サービスへのインターネット接続のセキュリティ

Manager で Web アクセスを無効にする

ArcGIS Server Manager でサービスへの Web アクセスを無効にするには、次の手順に従います。これらの手順を実行する前に、サービスを停止する必要があります。

1. Manager で [サービス] タブをクリックします。
2. サービス リストから Web アクセスを無効にするサービスを選択し、[編集] リンクをクリックします。
3. [ケーパビリティ] タブをクリックします。
4. [Web アクセスの有効化] のチェックを外します。
5. [保存] をクリック。

ArcCatalog で Web アクセスを無効にする

ArcCatalog でサービスへの Web アクセスを無効にするには、次の手順に従います。これらの手順を実行する前に、サービスを停止する必要があります。

1. サーバへの管理者接続を作成します。詳細については、「ArcCatalog での ArcGIS Server への管理者接続の作成」をご参照ください。
2. Web アクセスを無効にしたいサービスを選択します。
3. サービスを右クリックし、[停止] をクリックします。
4. サービスを右クリックし、[Web アクセスを無効化] をクリックします。
5. サービスを右クリックし、[開始] をクリックします。

注意:

マップ サービスの場合、上記の方法では Mapping ケーパビリティの Web アクセスが無効になるだけです。[サービス プロパティ] ダイアログ ボックスの [ケーパビリティ] タブで、他のケーパビリティの Web アクセスを無効にすることができます。

サービスまたはフォルダの権限の設定

サービスまたはフォルダにアクセスできるユーザの権限を設定するには、次の手順に従います。

1. Manager の [サービス] タブをクリックし、サーバ上のサービスのリストを表示します。フォルダまたはフォルダ内のサービスの権限を設定する場合は、[場所] ドロップダウン リストを使用して、表示をフォルダに変更します。
2. サービスまたはフォルダの [権限] ダイアログ ボックスを開きます。
   • フォルダの権限を設定するには、[フォルダ管理] をクリックして、表示されたリストで [権限] をクリックします。
   • サービスの権限を設定するには、サービスの権限（鍵）アイコンをクリックします。
3. [権限] ダイアログ ボックスが表示されます。左側のリストには利用可能なロールが表示され、右側のボックスには現在アクセスが許可されているロールのリストが表示されます。
   • 1 つのサービスまたはフォルダ内の複数のサービスへのアクセスをロールに許可するには、利用可能なロールのリストでロールをクリックし、[追加] ボタンをクリックして、アクセスが許可されるロールのリストに追加します。

   • ロールのアクセスを削除するには、[許可するロール] リストでロールをクリックし、[削除] をクリックします。ロールが [利用可能なロール] リストへ移動します

     注意:

     ロールが削除されているか、現在のロール ストアに存在しない場合は、[権限] ダイアログ ボックスを再び表示したときに、そのロールは表示されません）。

4. 権限を設定したら、[保存] をクリックして変更を保存し、サービスに適用します。サービスへの変更を取りやめるには、[キャンセル] をクリックします。

Everyone、Authenticated Users、Anonymous ロールがユーザ ストアに追加されている場合は、それらをサービスやフォルダに追加することができます。それらが親フォルダから継承されている場合は、削除することもできます。Everyone ロールにアクセスが許可されている場合は、ログイン情報を入力するかどうかに関係なく、すべてのユーザがサービス（またはフォルダ内の複数のサービス）にアクセスすることができます。Everyone ロールにアクセスが許可されている場合、アクセスが許可されるロールのリストに他のロールを追加する必要はありません。Authenticated Users ロールにアクセスが許可されている場合は、ユーザ ストア内のすべてのユーザにアクセスが許可されます。こうした特別なロールの詳細については、ロール プロバイダ（SQL Server または カスタム プロバイダ）の「ユーザとロールの設定」をご参照ください。ロールが Windows グループである場合は、グループ メンバーシップをオペレーティング システムから判断しなければならないため、これらのロールは利用できません。

[権限] ダイアログ ボックスに次のメッセージが表示された場合、サービスのセキュリティはまだ有効になっていません。

「注意: GIS サービスのセキュリティが有効ではありません。サービスのセキュリティを有効にするには、セキュリティ設定を参照してください。」

設定している権限は、セキュリティを有効にするまで適用されません。セキュリティを有効にする方法については、「サービスのセキュリティの有効化」をご参照ください。

サービスの権限ルールは、ArcGIS Server によって内部に格納されます。これらのルールは ArcGIS/Services Web アプリケーションには格納されません。権限は、<ArcGIS インストール ディレクトリ>\server\user\cfg フォルダに *.sec ファイルとして格納されます。フォルダに対する権限が設定されている場合、そのフォルダには Folder.sec ファイルが含まれます。サービスに対する権限が設定されている場合、フォルダにはサービスの *.cfg ファイルに一致する名前と *.sec 拡張子を持つファイルが含まれます。フォルダまたはサービスに対する権限が設定されていない場合、そのフォルダまたはサービスに対する *.sec ファイルは存在しません。*.sec ファイルの形式については、「セキュリティの構成ファイル」をご参照ください。

ArcGIS/Services Web アプリケーションでアクセス ルールを手動で設定しないでください。多くの ASP.NET Web アプリケーションへのアクセスは、Web アプリケーションの web.config ファイルに認証ルールを追加することによって制御されます。ArcGIS Server は、ルールを web.config ファイルではなく内部で格納するようになっています。ルールが Services アプリケーションの web.config ファイルに追加された場合、Manager のセキュリティ設定が無効になることがあります。

権限の機能に関する詳細については、以下のトピックをご参照ください。

• 権限の継承と上書き
• 9.2 からの権限の移行

サービスのセキュリティの有効化

セキュリティを有効にすると、設定した権限ルールがサービスへのインターネット接続に適用されます。権限ルールを設定していても、セキュリティを有効にするまでは、すべてのサービスがすべてのユーザに公開されます。

サービスのセキュリティを有効にする前に、サービスに適用したい権限ルールを設定する必要があります。サービスに権限ルールを適用する前にセキュリティを有効にすると、すべてのユーザがすべてのサービスにインターネット接続できなくなります。

セキュリティを一度有効にしたら、Manager でセキュリティを無効にすることはできません。これは、サービスのセキュリティを誤って無効にするのを防ぐための措置です。詳細については、この後の説明をご参照ください。

この手順は、GIS サービスのセキュリティにのみ適用されます。Web アプリケーションのセキュリティは、各アプリケーションに個別に適用されます。詳細については、「Web アプリケーションのセキュリティ」をご参照ください。

サービスのセキュリティを有効にするには、次の手順に従います。

1. GIS サービスの権限ルールを設定します。詳細については、先の「サービスまたはフォルダの権限の設定」セクションをご参照ください。Everyone ロールを使用すると、すべてのユーザに 1 つ以上のサービスへのアクセスを許可することができます。
2. Manager で [セキュリティ] → [設定] をクリックします。[GIS サービスのセキュリティ] で [有効] をクリックします。サービスのセキュリティ設定に関する情報が含まれたダイアログ ボックスが表示されます。表示された内容を読み、セキュリティを有効にする意味を理解してください。セキュリティを有効する準備ができている場合は、[サービスのセキュリティを有効化] をクリックします。それ以外の場合は、[キャンセル] をクリックします。
3. ユーザを Windows ユーザとして格納する場合は、Services アプリケーションへの匿名アクセスを無効にしなければなりません。「IIS での ArcGIS Web サービスへの匿名アクセスの無効化」をご参照ください。
4. サービスをテストして、アクセスが許可されているロールに属しているユーザがサービスにアクセスできることを確認します。必要であれば、「サービスまたはフォルダの権限の設定」の説明に従って、権限を調整します。

サービスのセキュリティの無効化

GIS サービスのセキュリティを一度有効にしたら、Manager を使ってセキュリティを無効にすることはできません。これは、セキュリティを誤って無効にして、サービスにアクセスできなくなるのを防ぐための措置です。後からセキュリティを無効にする必要が生じた場合は、以下の手順で無効にすることができます。

注意:

これらの手順を実行すると、すべてのユーザがログイン情報を提供せずにインターネット接続を通じて GIS サービスに接続できるようになります。

1. [コントロール パネル] → [管理ツール] → [サービス] の順にクリックして、[サービス] 管理コンソールを開きます。
2. [ArcGIS Server サーバ オブジェクト マネージャ] サービスを右クリックして、[停止] をクリックします。
   注意:

   ArcGIS Server を停止する前に以下の変更を加えた場合、ArcGIS Server が停止したときに変更内容が有効になります。

3. テキスト エディタ（メモ帳など）または XML エディタを使用して、SOM コンピュータで Server.dat ファイルを開きます。このファイルは <ArcGIS Server インストール ディレクトリ>\server\system にあります。
4. <Server> 要素内の次の要素を、

   <SecurityEnabled>true</SecurityEnabled>

   次のように変更します。

   <SecurityEnabled>false</SecurityEnabled>

   ファイルを保存します。
5. テキスト エディタまたは XML エディタを使用して、C:\Inetpub\wwwroot\ArcGIS\Services にある web.config ファイルを開きます（ArcGIS Web サービスを別の場所にインストールした場合は、それにあわせてパスが異なります）。
6. <appSettings> セクションで次の行を探します。

   <add key="RequireToken" value="True" />

   そして次のように変更します。

   <add key="RequireToken" value="False" />

   ファイルを保存します。
7. Rest フォルダにある web.config ファイルに対しても先の 2 つの手順を繰り返し、C:\Inetpub\wwwroot\ArcGIS ディレクトリの Tokens フォルダに対しても同様に設定します。
8. Windows ユーザに対してセキュリティが設定されている場合は、IIS の ArcGIS Server Web インスタンスの Services フォルダと Rest フォルダに対する匿名アクセスを再度有効にします。方法については、「IIS での ArcGIS Web サービスへの匿名アクセスの無効化」をご参照ください。手順 3 では、匿名アクセスを有効に設定します。これを Services ディレクトリと Rest ディレクトリの両方で行います。
9. [サービス] 管理コンソールに戻り、[ArcGIS Server サーバ オブジェクト マネージャ] サービスを右クリックして、[開始] をクリックします。
10. [World Wide Web Publishing Service] を右クリックして、[再起動] をクリックします。

セキュリティを再び有効にするには、「サービスのセキュリティの有効化」の手順に従います。