トップへ戻る

認証モデルとアクセス モデル

認証手順が完了し、ユーザーが ArcGIS の有効なアクセス トークンを取得すると、認証とアクセス ルールが適用されます。 これらの認証にはさまざまな形式があり、ArcGIS は複雑な組織固有の認証モデルや構造をサポートするように設計および構築されています。

アクセスの認証

このタイプの認証は、ユーザーがアクセスできるコンテンツ、サービス、またはインターフェイスを指します。 ArcGIS では、アクセスの認証は ArcGIS 共有モデルによって管理されます。このモデルは次のような原則に基づいて構築されます。

  • ArcGIS のコンテンツ アイテムは、特定のユーザー アカウントによって所有されます。 個々のユーザーは、自分が所有するコンテンツを管理、編集、削除、および任意の操作を実行できます。
  • アイテムは、ArcGIS のグループ共有できます。 グループは、ArcGIS で作成される構成体で、グループ固有のメタデータと参加メンバーのリストを備えています。 グループのタイプの 1 つとして共有更新グループがあります。このタイプでは、グループのすべてのメンバーが、グループで共有されているアイテムを編集および管理できます。
  • グループはエンタープライズ グループに基づくこともできます。グループ メンバーシップは外部の組織ディレクトリーで定義され、Active Directory、LDAP、SAML、または OIDC 認証プロセスを通じて ArcGIS に反映されます。 この場合、ArcGIS グループでのユーザーのメンバーシップは、このエンタープライズ グループ メンバーシップによって定義されます。 このメンバーシップは、ArcGIS へのログイン時に確立され、そのセッションで有効になり、その後のログインごとに更新されます。
  • アイテムは、組織またはすべてのユーザーと共有することもできます。
    • _組織_で共有する場合、認証によって組織への有効なセッションを確立できるユーザーは、組織にアクセスして操作できます。
    • _すべてのユーザー_と共有する場合、システムに HTTPS 接続しているすべてのユーザーがコンテンツを表示できます。 ネットワークの構成方法に応じて、システムの WAN またはインターネットに匿名でアクセスできます。 ネットワーク アクセス制御により、この公開状態をさらに制限できます。
注意:

ユーザー アクセスは、リクエスト時に決定されます。 共有設定が変更された場合、またはユーザーがグループから削除された場合、そのグループに共有されているコンテンツ、またはそのコンテンツ アイテムへのアクセスは直ちに失われます。

API キーを操作する場合 (特に ArcGIS Location Platform) では、コンテンツへのアクセスは API キーにアイテムのアクセス権を追加することで制御されます。

機能の認証

コンテンツへのアクセス以外にも、特定のシステムで実行できる認証方法があります。 これには、ArcGIS システム内の機能、インターフェイス、または特定のツールやアプリケーションへのアクセスが含まれます。 この認証も通常は ArcGIS によって管理され、いくつかの異なる原則が使用されます。

  • ArcGIS システムのすべてのユーザーには、機能へのアクセス レベルを定義するユーザー タイプが割り当てられます。 ユーザー タイプの例としては、Viewer、Creator、Professional Plus などがあります。
  • また、各ユーザーにはロールも割り当てられます。ArcGIS システム内でそのロールに割り当てられた一連の権限を通じて、より細かくユーザーの認証を制御します。 権限には、コンテンツの作成、すべてのユーザーとの共有、Python ノートブックの実行、ホスト イメージ サービスの作成などの機能が含まれます。 標準ロールには、閲覧者、データ編集者、パブリッシャーなどがあります。
  • ユーザー タイプには、所定の機能やアクセス レベルがデフォルトで含まれています。 さらに、アドオン アプリケーションまたはユーザー タイプ拡張機能を特定のユーザーに割り当てて、追加機能へのアクセス権を付与することもできます。

これらの区別については「、ユーザー タイプ、ロール、権限」で詳しく説明しています。 機能とアクセスはユーザーがログインしたときに確立されるため、アクセスと権限を変更した場合は、その更新を適用するためにユーザーの再認証が必要になる場合があります。

API キー認証は、機能の承認を異なる方法で処理します。各 API キーには、ジオコーディング、ジオエンリッチメント、ルート検索、ベースマップ タイルなどの使用可能な権限セットが構成されており、その API キーを使用すると他の機能へのアクセスは拒否されます。

外部認証パターンとの統合

ほとんどの組織では、ArcGIS ユーザーのアクセスと権限を ArcGIS で直接管理していますが、認証を外部で管理する要件を持つ組織では、そのためのオプションがいくつか用意されています。

  1. グループ メンバーシップは、エンタープライズ グループを使用して維持できます。ユーザー メンバーシップは、ログイン時に SAML アサーションに含まれるクレーム、OIDC クレーム、またはセキュリティー構成で定義されたリモート グループ ストアへのクエリー (ユーザー ログイン時にもクエリーされる) のいずれかに基づいて決定されます。
  2. SAML または OIDC ベースのログイン用のほとんどの ID プロバイダーには、何らかのプロセスを通じてユーザーを ArcGIS アプリケーションに割り当てたり、プロビジョニングする構成が含まれています。これにより、ユーザーは SAML または OIDC ログイン プロセスを使用できるようになります。 プロビジョニングされていないユーザーは SAML または OIDC を使用してログインできず、新しいアカウントへの ArcGIS アクセスを自動的にプロビジョニングしたり、何らかのリクエスト プロセスに従うように、さまざまなプロセスを定義できます。
  3. ArcGIS では、グループの作成と管理、グループへのメンバーの追加、ユーザー ロールやユーザー タイプの変更など、すべてのユーザーベースの認証アクションに対して REST API を提供します。 Python ノートブックなどの外部スクリプト、ツール、またはシステムによる自動化を使用してユーザー アクセスの認証を自動化することもできます。たとえば、リモート ソースを検索したり、Survey123 フォームのようなものを使用して、レビュー後にユーザーに追加の認証を付与するプロセスをトリガーするといった方法です。
Top