トップへ戻る

ArcGIS の認証モデルとプロバイダー

ArcGIS は、標準の IT 認証メカニズム、プロトコル、およびテクノロジーを使用して構築、サポート、進化しているため、既存の組織のセキュリティー ポリシー、ベスト プラクティス、およびインフラストラクチャーとスムーズに統合できます。ArcGIS 製品は、ファイル ソース、DBMS ソース、Web ベースのソースなど、セキュリティー保護されたリソースにアクセスする際に、標準の認証方法に従います。ArcGIS Enterprise と ArcGIS Online はどちらも、組み込みのユーザー ストアと、IT 組織が使用および提供するさまざまなエンタープライズ ID プロバイダー (IdP) (Microsoft Entra ID、Active Directory、Okta など) をサポートしています。 ArcGIS クライアントとサーバーは、単一層または多層アーキテクチャーのすべての層で認証をサポートしており、Web サービス、ポータル、DBMS、ファイル ストア、データ レイク、その他のソースへのアクセスを含みます。 このトピックでは、アーキテクチャー設計プロセスで考慮される認証プロセスとオプションについて詳しく説明します。

ID プロバイダー

ArcGIS は、組織の既存の IdP および関連するセキュリティー インフラストラクチャーを利用し、ユーザー アイデンティティー、認証情報、および認証メカニズムを管理するシングル サインオン (SSO) ユーザー認証エクスペリエンスをサポートし、推進しています。このように IdP と統合することで、ArcGIS は定評のあるミッションクリティカルなセキュリティー インフラストラクチャー上にシームレスに構築され、堅牢で一元化されたユーザー プロビジョニング、管理、監視、および監査リソースを提供します。 ArcGIS は、SAML、OIDC、IWA/AD、LDAP、PKI など、広く受け入れられている認証パターンを通じて、組織の IdP と統合します。 この統合アプローチはセキュリティー モデルを簡素化し、ArcGIS は IdP を利用してユーザーの直接認証、認証サービスの提供、アクセスの管理 (権限の追加や削除、アカウントの有効化や無効化など)、SSO (シングル サインオン) のユーザー エクスペリエンスに加え、脆弱性および侵入防止リソースの提供が可能になります。

ArcGIS でのアイデンティティーの確立

ArcGIS で Web ベースのリソースを使用する場合、ユーザーは最初に認証を行った後にアイデンティティーを確立します。 アイデンティティーはさまざまな方法で確立できますが、一般的な順序は次のとおりです。

  1. ユーザーは、ArcGIS のサイン イン ダイアログを通じて、または認証を求められたとき (セキュリティー保護されたリソースにアクセスするときなど) にログインを開始できます。
  2. ArcGIS のサイン イン プロンプトは、リダイレクト、ポップアップ、または埋め込みコンテンツとして表示される場合があります。 その ArcGIS Enterprise デプロイメントまたは ArcGIS Online 組織で使用可能なログイン オプションが表示され、ユーザーはオプションを選択できます。有効なオプションが 1 つだけの場合は、そのオプションのみが表示されます。 このサイン イン ウィンドウと基になるプロセスは OAuth 標準に基づいているため、他のアプリケーションやシステムで使用される他の OAuth ワークフローと同様、ユーザーが外部アプリケーションへのアクセスを承認するよう求められる場合もあります。
  3. ほとんどのシナリオでは、ユーザーは SAML または OIDC ID プロバイダーを使用してログインします。 その際、その IdP へのログイン プロセスをトリガーするボタンをクリックします。 各 IdP は異なる方法で設定され、さまざまな認証パターンをサポートできます。 その IdP への認証が成功すると、ユーザーは SAML アサーションまたは IDP の観点からユーザーを有効なユーザーとして識別する OIDC クレームのセット (そのアプリケーションに対して承認され、適切に認証された) を使用して ArcGIS に戻ります。 この時点で、ArcGIS はユーザーの OAuth コードとそれに続く ArcGIS アクセス トークンを生成し、ユーザーは目的のアプリケーションまたはサービスにアクセスできるようになります。
  4. または、ArcGIS アプリケーションのサイン イン ウィンドウに認証情報を入力し、組み込みユーザー、AD、または LDAP ベースのアカウントで直接ログインすることもできます。 認証に成功すると、OAuth コードを受け取り、それがアクセス トークンと交換されます。

認証がどのように行われても、結果のユーザー セッションは ArcGIS アクセス トークンのみに基づきます。 このトークンは、アプリケーション コードに保持されるか、HTTP Cookie として保存および送受信され、特定の期間有効です。 デフォルトのトークンの有効期限は 120 分ですが、トークンを更新し、もっと長い期間をリクエストすることも可能です。 アクセス トークンとともに refresh_token も生成されます。これを使用すると、使用時間が 2 時間を超える場合にユーザーのアクセス トークンを更新し、セッションを延長できます。

ユーザー アイデンティティーには、ArcGIS システムおよびユーザー エクスペリエンス全体に適用されるユーザー固有の属性も含まれます。たとえば、次のようなものです。

  • ユーザー タイプ – Viewer、Contributor、Creator など
  • ユーザー ロール – 公開者、管理者、カスタム、その他
  • 認定ライセンス
  • ロールベースのアクセス制御から設定されるさまざまな特権 (グループ メンバーシップなど)

DBMS やファイル サーバーなどの従来のクライアントサーバー構成でデスクトップベースのリソースを使用する場合、ユーザー アイデンティティーは、サーバーの技術やオペレーティング システムの機能に関連付けられたセキュリティー モデルに基づいています。

バックエンドの自動化シナリオ (サーバー間通信やオペレーティング システムのプロセスベースの通信など) では、これらの相互作用におけるクライアントは、上記のパターンに従って、関連付けられた資格情報でアイデンティティーを確立します。

ArcGIS 固有の認証パターンの詳細については、Esri Developer サイトをご参照ください。

ArcGIS のユーザー認証プロトコルとメカニズム

ArcGIS Enterprise または ArcGIS Online とのユーザー セッションまたはプログラムによるセッションを確立するために、以下のサポートされている標準業界プロトコルとメカニズムを使用して、ArcGIS システム全体でユーザーとクライアントを認証します。 たとえば、次のようなものが含まれます。

エンタープライズ アイデンティティー - SAML と OIDC

Esri は、ArcGIS Enterprise および ArcGIS Online での SAML ベースのログインをサポートしており、ID プロバイダー固有のドキュメントを提供しています。 OpenID Connect (OIDC) も、ArcGIS Enterprise および ArcGIS Online 組織で完全にサポートされています。 Esri では、SAML または OIDC ログインを使用できるすべての組織に対し、これらのログイン方法を使用することを推奨しています。

ArcGIS のコンテキストでは、SAML と OIDC はどちらも、ユーザーが Google、Microsoft Entra ID、Okta、その他のエンタープライズ アイデンティティー システムなどの信頼できる ID プロバイダーの既存の認証情報を使用してサイン インできるようにすることで、安全なアクセスを促進します。 ユーザーが現在の認証セッションなしで ArcGIS システムにアクセスしようとすると、認証を行うために ID プロバイダーにリダイレクトされます。 ID プロバイダーは、ユーザー名、パスワード、ワンタイム コード、またはその他の要素をシステムに提供する認証手順を処理します。認証に成功すると、ID プロバイダーは SAML アサーションまたは OIDC クレームを発行し、これを ArcGIS に送り返してユーザーのアイデンティティーを検証します。

SAML または OIDC を使用する利点は次のとおりです。

  • ユーザー エクスペリエンスの合理化: SAML または OIDC によってシングル サインオンが有効になると、ユーザーは 1 つの資格情報セットで複数のアプリケーションにアクセスできます。 これにより、複数のユーザー名とパスワードを覚えておく必要性が減り、全体的なユーザー エクスペリエンスが向上します。
  • セキュリティーの向上: これらのパターンは、MFA (多要素認証) など、ID プロバイダーによって提供される強力な認証メカニズムを活用します。 これにより、許可されたユーザーのみが機密性の高いリソースにアクセスできるようになります。
  • アイデンティティーの一元管理: 組織は、ID プロバイダーを通じてユーザー アイデンティティーとアクセス権限を一元的に管理できます。 これにより、ユーザー管理が簡素化され、統合されたすべてのアプリケーションで一貫したセキュリティー ポリシーが確保されます。
  • IT の負担削減: SAML または OIDC で認証することで、IT 部門は複数の認証システムを管理するために必要な時間と労力を削減できます。 これにより、管理コストが削減され、リソースをより効率的に使用できるようになります。
  • コンプライアンスの強化: 認証と承認を一元化することで、組織はセキュリティー標準と規制へのコンプライアンスを維持しやすくなります。 これにより、すべてのアプリケーションにわたるユーザー アクセスとアクティビティーの明確な監査証跡が提供されます。
  • 柔軟な認証オプション: 一時的なユーザーやサードパーティーの外部請負業者 (一元的な ID プロバイダーの永続アカウントを持たない) に対し、必要に応じて組み込みアカウントを作成して使用できます。ArcGIS は両方のパターンの同時使用に対応しています。
  • モバイル GIS アプリ: エンタープライズ アイデンティティーは、ユーザーが外出先で安全なリソースにアクセスする必要がある ArcGIS Field Maps や ArcGIS Survey123 などのモバイル GIS アプリケーションで特に便利です。 このパターンを使用すると、これらのアプリは既存の ID プロバイダーを活用してユーザーを認証し、シームレスで安全なログイン エクスペリエンスを提供できます。
  • サードパーティー アプリケーション: ArcGIS と相互作用するサードパーティー アプリケーションを構築する開発者は、同様の認証パターンを使用して、ユーザー データに安全にアクセスし、シングル サインオンでアプリ間セッションをサポートできます。 これにより、堅牢なセキュリティー標準を維持しながら ArcGIS の機能を拡張する革新的なソリューションを構築できます。

ArcGIS Server コンポーネントと Portal for ArcGIS の組み込みアイデンティティー ストア

仕組み

組み込みのアイデンティティー ストアを使用すると、ArcGIS Server コンポーネントまたは Portal for ArcGIS 内でユーザーとグループを直接管理できます。 つまり、ユーザー認証を処理するための外部システムは必要ありません。 ArcGIS は認証プロセスを処理し、ArcGIS 独自のデータベース内に保存されているユーザー名とパスワードを検証します。 この方法では、迅速かつ簡単にアカウントを作成できるため、初期設定、開発、およびテストによく使用されます。

実用例

小規模な GIS 専門家チーム向けに新しい ArcGIS Enterprise ポータルを設定するとします。 各チーム メンバーのユーザー アカウントをポータルで直接、すばやく作成できます。 各ユーザーは自分の認証情報を使用してログインし、組織内で共有されているマップ、アプリ、その他のリソースにアクセスできます。

メリット

使いやすさ - 外部システムとの複雑な統合は必要ありません。

迅速な設定 - 特に開発環境やテスト環境で、すぐに使い始めるのに最適です。

自己完結型 - すべてのユーザー データはポータル内で管理されるため、管理が簡素化されます。

制約

スケーラビリティー - 多くのユーザーを抱える中規模から大規模の組織では管理が面倒になる可能性があるため、理想的ではありません。

セキュリティー - LDAP や SAML を使用する場合と比較して、一部の組織の厳しいセキュリティー要件を満たさない場合があります。

IWA、AD、LDAP

統合 Windows 認証 (IWA) プロトコル、Active Directory (AD) プロトコル、および LDAP (Lightweight Directory Access Protocol) プロトコルは、ArcGIS Enterprise でのみ使用でき、組織内で内部向けまたはネットワーク上のワークフローによく使用されます。 Esri では、ArcGIS Enterprise の内部向けデプロイメントにのみ IWA、AD、LDAP 構成を使用することを推奨しています。

その他のパターン

クライアント証明書を使用した PKI (公開鍵基盤)は、IWA、SALM、OIDC など、いくつかの認証パターンで使用されます。

MFA (多要素認証) は、多くの場合、ArcGIS の組み込みログインに適用されるか、外部アイデンティティー プロバイダーを使用する SAML または OIDC プロセスの一部として適用されます。 これは、特に高い権限を持つアカウントに推奨されるベスト プラクティスです。

アプリケーションベースの認証は、組み込みのユーザー パターンに関連する別の認証パターンであり、API キーまたはクライアント ID とクライアント シークレットのペアを使用して認証が完了します。1

また、ArcGIS は、WAN 上でのオープン アクセスやインターネットを通じたアプリケーションへのパブリック アクセスを必要とする組織向けに、システム全体のほとんどのリソース タイプへの匿名ユーザー アクセスもサポートしています。

  • この行は、脚注をページ下部ではなくページに表示するために必要です。

サーバー間認証

ArcGIS システムで完了するほとんどのワークフローはユーザーベースであり、ユーザーが Web ページまたはアプリケーションを操作してサーバーにリクエストを発行します。一方で、他のワークフローでは、システム間の統合、データ タスクの自動化、異なるサーバーのようなシステムやバックエンド システム間でレベルの異なる接続を提供するために、サーバー間またはプログラム的な操作が必要です。

匿名アイデンティティーを許可するサーバーベースのリクエストは簡単にサポートできますが、サービスやエンドポイントがセキュリティー保護されており、ある程度の認証または識別が必要な場合、これらのリクエストを認証するためのオプションが多数あります。 この分野における一般的な推奨事項には、次のようなものがあります。

  • ほとんどのサーバー間通信では、SAML ベースや OIDC ベースの認証パターンを使用できません。これらの IdP は HTML インターフェイスを使用したインタラクティブなログイン エクスペリエンスを必要とし、多要素認証プロンプトや captcha スタイルの検証が含まれることが多いからです。
  • サーバー上で実行されているジオプロセシング ツールまたはスケジュールされたスクリプト ツール内から発生するリクエストは、通常、そのプロセスを実行しているサービス アカウントまたはローカル アカウントのアイデンティティーを引き継ぎます。 特に IWA ベースのシナリオでは、このユーザー アカウントのアイデンティティーと設定がサーバー側のリクエストの成功に大きく影響する可能性があります。
  • ArcGIS OAuth ベースの refresh_token (組み込みまたはエンタープライズ ID プロバイダーから生成されたもの) の使用をシステムに埋め込むと、必要に応じてセッション トークンを生成できます。 有効なリフレッシュ トークンを新しいリフレッシュ トークンと交換することもできるため、このリフレッシュ トークンを維持し、無期限に有効に保つロジックを作成できます。
  • API キーは、サーバー側処理を認証するためのもう 1 つの方法です。特定のサービスやワークフローに対して API キーを生成し、サーバー側処理がそれを使用して認証を行い、ジオコーディングやリクエストのルーティングなどの特定の操作を行えます。

  1. API キーは、ArcGIS Location Platform、ArcGIS Online、および ArcGIS Enterprise バージョン 11.4 以降でサポートされています。 

Top