عند استخدام بروتوكول الوصول الخفيف إلى الدليل (LDAP) لمصادقة المستخدمين، يمكنك استخدام مصادقة شهادة العميل المستندة إلى البنية التحتية للمفتاح العام (PKI) لتأمين الوصول إلى مؤسسة ArcGIS Enterprise.
لاستخدام LDAP وPKI، يجب عليك إعداد مصادقة شهادة العميل باستخدام ArcGIS Web Adaptor (Java Platform) المنشور على خادم التطبيق Java. لا يمكنك استخدام ArcGIS Web Adaptor (IIS) لإجراء مصادقة شهادة العميل باستخدام LDAP. إذا لم تكن قد قمت بذلك بالفعل، قم بـ تثبيت و تكوين ArcGIS Web Adaptor (Java Platform) مع البوابة الإلكترونية.
تكوين مؤسستك باستخدام بروتوكول LDAP
افتراضيًا، تفرض مؤسسة ArcGIS Enterprise HTTPS على كل الاتصالات. في حالة قيامك في السابق بتغيير هذا الخيار للسماح بالاتصال عبر HTTP و HTTPS، ستحتاج إلى إعادة تكوين البوابة الإلكترونية لاستخدام الاتصال عبر HTTPS فقط باتباع الخطوات أدناه.
تكوين المؤسسة لاستخدام HTTPS لجميع الاتصالات
أكمل الخطوات التالية لتكوين المؤسسة لاستخدام HTTPS:
- قم بتسجيل الدخول إلى موقع المؤسسة على الويب كمسئول.
عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
- قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
تحديث متجر هوية البوابة الإلكترونية
وبعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي LDAP والمجموعات.
- قم بتسجيل الدخول إلى ArcGIS Portal Directory كمسؤول في مؤسستك.
عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق الأمان > التكوين > تحديث متجر الهوية.
- في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، قم بتحديث النموذج التالي باستخدام معلومات المستخدم المُحددة للمؤسسة.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }في معظم الحالات، ستحتاج تعديل القيم فقط لمعلمات user و userPassword و ldapURLForUsers و userSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة Subject لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث معلمة userSearchAttribute لمطابقة معلمة Subject في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات للبحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على true.
- إذا كنت ترغب في إنشاء مجموعات في البوابة الإلكترونية التي تستخدم مجموعات LDAP الحالية في مخزن الهوية، فألصق معلومات تكوين مجموعة LDAP للمؤسسة (بتنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، قم بتحديث النموذج التالي باستخدام معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }في معظم الحالات، لا حاجة إلا لتغيير قيم معلمات user و userPassword و ldapURLForUsers و ldapURLForGroups و userSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة Subject لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث معلمة userSearchAttribute لمطابقة معلمة Subject في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على true.
- انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
- إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.
إضافة الحسابات الخاصة بالمؤسسة
افتراضيًا، يمكن وصول المستخدمين المحددين لمؤسسة ما إلى مؤسسة ArcGIS Enterprise. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب عدم إضافة الحسابات المحددة للمؤسسة ومنحها امتيازات الوصول.
قم بإضافة حسابات إلى مؤسستك باستخدام أحد الأساليب التالية:
- بشكل فردي أو مجمّع (واحدًا تلو الآخر، أو مجمّعًا من ملف .csv، أو من مجموعات الدليل النشط الموجودة)
- أدوات سطر الأمر المساعدة
- تلقائيًا
يُوصَى بتعيين حساب واحد محدد للمؤسسة على الأقل باعتباره مسؤول البوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
بمجرد إضافة الحسابات واكتمال الخطوات التالية، يستطيع المستخدمون تسجيل الدخول إلى المؤسسة والوصول للمحتوى.
تكوين ArcGIS Web Adaptor لاستخدام مصادقة شهادة العميل
بمجرد تثبيت وتكوين ArcGIS Web Adaptor (Java Platform) مع المؤسسة، قم بتكوين نطاق LDAP على خادم تطبيق Java وتكوين مصادقة شهادة العميل القائمة على PKI لـ ArcGIS Web Adaptor. للحصول على التعليمات، راجع مسئول النظام أو وثائق المنتج لخادم تطبيق Java.
ملاحظة:
كي تعمل مصادقة شهادة العميل، يجب تعطيل TLS 1.3 في خادم تطبيق Java.
التحقق من الوصول إلى المؤسسة باستخدام LDAP ومصادقة شهادة العميل
للتحقق من إمكانية الوصول إلى البوابة الإلكترونية باستخدام LDAP ومصادقة شهادة العميل، أكمل الخطوات التالية:
- افتح موقع بوابة ArcGIS Enterprise الإلكترونية. عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.عنوان URL يكون بتنسيق https://organization.example.com/<context>/home.
- تحقق من طلب بيانات اعتماد الأمان منك وإمكانية الوصول إلى موقع الويب.
منع المستخدمين من إنشاء حساباتهم المضمنة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة في إعدادات المؤسسة.