インターネット セキュリティの概要

ArcGIS Server を使用して、Web アプリケーションと Web サービスをセキュリティで保護することができます。このセクションでは、アプリケーションやサービスへのアクセスを認証されたユーザに制限する方法を中心に説明します。当然ながら、ArcGIS Server がデータ アクセスに使用するアカウント、サーバ上で実行されるコードのセキュリティ、設備の物理的なセキュリティなど、ArcGIS Server システムに適用されるセキュリティ問題は他にもあります。ArcGIS Server のセキュリティに関する詳細については、「セキュリティの実装方法」をご参照ください。

ArcGIS Server を使用して、Web サービスと Web アプリケーションのセキュリティを管理することができます。セキュリティに関する以下の重要なタスクを実行する必要があります。

このあとの「ArcGIS Server サービスの一般的なセキュリティ設定」では、オプションがまとめられています。これらのタスクのほとんどに ArcGIS Server Manager を使用することができます。これらの詳細は、このトピックの各セクションをご参照ください。「インターネット セキュリティのチェックリスト」も、サービスとアプリケーションのセキュリティ実装のガイドとして役立ちます。

ユーザおよびロールの管理の定義

どんなアクセス制御の仕組みでも基本となる構成要素は、ユーザ認証機能です。どんな認証の仕組みでも、ユーザの情報とその属するロールをシステムのどこかに一元的に保管する必要があります。ASP.NET アプリケーションでは、オペレーティング システムまたは ASP.NET メンバーシップ プロバイダを使用して、セキュリティ情報の保管と管理ができます。ArcGIS Server では、ASP.NET に用意されたこれら 2 つのユーザ ストア オプションを利用しています。

ユーザ情報をどこに保管するかという判断は、アプリケーションとサービスの利用者に大きく左右されます。たとえば、ほぼイントラネットのアプリケーションを構築する場合は、オペレーティング システムで利用できる既存のユーザとグループを活用して、アプリケーションにアクセス権を付与することができます。同様に、インターネット アプリケーションを作成していて、Web ユーザをアクティブ ディレクトリのユーザにしたくない場合は、ユーザ情報を ASP.NET メンバーシップ プロバイダに保管することができます。ユーザとロールの設定の詳細については、「ユーザとロールの設定の概要」をご参照ください。

ArcGIS Server では、ArcGIS Server Manager を使用するだけで、Microsoft SQL Server の ASP.NET メンバーシップ プロバイダを簡単に設定できます。ただし、ASP.NET メンバーシップ フレームワークは非常に柔軟で、他のデータベースや XML ファイル、Active Directory、LDAP などを対象としたさまざまなカスタム プロバイダもサポートできます。システムでいったん設定すると、ArcGIS Server でカスタム プロバイダを使用するように設定できます。

以下のリンクで、ユーザとロールの設定方法、および、各オプションの詳細が説明されています。

認証方式の選択

認証は、システムにアクセスしようとするユーザを識別するプロセスです。ユーザはシステムに対して認証を行うために、アカウント情報(通常はユーザ名とパスワード)を提供します。認証方式は、サーバがユーザのアイデンティティを検証する方法を決定します。

認証のオプションは、ユーザとロールの保管方法として何を選択したかによって変わります。

ユーザ ストア

認証

Windows オペレーティングシステム ユーザとグループ

IIS

ASP.NET メンバーシップ プロバイダ

ASP.NET

セキュリティ レベルの観点からも、認証方式はさまざまです。状況に適した認証方式を選択するためには、ドキュメントをよく読み、セキュリティ担当者に相談する必要があるでしょう。

ArcGIS Server for Microsoft .NET Framework では、次の認証方式を利用することができます。

必要であれば、複数の ArcGIS Server Web インスタンスを設定することにより、複数の認証方式をサポートすることができます。各インスタンスは同じ GIS サーバに関連付けられますが、異なる認証方式が設定されます。

認証方式のガイドラインについては、「ArcGIS Server サービスの一般的なセキュリティ設定」をご参照ください。「ユーザとロールの設定の概要」でも、認証方式に関する追加情報を提供しています。

SSL(Secure Sockets Layer)の実装

ユーザ ストアと認証方式の要件によっては、Web サーバの SSL 証明書を取得する必要があるかもしれません。SSL により、クライアントと Web サーバ間の通信を暗号化する HTTPS を使用することができます。一般に、HTTP 基本認証、トークンベース認証、またはフォームベース認証でユーザを認証する際には SSL が不可欠ですが、SSL は他の認証方式でもアカウント情報のセキュリティを強化することがあります。詳細については、「SSL の設定の詳細」をご参照ください。

サービスとアプリケーションの権限の設定

ユーザがサービスまたはアプリケーションにアクセスするためには、ユーザが属しているロールに対してサービスまたはアプリケーションの権限を追加しなければなりません。ArcGIS Server の権限はロールに基づいています。Manager で個々のユーザに権限を与えるのではなく、ロールに権限を与えることにより、サービス、サービス フォルダ、またはアプリケーションの権限を追加します。

Web サービスにセキュリティを適用すると、SOAP、REST、OGC(WMS)など、すべての形式の Web サービスにセキュリティが適用されます。Manager でロール(Planners など)にサービスへのアクセスを許可すると、そのロールに属するユーザは、そのサービスにおいて有効な SOAP、REST、OGC 方式を通じてサービスにアクセスできるようになります。Services Directory でもセキュリティ設定が自動的に適用されるため、ログインしているユーザにのみ、セキュリティで保護されたサービスのうちアクセスが許可されているサービスが表示されます。

詳細については、「サービスへのインターネット接続のセキュリティ」および「Web アプリケーションのセキュリティ」をご参照ください。

ArcGIS Server サービスの一般的なセキュリティ設定

次の表に、ArcGIS Server サービスの一般的なセキュリティ設定を示します。これは、サービスの設定方法と場所に関して、(1) サービスがイントラネット上で公開されるか、またはインターネット経由で公開されるか、(2) ユーザとロール ストアのタイプ、(3) 認証方式の 3 つの側面に基づいています。

特に明記されていない限り、どの設定でもすべてのクライアント(Web、JavaScript、ArcGIS Desktop、OGC、KML)がサポートされます。

ネットワーク ユーザ/ロール ストア 認証 注意

イントラネット

なし

該当なし

ArcGIS Server セキュリティは適用されません。ファイアウォールにより、サービス/アプリケーションは内部ユーザに制限されます。

Windows ドメイン ユーザ/ロール(グループ)

Windows 統合認証

HTTP 基本認証/ダイジェスト認証

JavaScript アプリケーションはプロキシ/リダイレクタを使用しなければいけません。

Windows ドメイン ユーザ、SQL Server ロール

Windows 統合認証

HTTP 基本認証/ダイジェスト認証

JavaScript アプリケーションはプロキシ/リダイレクタを使用しなければいけません。

インターネット

なし

該当なし

ArcGIS Server セキュリティは適用されません。すべてのユーザがすべてのサービスを利用できます。

Windows ユーザ/ロール

HTTP 基本認証/ダイジェスト認証

JavaScript アプリケーションはプロキシ/リダイレクタを使用しなければいけません。

Windows ユーザ、SQL Server ロール

2 つの ArcGIS Web インスタンス

(1 つは HTTP Basic/Digest、1 つはトークンベース)

HTTP 基本認証/ダイジェスト認証は SOAP、OGC、KML をサポートします。トークンベースは REST アクセスをサポートします。

SQL Server ユーザ/ロール

トークンベース

OGC または KML クライアントはサポートされません。

カスタム プロバイダ

トークンベース

OGC または KML クライアントはサポートされません。


3/6/2012