ポータルへのアクセスの管理
注意:このトピックは、10.2.1 以降のバージョンにのみ適用されます。
Portal for ArcGIS を配置しようとする際の重要な作業の 1 つは、ポータルにアクセスするアカウントの管理方法と、それらのアカウントに付与する権限を決定することです。アカウントの管理方法の決定とは、アイデンティティ ストアを選択するということです。
アイデンティティ ストアの理解
ポータルのアイデンティティ ストアは、ポータル アカウントの認証情報を保存する場所と、認証がどのように発生するかを定義します。Portal for ArcGIS は、組み込みとエンタープライズという 2 種類のアイデンティティ ストアをサポートしています。
組み込みアイデンティティ ストア
Portal for ArcGIS は、ポータルで簡単にアカウントを作成できるように、事前に構成されています。ポータル Web サイトのホーム ページで [アカウントの作成] リンクを使用して、組み込みアカウントをポータルに追加し、組織サイトへのコンテンツの提供や、他のメンバーが作成したリソースへのアクセスを行うことができます。この方法でポータルのアカウントを作成した場合、組み込みアイデンティティ ストアを利用することになります。このストアには、ポータル アカウントのユーザ名、パスワード、およびロールが保存されます。
ポータルの初期管理者アカウントを作成するには、組み込みアイデンティティ ストアを使用する必要があります。ただし、後でエンタープライズ アイデンティティ ストアに切り替えることができます。組み込みアイデンティティ ストアは、ポータルを起動して実行する場合に利用され、開発やテストを行う場合にも役立ちます。ただし、通常、運用環境では、エンタープライズ アイデンティティ ストアが利用されます。
エンタープライズ アイデンティティ ストア
Portal for ArcGIS は、エンタープライズ ログインを使用して ArcGIS 組織サイトへのアクセスを制御できるように設計されています。たとえば、Windows Active Directory または LDAP ストアの認証情報を使用して、ポータルへのアクセスを制御できます。エンタープライズ アイデンティティ ストアを使用することによって、アカウント認証情報の管理と認証プロセスが、完全に Portal for ArcGIS の外部で行われるようになります。
たとえば、組織でパスワードの有効期限と複雑度のポリシーを設定したり、統合 Windows 認証(IWA)や PKI の認証を利用したりする場合、エンタープライズ アイデンティティ ストアを使用する必要があります。エンタープライズ アイデンティティ ストアを使用する最大のメリットは、組織がログイン情報を 1 つのリポジトリで集中管理し、それをポータルで使用して、アカウントの重複が発生しないようにできることです。
エンタープライズ ログインを使用してポータルにアクセスすることは、別のユーザ名とパスワードを覚える必要がないため、エンド ユーザにとっても非常に簡単です。エンタープライズ アイデンティティ ストアを使用してポータルを構成するときに、シングル サインオン機能を有効化できます。これによって、ユーザは認証情報を再び入力しなくても済むようになります。
Portal for ArcGIS は、Windows Active Directory と LDAP に対してエンタープライズ アイデンティティ ストアをサポートします。詳細については、「ポータルでの統合 Windouws 認証の使用」または「LDAP および Web 層認証でのポータルの使用」をご参照ください。
アクセス権限の理解
Portal for ArcGIS でのアカウントの認証情報と認証の管理方法を決定したら、ArcGIS 組織サイトにアクセスするユーザに付与する権限を決定する必要があります。権限は、ポータルにアクセスするユーザが ArcGIS 組織サイトに所属するかどうかによって定義されます。ArcGIS 組織アカウントを使用しないでポータルにアクセスしたユーザは、パブリック アイテムの検索と使用のみを行うことができます。たとえば、パブリック Web マップが Web サイトに埋め込まれている場合、そのマップを参照するユーザは、アカウントを持っていない場合でも、ポータルのアイテムにアクセスできます。
このタイプのアクセスを有効にするかどうかは、ArcGIS 管理者に任されています。すでに ArcGIS 組織サイトに所属していないユーザのアクセスを、常に無効にすることができます。この方法については、「匿名アクセスの無効化」をご参照ください。
ユーザは、ArcGIS 組織サイトのメンバーである場合、上位の権限を使用してポータルにアクセスできます。ArcGIS 組織サイトの各メンバーは、ポータル Web サイトの [組織] タブに一覧表示されます。以下の表に、各権限のレベルを示します。
|
ArcGIS 組織アカウントを使用しないアクセス |
ArcGIS 組織アカウントを使用したアクセス | |||
|---|---|---|---|---|
|
ユーザ ロール |
公開者ロール |
管理者ロール |
||
|
パブリック アイテム(Web マップや Web アプリケーションなど)の検索と使用 |
あり |
あり |
あり |
あり |
|
プライベート アイテム(Web マップや Web アプリケーションなど)の検索と使用 |
なし |
あり |
あり |
あり |
|
アイテム(Web マップや Web アプリケーションなど)の作成と共有 |
なし |
あり |
あり |
あり |
|
Collector for ArcGIS、Esri Maps for Office、または Operations Dashboard for ArcGIS アプリケーションの使用 |
なし |
あり |
あり |
あり |
|
タイル サービスまたはフィーチャ サービスとしての新規コンテンツの公開 |
なし |
なし |
あり |
あり |
|
他のユーザが作成したアイテムの管理 |
なし |
なし |
なし |
あり |
|
ユーザおよびユーザの権限の管理 |
なし |
なし |
なし |
あり |
|
ArcGIS 組織サイトの管理 |
なし |
なし |
なし |
あり |
ArcGIS 組織サイトの新しいアカウントをポータルに追加した場合、デフォルトでは、ユーザ ロールがそのアカウントに付与されます。ただし、ポータルの管理者は、このロールをいつでも変更できます。詳細については、「ユーザのロールの管理」をご参照ください。
ArcGIS 組織アカウントの管理
ArcGIS 組織アカウントは、ポータル Web サイトの組織パネルに追加されているユーザ アカウントです。これらのユーザは、ドキュメントおよびポータル Web サイトのユーザ操作を通じて、通常は組織サイトのメンバーと呼ばれます。
管理者の重要な役割は、ArcGIS 組織サイトの各メンバーに付与する権限だけでなく、誰が組織サイトのメンバーになれるかについても、完全に管理することです。
ポータルでの、ArcGIS 組織アカウントの最大数は、ソフトウェアのアクティベートに使用した認証ファイルで定義されます。ポータル Web サイトの [組織] タブで、組織サイトのメンバーの総数と許可されている最大数を、いつでも比較できます。
![[組織] ページに一覧表示された全メンバーシップ](017s/GUID-69802A36-72DE-4C5F-A6CB-5B8FE98812C5-web.png "[組織] ページに一覧表示された全メンバーシップ")
組み込みストアを使用する場合のアカウントの管理
組み込みストアを使用した場合、ポータル Web サイトには、デフォルトで、どのユーザも ArcGIS 組織サイトへの加入に使用できるリンクが表示されます。これによって、組織サイトへのユーザの加入は簡単になりますが、実際には、加入するユーザを制限できません。ポータルへのアクセス権限を持つユーザであれば、誰でもアカウントを作成できます。ユーザの加入を詳細に制御したい場合は、セルフサービス機能を無効にし、事前に定義したアカウント数を使用して、ポータルをまとめてプロビジョニングします。ArcGIS 組織アカウントをまとめて作成する手順については、「ポータルへのメンバーの追加」をご参照ください。いつでも、ポータル Web サイトからメンバーを削除したり、メンバーの権限を変更したりできます。
エンタープライズ アイデンティティ ストアを使用する場合のアカウントの管理
Portal for ArcGIS では、エンタープライズ ストアのアカウントを削除、編集、または新規作成することはできませんが、既存のエンタープライズ アカウントを組織サイトに登録することはできます。このため、エンタープライズ アイデンティティ ストアを使用してポータルを構成すると、ポータル Web サイトのサインアップ ページは使用できなくなります。
管理者は、通常、組織サイトに追加するエンタープライズ ログインを選択し、それらをまとめて追加します。ArcGIS 組織アカウントをまとめて作成する手順については、「ポータルへのメンバーの追加」をご参照ください。いつでも、ポータル Web サイトからメンバーを削除したり、メンバーの権限を変更したりできます。
あるいは、ポータルまたはポータルのいずれかのアイテムに接続したすべてのエンタープライズ アカウントを、自動的に追加するようにできます。詳細については、「エンタープライズ アカウントの自動登録」をご参照ください。
エンタープライズ アイデンティティ ストアを使用してポータルを構成した場合、ArcGIS 組織サイトへの匿名アクセスが無効化されるということを理解することが重要になります。つまり、ポータルにアクセスするどのユーザも、最初にエンタープライズ ストアに対して認証する必要があるということです。認証が行われると、ユーザが ArcGIS 組織アカウントを持っているかどうかによって、ユーザの権限が決定されます。
注意:Portal for ArcGIS 10.2.1 を 10.2.2 にアップグレードすると、自動アカウント作成を有効または無効にする設定は維持されません。アップグレード後に、自動アカウント作成は無効化されます。これは意図した挙動ではなく、今後のソフトウェア リリースで対策される予定です。10.2.1 で自動アカウント作成を有効化していた場合、10.2.2 にアップグレードした直後にこの設定を再び有効化することで、この問題を解決できます。詳細な手順については、「エンタープライズ アカウントの自動登録」をご参照ください。
レガシー:Portal for ArcGIS 10.2 では、エンタープライズ アカウントは、組織サイトのメンバーとして自動的に登録されていました。つまり、組織サイトのメンバー数が、意図せずに最大メンバー数を超えてしまう場合があるこということです。Portal for ArcGIS 10.2 を 10.2.2 にアップグレードした場合、この従来の動作が引き継がれ、アカウントはデフォルトで自動的に登録されます。これとは反対に、Portal for ArcGIS 10.2.1 または 10.2.2 を新規インストールした場合、アカウントの自動作成は許可されません。ポータルを 10.2 から 10.2.2 にアップグレードする場合、メンバーとして組織サイトに追加されるユーザを詳細に制御するために、この動作をオフにすることを検討してください。詳細な手順については、「エンタープライズ アカウントの自動登録」をご参照ください。