ロールの管理
ロール(グループ)を使用すると、複数のユーザに対して権限を一度に割り当てることができます。これにより、通常はサイトのセキュリティが管理しやすくなります。
ロールを表示および変更するには、Manager の [セキュリティ] タブをクリックし、[ロール] リンクをクリックします。これにより、GIS サーバで利用可能なロールのリストが表示されます。
ロール名の左側にある [+] 記号をクリックすると、ロールのメンバを表示することができます。[+] 記号をクリックするとロールの表示が展開され、そのロールに属しているユーザのスクロール リストが表示されます。
ロールを SQL Server データベースに格納している場合は、ロールを追加、編集、削除するためのオプションが表示されます。ロールに Windows グループを使用している場合、この表示は読み取り専用です。Windows グループとして格納されているロールの管理については、システム管理者に設定してもらうことができます。カスタム プロバイダを使用している場合は、カスタム プロバイダがロールの編集に必要な .NET API メソッドを実装していれば、Manager でロールを編集できることがあります。Manager でロールを編集できない場合は、プロバイダのツールを使ってロールを管理します。
ArcGIS Server Manager 内で管理されるロールは、個々のユーザのみを含み、他のロールを含んでいないことがあります。Manager 以外の場所で管理されるロールは、ロールをネストできることがありますが、それらのロールのプロバイダのツールを使用しなければなりません。たとえば、Windows グループは他のグループを含むことができます。
注意:ロール ストアが Windows グループである場合、グループ メンバーシップの変更を反映させるためには、一度ログアウトして再びログインする必要があります。たとえば、UtilityManagers に SallyB を追加した場合、SallyB のアカウント情報を使って UtilityManagers グループに許可されたサービスにアクセスするには、一度ログアウトして再びログインしなければなりません。
ロールの追加
ロールが SQL Server に格納されている場合は、Manager を使ってロールの追加や変更を行うことができます。カスタム プロバイダによっては、Manager でのロールの追加をサポートしていることがあります。新しいロールを追加するには、Manager の [セキュリティ] タブの [ロール] パネルで [ロールの追加] をクリックします。これにより、ロールを追加するためのダイアログ ボックスが表示されます。このダイアログ ボックスでは、次の情報を設定することができます。
- ロール名(必須)
- ロールのメンバ
ロール名にカンマ(,)またはセミコロン(;)を使用することはできません。ロール プロバイダによっては、他の特殊文字も使用できないことがあります。ロールを追加しようとしてエラーが発生した場合は、特殊文字を使用せずにもう一度試してください。
ロールにユーザを追加するには、[検索] ボックスを使用して、マッチするユーザのリストを [利用可能なユーザ] ボックスに表示します。ユーザ名の最初の 1 ~ 2 文字を入力して [検索] をクリックします。または、[すべて] をクリックして、ユーザ ストア内のすべてのユーザを取得します(特に大規模な組織の Active Directory では、これにより非常に長いリストが生成されることがあります)。ユーザが [利用可能なユーザ] ボックスに表示されたら、1 人以上のユーザを選択して [追加] をクリックし、[ロール メンバ] ボックスに追加します。メンバをクリックして選択し、[削除] をクリックすれば、メンバを削除することもできます。どちらのボックスでも、Ctrl キーまたは Shift キーを使用して、複数のユーザを選択することができます。
ロール名を定義し、ユーザを追加したら、[ロールの追加] をクリックしてロールを追加した後、[ロール] パネルに戻ります。
ロールの変更
[ロール] パネルのリストで [編集](鉛筆)アイコンをクリックすると、ロールに属しているメンバを変更することができます。[編集] アイコンをクリックすると、ロールを追加する場合とほぼ同じダイアログ ボックスが表示されます。ただし、ロール名を変更することはできません。[保存] ボタンをクリックして、ロールの変更を保存します。
ロールの削除
ロールを削除するには、ロールの名前の横にある [削除] アイコン(X の付いた赤い円)をクリックします。ロールの削除を確認するダイアログ ボックスが表示されます。ロールにユーザが含まれている場合は、ロールを削除できないことに注意してください。ロールを削除する前に、ロールからすべてのユーザを削除します。
ロールを削除しても、サービスまたは Web アプリケーションの権限リストからそのロールは削除されません。必要に応じて、サービス(フォルダを含む)または Web アプリケーションの権限リストからロールを削除することができます。詳細については、「サービスへのインターネット接続のセキュリティ」および「Web アプリケーションのセキュリティ」をご参照ください。
Anonymous、Everyone、Authenticated ロール
これらの特別なロールは、Microsoft SQL Server またはカスタム プロバイダにロールを格納するときに追加できます。Anonymous ロールを使用すると、(トークンを通じて)アカウント情報を提供しないユーザに 1 つ以上の GIS Web サービスを公開することができます。Authenticated users ロールを使用すると、(トークンを通じて)正しいアカウント情報を提供するユーザにサービスへのアクセスを許可することができます。Everyone ロールを使用すると、認証されているかどうかに関係なく、すべてのユーザがサービスにアクセスできるようになります。これらの特別なロールが存在する場合、実際には、ロールにユーザは追加されていません。
ロールに Microsoft SQL Server を使用するときに特殊なロールを追加するには、「SQL Server でのユーザとロールの設定」で説明しているように、セキュリティのセットアップ ウィザードを使用します。これらのロールをデータベースに追加するためのオプションを必ずチェックしてください。
カスタム プロバイダを使用するときにこれらのロールを追加するには、新しいロールを追加するための、プロバイダと互換性のあるツールを使用する必要があります。プロバイダのロールの名前は Anonymous でなく、以下の文字を使用します。
- Anonymous: ? という名前のロールを追加します。
- Everyone: * という名前のロールを追加します。
- Authenticated users: @ という名前のロールを追加します。
Manager は、? という名前のロールに対する Anonymous など、ロールに対して適切な名前を表示します。特殊文字を使用する方法は、サーバで複数の言語をサポートするために使用されていました。カスタム プロバイダにロールを追加する際には、ロールにユーザを追加しないでください。
これらの特殊なロールは、Windows ユーザを使用する場合にはサポートされません。これは、Windows 認証を使ってユーザのアカウント情報を取得するには、IIS Web サーバが ArcGIS Web サービスへの匿名アクセスを拒否するように設定されていなければならないためです。したがって、GIS Web サービスをリクエストするユーザ全員が、有効な Windows ユーザのアカウント情報を提供しなければなりません。