcGIS Server では、プライマリ サイト管理者だけがサーバにアクセスできます。Active Directory ユーザを使用して ArcGIS Server の管理とサービスの公開を行う場合は、次の手順に従う必要があります。

手順:
  1. ArcGIS Server Manager で、[セキュリティ] タブをクリックし、[ユーザ] ページを開きます。
  2. [ユーザの検索] ツールを使用して、管理者または公開者の権限を割り当てるユーザを検索します。このユーザが属しているロールを確認し、管理者または公開者の権限が割り当てられるロールを選択します。
  3. [ロール] ページを開き、[ロールの検索] ツールを使用して、前の手順で選択したロールを検索します。
  4. ロールの横にある [編集]編集 ボタンをクリックします。
  5. [ロール タイプ] パラメータに対して、[公開者] または [管理者] のいずれかを選択します。
  6. [保存] をクリックして、変更内容を適用します。

ArcGIS Web サービスの権限の設定

セキュリティ設定を構成し、ユーザとロールを定義したら、サービスの権限を設定してサービスにアクセスできるユーザを制御することができます。

ArcGIS Server は、ロール ベースのアクセス制御モデルを使用して、サーバでホストされる GIS Web サービスへのアクセスを制御します。ロール ベースのアクセス制御モデルでは、セキュリティで保護されたサービスにアクセスする権限はそのサービスにロールを割り当てることにより制御されます。セキュリティで保護されたサービスを利用するには、アクセスできる権限を割り当てられたロールのメンバーである必要があります。

権限は、個々の Web サービスに、またはサービスのグループが含まれる親フォルダに割り当てることができます。フォルダに権限を割り当てた場合、フォルダ内のサービスはフォルダの権限を継承します。たとえば、サイト(ルート)フォルダへのアクセス権限をロールに付与すると、そのロールに属するユーザにはそのサイトにホストされたすべてのサービスへのアクセス権限が付与されます。また、親フォルダからサービスにより自動的に継承された権限を無効にするには、サービスを編集して継承された権限を明示的に削除することができます。

サービスの権限については、「Manager での権限の編集」をご参照ください。

注意注意:

統合 Windows 認証を使用して ArcGIS Server Manager を参照する場合、[サイン アウト] リンクは表示されません。これは、Web ブラウザを実行しているユーザが、オペレーティング システムによって自動的にログインしているためです。ブラウザを別のユーザとして実行するには、Windows の [Run as] コマンド オプションを使用します。これを実行するには、[スタート] メニューでプログラムのショートカットを特定し、Shift キーを押したままプログラムを右クリックし、[別のユーザとして実行] を選択します。

セキュリティで保護されたサービスへのアクセスのテスト

設定をテストするには、サービスを含んでいるルート(サイト)フォルダにアクセスできる Windows ドメイン ユーザ アカウントを特定します。このユーザ アカウントを使用して Windows にログインし、Web ブラウザを開き、次の ArcGIS Server WSDL にアクセスします。

http://webadaptor.domain.com/arcgis/services?wsdl

同様に、Services Directory を表示して、次の安全なサービスへのアクセスを確認することもできます。

http://webadaptor.domain.com/arcgis/rest/services

注意注意:

統合 Windows 認証を使用して Services Directory を参照する場合、[ログアウト] リンクは表示されません。これは、Web ブラウザを実行しているユーザが、オペレーティング システムによって自動的にログインしているためです。ブラウザを別のユーザとして実行するには、Windows の [Run as] コマンド オプションを使用します。これを実行するには、[スタート] メニューでプログラムのショートカットを特定し、Shift キーを押したままプログラムを右クリックし、[別のユーザとして実行] を選択します。

ルート フォルダにアクセスできる Windows ドメイン ユーザを特定するには、次の手順に従います。

手順:
  1. ArcGIS Server Manager にログインし、[サービス] をクリックします。
  2. サイト(ルート)フォルダの横にある [ロック] ボタン ロック をクリックして、このフォルダにアクセスできる権限を付与されたロールを特定します。アクセスできるロールがない場合は、[ロールの追加]ロールの追加 をクリックして、少なくとも 1 つのロールにアクセス権を付与します。
  3. [セキュリティ] [ロール] の順にクリックし、ルート フォルダにアクセスできるロールの [編集]編集 ボタンをクリックします。
  4. このロールのメンバーであるユーザのリストを表示します。
5/20/2014