セキュリティ設定の構成

デフォルトの管理者および正しい権限を持つ管理者は、ポリシー、共有と検索、パスワード ポリシー、サイン イン オプション、多要素認証、アクセスの通知、信頼できるサーバー、ポータルへのアクセスなどのセキュリティ設定を構成できます。

ヒント:

セキュリティ、プライバシー、およびコンプライアンスに関する詳細については、Trust ArcGIS をご参照ください。

  1. デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を有効化したカスタム ロールのメンバーとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. 以下のセキュリティ設定のうちのいずれかを構成します。

アクセスおよび権限

必要に応じて、以下のポリシー設定のいずれかを変更します。

  • [組織の Web サイトへの匿名アクセスを許可します] - このオプションを有効化すると、匿名ユーザーが組織の Web サイトにアクセスできるようになります。 このオプションを無効にすると、、匿名ユーザーがその Web サイトにアクセスできなくなります。 また、Bing Maps を使用したマップを表示することもできません (組織サイトで Bing Maps が構成されている場合)。

    ヒント:

    ただし、匿名アクセスを無効にしても、組織のメンバーはパブリック URL を使用してパブリック アイテムを共有できます。

    匿名アクセスを有効にした場合は、サイト構成グループがパブリックに共有されていることを確認してください。パブリックで共有されていない場合、匿名ユーザーは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。

    メモ:

    確認済みの組織では、組織サイトへの匿名アクセスを許可する必要があります。 確認済みの組織が匿名アクセスを無効化したい場合は、まず、確認済みのステータスを削除する必要があります。

  • [[サイン イン] パネルのオプションを表示して、他の組織のメンバーが ArcGIS Online 認証情報を使用してサイン インし、自分の組織のメンバーと共有している組織コンテンツにのみアクセスできるようにします] - このオプションを有効化すると、他の ArcGIS Online 組織のメンバーは、自分の組織のメンバーと共有しているアイテムにアクセスすることができます。 このオプションを有効化すると、別のサイン イン リンクがサイン イン ウィンドウの下部に表示され、ユーザーは www.arcgis.com を介してサイン インして、共有されているアイテムにアクセスできます。
  • [メンバーが、自己紹介とそのプロフィールを参照できるユーザーを編集できます] - このオプションを有効化すると、メンバーがプロフィールの自己紹介を変更したり、プロフィールを表示できる人を指定したりできるようになります。
  • [メンバーに設定ページから ArcGIS Pro などのライセンス供与された Esri アプリケーションをダウンロードできるようにします] - このオプションを有効化すると、必要なライセンスが付与されている組織のメンバーが、設定ページのリンクを使用してアプリをダウンロードできるようになります。 このオプションを無効にすると、メンバーのダウンロード リンクが非表示になります。

メモ:

組織サイトが 2018 年 9 月中旬よりも前に作成され、以下の設定が無効化されて構成されている場合、次のオプションが表示されることもあります。 以下のセキュリティ設定を有効化することをお勧めします。

  • [HTTPS を使用した組織へのアクセスのみを許可します] - このオプションを有効化すると、組織のデータおよび一時的な ID トークン (ユーザーのデータへのアクセスを許可する) がインターネット上での通信中に暗号化されることが保証されます。 有効化した後に、組織サイトをチェックして、ホーム ページ、マップ、シーン、アプリなどが、何も影響を受けていないことを確認します。 たとえば、HTTPS をマップおよびシーンで使用するように、レイヤーを更新することが必要になる場合があります。

無効化オプションは、この設定を有効化してから 60 日後に、[組織] ページ上で利用できなくなります。

共有と検索

必要に応じて、以下の共有と検索の設定のいずれかを変更します。

  • [組織サイト外へのコンテンツ共有を許可します] - このオプションを有効化すると、メンバーが、プロフィールをすべての人 (パブリック) に公開したり、Web アプリなどのアイテムをパブリックに共有したり、Web サイト内にマップやグループを埋め込んだりすることができます。

    この設定を無効化すると、メンバーは、プロフィールをパブリックに公開したり、パブリックにコンテンツを共有したり、または Web サイトにコンテンツを埋め込んだりすることができなくなります。 ソーシャル メディア ボタンも無効になります。 管理者は、メンバーのアイテムをパブリックに共有できます。 また、組織外のグループにメンバーを招待できるように、メンバーのプロフィールをすべての人 (パブリック) に公開することもできます。

    組織サイトへの匿名アクセスを無効にしている場合、マップ、アプリ、およびグループを共有するには、アイテムをすべてのユーザー (パブリック) で共有し、アイテムの URL を組織サイトのプライベート URL からパブリックの ArcGIS Online URL (www.arcgis.com) に変更します。 たとえば、組織サイトのマップの 1 つを匿名ユーザーと共有するには、URL を https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 から https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 に変更します。

  • [組織サイト外のコンテンツ検索を許可します] - このオプションを有効化すると、メンバーが、組織外のユーザーが所有するマップ、レイヤー、アプリ、およびファイルを表示できるようになります。

    この設定を無効化すると、メンバーは組織外のコンテンツにアクセスできなくなります。 管理者は組織サイトの外部にあるアイテムを検索することができます。

  • [アイテムおよびグループ ページにソーシャル メディア リンクを表示します] - このオプションを有効化すると、Facebook および Twitter へのリンクをアイテム ページやグループ ページに含めることができます。

パスワード ポリシー

メンバーは、自分のパスワードを変更する際に、パスワードが組織のポリシーに従っている必要があります。 ポリシーに従っていない場合、ポリシーの詳細を示すメッセージが表示されます。 組織のパスワード ポリシーは、SAML ログインなどの組織固有のログインや、アプリケーション ID とアプリの秘密の質問を使用するアプリ認証情報には適用されません。

ArcGIS のデフォルト パスワード ポリシーでは、パスワードは最低 8 文字で、1 つ以上の文字と 1 つ以上の数字を含んでいる必要があります。 組織のパスワード ポリシーを更新する場合は、[パスワード ポリシーの管理] をクリックし、ArcGIS アカウントを持つメンバーのパスワードの長さ、複雑度、および履歴の各要件を構成します。 パスワードの長さ、およびパスワードに大文字、小文字、数字、または特殊文字を 1 文字以上含める必要があるかを指定できます。 パスワードの有効期限が切れるまでの日数、およびメンバーが再利用できない過去のパスワードの数も構成できます。 ArcGIS のデフォルトのポリシーに戻すには、随時 [ArcGIS のデフォルトのポリシーを使用] をクリックします。

メモ:

脆弱なパスワードは受け付けられません。「password1」などの、よく使用されるパスワード、または繰り返し文字や連続的文字を含むパスワード (たとえば、「aaaabbbb」や「1234abcd」) である場合、そのパスワードは脆弱であると見なされます。

ログイン

メンバーが ArcGIS ログイン、Security Assertion Markup Language (SAML) ログイン (これまでのエンタープライズ ログイン)、OpenID Connect ログイン、およびソーシャル ログインのいずれかの方法を使用してサイン インできるように、組織のサイン イン ページをカスタマイズできます。

[ArcGIS ログイン] トグル ボタンをオンにして、ユーザーが ArcGIS ログインを使用して ArcGIS にサイン インできるようにします。

組織サイトの既存の SAML ID プロバイダーを使用して ArcGIS にメンバーがサイン インする場合は、[SAML ログインの設定] ボタンを使用して SAML ログインを構成します。

組織サイトの既存の OpenID Connect ID プロバイダーを使用してメンバーがサイン インする場合は、[OpenID Connect ログインの設定] ボタンを使用して OpenID Connect ログインを構成します。

SAML ログインや OpenID Connect ログインなどの組織固有のログインを使用するメリットについては、このビデオをご覧ください。

組織のメンバーに、FacebookGoogleGitHubApple などのソーシャル ネットワークで使用するログインを使用した、ArcGIS へのサイン アップおよびサイン インを許可することもできます。 ソーシャル ログインを有効化するには、[ソーシャル ログイン] トグル ボタンをオンにして、有効化するソーシャル ネットワークのトグル ボタンをオンにします。

多要素認証

組織のメンバーが ArcGIS にサイン インする際に 多要素認証を設定できるようにするには、[メンバーが、個々のアカウントの 多要素認証を設定するかどうかを選択できるようにします] トグル ボタンを有効化します。 多要素認証では、メンバーのサイン イン時にユーザーの名前とパスワードに加えて確認コードを要求することで、セキュリティ レベルを強化します。

この設定を有効にすると、組織のメンバーは各自のプロフィール ページで 多要素認証を有効化して、サポートされている認証アプリからの確認コードを、携帯電話またはタブレットで受信できます (現在は、Android および iOS 用の Google Authenticator と、Windows Phone 用の Authenticator がサポートされています)。 多要素認証は、SAML ログイン、OpenID Connect ログイン、またはソーシャル ログインで作成された ArcGIS 組織アカウントではサポートされていません。 多要素認証が有効なメンバーには、[組織] ページの [メンバー] タブのメンバー テーブルで、[多要素認証] 多要素認証 列にチェック マークが表示されます。

組織で 多要素認証を有効にしている場合に、必要に応じてメンバー アカウントの 多要素認証を無効にする電子メール リクエストを送信するには、宛先に少なくとも 2 人の管理者を指定する必要があります。 ArcGIS Online は、[お使いのコードによるサイン インで問題が発生しましたか?] リンク (メンバーに認証コードの入力を求めるページに存在) で多要素認証に関するヘルプを要求したメンバーに代わって電子メールを送信します。 少なくとも 1 人が多要素認証の問題のあるメンバーに対応できるように、2 人以上の管理者が必要となります。

多要素認証は、OAuth 2.0 をサポートしている Esri アプリの ArcGIS アカウントで機能します。 これには、ArcGIS Online の Web サイト、ArcGIS Desktop 10.2.1 以降、ArcGIS アプリ、My EsriArcGIS Marketplace で購入可能なアプリなどがあります。 ArcGIS Desktop 10.2.1 以降では、多要素認証を使用して、[カタログ] ウィンドウのすぐに使用できるサービスのノードから ArcGIS Online サービスに接続できます。

OAuth 2.0 をサポートしていないアプリにアクセスする場合、多要素認証を無効化する必要があります。 OAuth2.0 をサポートしている一部のアプリ (ArcGIS Desktop 10.2.1 以降など) でも、ArcGIS Desktop から ArcGIS Online の一部として使用可能な ArcGIS Server サービスに接続する場合には、事前に多要素認証を無効にしておく必要があります。 これには、ルート検索や標高解析を実行するジオコーディング サービスとジオプロセシング サービスが含まれます。 認証情報を Esri プレミアム コンテンツと一緒に格納する場合にも、多要素認証を無効にしておく必要があります。

アクセス時の通知

利用条件の注意事項を構成し、サイトにアクセスするユーザーに表示することができます。

組織のメンバー、または組織サイトにアクセスするすべてのユーザー、あるいはその両方のために、アクセス時の通知を構成することができます。 組織のメンバーのためのアクセス時の通知を設定した場合、メンバーがサイン インした後に注意事項が表示されます。 すべてのユーザーのためのアクセス時の通知を設定した場合、ユーザーがサイトにアクセスするときに、注意事項が表示されます。 両方のアクセス時の通知を設定した場合、組織のメンバーには両方の注意事項が表示されます。

組織のメンバーまたはすべてのユーザーのためのアクセスるには、適切なセクションで [アクセス時の通知の設定] をクリックし、トグル ボタンをオンにしてアクセス時の通知を表示し、注意事項のタイトルおよびテキストを入力します。 ユーザーがサイトに進む前にアクセス時の通知に承認するようにする場合は [承認および拒否] オプションを選択し、ユーザーが [OK] をクリックするだけで続行できるようにする場合は、[OK のみ] を選択します。 終了したら、[保存] をクリックします。

組織のメンバーまたはすべてのユーザーのためのアクセスの通知を編集するには、適切なセクションの [アクセス時の通知の編集] をクリックし、タイトル、テキスト、またはアクション ボタンのオプションを変更します。 アクセス時の通知の表示が不要になった場合は、切り替えボタンを使用してアクセス時の通知を無効にします。 アクセス時の通知を無効にした後に、アクセス時の通知を再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

情報バナー

情報バナーを使用して、組織サイトにアクセスするすべてのユーザーに対して、サイトの状態およびコンテンツに関して警告することができます。 たとえば、カスタム メッセージを作成して、サイトの上部および下部に表示することによって、メンテナンス スケジュールまたは機密情報アラートについて、ユーザーに知らせます。 このバナーは、ホーム、ギャラリー、マップ ビューアー、シーン ビューアー、グループ、コンテンツ、および組織の各ページに表示されます。

組織で情報バナーを有効化するには、[情報バナーの設定] をクリックして、[情報バナーの表示] をオンにします。 テキストを [バナー テキスト] フィールドに追加し、背景色およびフォントの色を選択します。 選択したテキストおよび背景色のコントラスト比が表示されます。 コントラスト比は、WCAG 2.1 アクセシビリティ規格に基づく見やすさの尺度です。この規格に従うために、4.5 のコントラスト比をお勧めします。

[プレビュー] ウィンドウで、情報バナーをプレビューできます。 [保存] をクリックして、バナーを組織サイトに追加します。

情報バナーを編集するには、[情報バナーの編集] をクリックして、バナーのテキストやスタイル設定を変更します。 情報バナーの表示が不要になった場合は、トグル ボタンを使用して情報バナーを無効にします。 情報バナーを無効にした後に、情報バナーを再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

信頼できるサーバー

[信頼できるサーバー] で CORS (Cross-Origin Resource Sharing) リクエストを作成して Web 層認証で保護されたサービスにアクセスする際に、組織サイトによって認証情報を送信してもらう、信頼できるサーバーのリストを構成します。 これは主に、スタンドアロンの (フェデレートされていない) ArcGIS Server から保護されたフィーチャ サービスを編集したり、保護された OGC サービスを表示したりする場合に適用します。 トークンベースのセキュリティで保護された ArcGIS Server ホスティング サービスは、このリストに追加する必要はありません。 信頼できるサーバーのリストに追加されたサーバーは、CORS をサポートする必要があります。 さらに、ArcGIS Online 組織のドメインなど、サーバーとの通信に使用される特定のドメインを許可するように CORS を構成する必要もあります。 CORS をサポートしていないサーバーでホストされているレイヤーは、期待どおりに機能しない可能性があります。 ArcGIS Server は、10.1 以降のバージョンで、CORS をデフォルトでサポートしています。 ArcGIS 以外のサーバーで CORS を構成するには、Web サーバー向けのベンダー ドキュメントをご参照ください。

ホスト名は、個々に入力する必要があります。 ワイルドカードは使用できません。 ホスト名を入力する際は、先頭にプロトコルを付けても付けなくてもかまいません。 たとえば、ホスト名 secure.esri.com は、secure.esri.com または https://secure.esri.com として入力できます。

メモ:

Web 層認証で保護されたフィーチャ サービスを編集するには、CORS 対応の Web ブラウザーを使用する必要があります。 CORS は、サポートされているブラウザーすべてで有効になっています。

オリジンの許可

ArcGIS REST API は、デフォルトで、任意のドメインの Web アプリケーションから送信される Cross-Origin Resource Sharing (CORS) リクエストを受け入れています。 組織で、CORS を介して ArcGIS REST API にアクセスできる Web アプリケーション ドメインを制限するには、そのドメインを明示的に指定する必要があります。 たとえば、 Web アプリケーションへの CORS アクセスを acme.com のみに制限する場合は、[追加] をクリックして、テキスト ボックスに「https://acme.com」と入力し、[ドメインの追加] をクリックします。 最大で 100 の信頼されたドメインを組織サイトに指定することができます。 arcgis.com ドメインで実行されるアプリケーションは、ArcGIS REST API に常にアクセスが許可されているため、arcgis.com を信頼されたドメインとして指定する必要はありません。

ポータルへのアクセスを許可

セキュリティで保護されたコンテンツを共有したいポータルのリスト (例: https://otherportal.domain.com/arcgis) を構成します。 この構成により、組織のメンバーは組織固有のログイン (SAML ログインを含む) を利用してセキュリティで保護されたコンテンツにアクセスし、ポータルからコンテンツを閲覧できるようになります。 これは、Portal for ArcGIS バージョン 10.5 以降のポータルにのみ適用されます。 セキュリティ保護されたコンテンツを ArcGIS Online の組織サイト間で共有する場合、この設定は不要です。 コンテンツを組織間でプライベートに共有するには、「別の組織とのアイテムの共有」をご参照ください。

ポータルの URL は個別に入力する必要があります。入力する際はプロトコルも含めてください。 ワイルドカードは使用できません。 追加するポータルが HTTP アクセスと HTTPS アクセスの両方を許可している場合、そのポータルの 2 つの URL を追加する必要があります (例: http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 リストに追加するすべてのポータルは最初に整合チェックされるため、ブラウザーからアクセスできる必要があります。