はじめに
コンピュータが空間能力を提供するという課題に取り組んだ以来、GIS は急速に進化してきました。マップ作成プラットフォームからロケーション インテリジェンス プラットフォームへの GIS の進化により、ビジネスの成功に必要な堅牢で信頼性のある、そして柔軟なシステムの構築が必要とされます。GIS は、従来のデータセンター内で実行されるサーバー、クラウド、モバイルおよび IoT デバイスから実行されることがあります。このような多様な環境をサポートすることは、GIS を設計するために体系的なアプローチが必要とされる独自のアーキテクチャ上の課題を生み出します。
アーキテクチャの設計
Esri システム アーキテクチャの設計は、複数の層、つまりクライアント / アプリケーション層、プレゼンテーション層、サービス層、サポート層、およびデータ層を中心とした従来のアーキテクチャ パターンに基づいています。以下の論理アーキテクチャの例に示すように、各層は Esri 製品およびソリューション コンポーネントと連携しています。このブログ シリーズでは、体系的なアプローチに従って、今日のビジネスとロケーション インテリジェンスのニーズを満たす最新の GIS プラットフォームの構築をサポートするさまざまなアーキテクチャ層とそれに関連するソリューション コンポーネントを検討します。
ArcGIS Enterprise への外部アプリケーションアクセスの制限
一部の場合、組織では ArcGIS Enterprise を使用して外部の統合アプリケーションをサポートし、外部アプリケーションのアクセスを制限したいと考えています。具体的には、外部からのリクエストをフィルタリングして、特定の IPアドレスのリストや範囲、または特定のドメインからのみリクエストを許可する方法があります。
ArcGIS Online Proxy
DMZ ArcGIS Enterprise Portal および Registered Services パターン (ArcGIS Architecture シリーズ :Security Architecture Pattern ブログの図1) と同様に、ArcGIS Online も、単独の ArcGIS Enterprise サーバーまたはフェデレート ArcGIS Enterprise システムからセキュリティ保護されたサービスを登録する際にプロキシとして機能します。
以下の図1 では、内部の ArcGIS Enterprise システムのサービスが ArcGIS Online にストアされた資格情報で登録されています。ArcGIS Online は DMZ のリバースプロキシを介してサービスにアクセスでき、リバースプロキシはArcGIS Online ドメインからのリクエストのみを許可し、他のソースからのリクエストをブロックするように構成されています。
統合システムのWebアプリやモバイルアプリは、OAuth 2.0とArcGIS Identity を使用して ArcGIS Online に登録できます。これにより、認証されたユーザーのみが登録されたサービスにアクセスできます。ArcGIS Online はストアされた資格情報を使用してサービスにアクセスするため、エディタの追跡は機能しません。ポータルと同様に、レート制限や特定のリファラーを定義してサービスにアクセスできます。
Server Proxy
別のアプローチとして、スタンドアロンの ArcGIS Enterprise サーバーサイトとサーバープロキシを使用して、統合Web アプリからセキュリティ保護されたサービスにアクセスする方法が考えられます。
以下の図2 では、統合システムの Web アプリ クライアントが、統合システムのアプリケーション サーバーにホストされたプロキシに GIS リクエストを送信するように設定されています。統合アプリケーション サーバーは、プロキシへのアクセスを保護し、アプリケーションの認証されたユーザーのみがプロキシにアクセスできるようにし、ArcGIS Enterprise サーバーの資格情報を保護 (暗号化) する責任を持ちます。プロキシはクライアントを代表してArcGIS Enterpriseサーバー トークン セキュリティを処理し、サーバーに組み込まれたアプリケーション アカウントまたは Active Directory / LDAP サービス アカウントを使用して、内部のスタンドアロン ArcGIS Enterprise サーバーサイトにリクエストを送信します。リバース プロキシは、統合アプリサーバーのIP (リストまたは範囲) からのリクエストのみを許可し、他のソースからのリクエストはブロックするように構成されています。
ArcGIS Enterprise の配置パターンを理解することで、セキュリティに配慮した設計を進めていくことが可能になります。GIS 活用の中での DX推進のヒントにしてみてください。