インターネット セキュリティの概要

ユーザおよびロールの管理の定義

どんなアクセス制御の仕組みでも基本となる構成要素は、ユーザ認証機能です。どんな認証の仕組みでも、ユーザの情報とその属するロールをシステムのどこかに一元的に保管する必要があります。ASP.NET アプリケーションでは、オペレーティング システムまたは ASP.NET メンバーシップ プロバイダを使用して、セキュリティ情報の保管と管理ができます。ArcGIS Server では、ASP.NET に用意されたこれら 2 つのユーザ ストア オプションを利用しています。

ユーザ情報をどこに保管するかという判断は、アプリケーションとサービスの利用者に大きく左右されます。たとえば、ほぼイントラネットのアプリケーションを構築する場合は、オペレーティング システムで利用できる既存のユーザとグループを活用して、アプリケーションにアクセス権を付与することができます。同様に、インターネット アプリケーションを作成していて、Web ユーザをアクティブ ディレクトリのユーザにしたくない場合は、ユーザ情報を ASP.NET メンバーシップ プロバイダに保管することができます。ユーザとロールの設定の詳細については、「ユーザとロールの設定の概要」をご参照ください。

ArcGIS Server では、ArcGIS Server Manager を使用するだけで、Microsoft SQL Server の ASP.NET メンバーシップ プロバイダを簡単に設定できます。ただし、ASP.NET メンバーシップ フレームワークは非常に柔軟で、他のデータベースや XML ファイル、Active Directory、LDAP などを対象としたさまざまなカスタム プロバイダもサポートできます。システムでいったん設定すると、ArcGIS Server でカスタム プロバイダを使用するように設定できます。

以下のリンクで、ユーザとロールの設定方法、および、各オプションの詳細が説明されています。

• Windows オペレーティングシステム ユーザとグループ
• ASP.NET メンバーシップ プロバイダ
  • Microsoft SQL Server（ArcGIS Server Manager の設定）
  • カスタム（管理者/開発者が設定したあと、ArcGIS Server Manager に統合）

認証方式の選択

認証は、システムにアクセスしようとするユーザを識別するプロセスです。ユーザはシステムに対して認証を行うために、アカウント情報（通常はユーザ名とパスワード）を提供します。認証方式は、サーバがユーザのアイデンティティを検証する方法を決定します。

認証のオプションは、ユーザとロールの保管方法として何を選択したかによって変わります。

セキュリティ レベルの観点からも、認証方式はさまざまです。状況に適した認証方式を選択するためには、ドキュメントをよく読み、セキュリティ担当者に相談する必要があるでしょう。

ArcGIS Server for Microsoft .NET Framework では、次の認証方式を利用することができます。

• IIS 認証
  • 統合 Windows 認証
    • Windows Server 2008 および Windows Vista では Windows 認証と呼ばれています。
    • 一般にイントラネットでのみ使用され、インターネット経由では使用されません。
    • ユーザが Windows オペレーティング システム ユーザである場合にのみ使用されます。
    • ブラウザがサーバと同じローカル ネットワーク上の Internet Explorer である場合、ログオン プロンプトは表示されず、ユーザのログオン アイデンティティが透過的に渡されます。ArcGIS クライアント（Desktop、Engine、ArcGIS Explorer）にも同じことが当てはまります。このため、ユーザは明示的にログインせずに接続し、サービスを使用することができます。
  • HTTP 基本認証と HTTP ダイジェスト認証
    • イントラネットとインターネット経由で使用されます。
    • ユーザが Windows オペレーティング システム ユーザである場合にのみ使用されます。
    • 通常、ブラウザ ユーザには標準のログイン ダイアログ ボックスが表示されます。
• ASP.NET 認証
  • フォームベース認証
    • ユーザ ストアが SQL Server またはカスタム プロバイダの場合に、Web アプリケーションで使用されます。
    • 通常、ブラウザ ユーザには Web ページでログイン用のフォームが表示されます。
  • トークンベース認証
    • ArcGIS Server で実装されます。
    • Web サービスでのみ使用され、アプリケーションには使用されません。
    • クライアントはユーザ名とパスワードを渡すことにより、サーバからトークンを取得し、トークンを使ってサービスにアクセスします。
    • あらゆるユーザ ストアに対応します。

必要であれば、複数の ArcGIS Server Web インスタンスを設定することにより、複数の認証方式をサポートすることができます。各インスタンスは同じ GIS サーバに関連付けられますが、異なる認証方式が設定されます。

認証方式のガイドラインについては、「ArcGIS Server サービスの一般的なセキュリティ設定」をご参照ください。「ユーザとロールの設定の概要」でも、認証方式に関する追加情報を提供しています。

SSL（Secure Sockets Layer）の実装

ユーザ ストアと認証方式の要件によっては、Web サーバの SSL 証明書を取得する必要があるかもしれません。SSL により、クライアントと Web サーバ間の通信を暗号化する HTTPS を使用することができます。一般に、HTTP 基本認証、トークンベース認証、またはフォームベース認証でユーザを認証する際には SSL が不可欠ですが、SSL は他の認証方式でもアカウント情報のセキュリティを強化することがあります。詳細については、「SSL の設定の詳細」をご参照ください。

サービスとアプリケーションの権限の設定

ユーザがサービスまたはアプリケーションにアクセスするためには、ユーザが属しているロールに対してサービスまたはアプリケーションの権限を追加しなければなりません。ArcGIS Server の権限はロールに基づいています。Manager で個々のユーザに権限を与えるのではなく、ロールに権限を与えることにより、サービス、サービス フォルダ、またはアプリケーションの権限を追加します。

Web サービスにセキュリティを適用すると、SOAP、REST、OGC（WMS）など、すべての形式の Web サービスにセキュリティが適用されます。Manager でロール（Planners など）にサービスへのアクセスを許可すると、そのロールに属するユーザは、そのサービスにおいて有効な SOAP、REST、OGC 方式を通じてサービスにアクセスできるようになります。Services Directory でもセキュリティ設定が自動的に適用されるため、ログインしているユーザにのみ、セキュリティで保護されたサービスのうちアクセスが許可されているサービスが表示されます。

詳細については、「サービスへのインターネット接続のセキュリティ」および「Web アプリケーションのセキュリティ」をご参照ください。

ArcGIS Server サービスの一般的なセキュリティ設定

次の表に、ArcGIS Server サービスの一般的なセキュリティ設定を示します。これは、サービスの設定方法と場所に関して、(1) サービスがイントラネット上で公開されるか、またはインターネット経由で公開されるか、(2) ユーザとロール ストアのタイプ、(3) 認証方式の 3 つの側面に基づいています。

特に明記されていない限り、どの設定でもすべてのクライアント（Web、JavaScript、ArcGIS Desktop、OGC、KML）がサポートされます。