استخدم Windows Active Directory ومصادقة شهادة العميل لتأمين الوصول—Portal for ArcGIS

عند استخدام Windows Active Directory لمصادقة المستخدمين، يمكنك استخدام مصادقة شهادة العميل المستندة إلى البنية الأساسية للمفتاح العام (PKI) لتأمين الوصول إلى المؤسسة الخاصة بك.

لاستخدام مصادقة Windows المتكاملة ومصادقة شهادة العميل، يجب استخدام ArcGIS Web Adaptor (IIS) المنشور على خادم ويب IIS التابع لـ Microsoft. لا يمكنك استخدام ArcGIS Web Adaptor (Java Platform) لتنفيذ مصادقة Windows متكاملة. إذا لم تكن قد قمت بذلك بالفعل، فقم بـ تثبيت وتكوين ArcGIS Web Adaptor (IIS) مع بوابتك الإلكترونية.

تكوين البوابة الإلكترونية باستخدام Windows Active Directory

أولاً، قم بتكوين البوابة الإلكترونية لاستخدام SSL لكل الاتصالات. بعد ذلك، قم بتحديث مخزن هوية البوابة الإلكترونية لاستخدام مستخدمي ومجموعات Windows Active Directory.

تكوين المؤسسة لاستخدام HTTPS لجميع الاتصالات

أكمل الخطوات التالية لتكوين المؤسسة لاستخدام HTTPS:

قم بتسجيل الدخول إلى موقع المؤسسة على الويب كمسئول.
عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.

تحديث متجر هوية البوابة الإلكترونية

بعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي ومجموعات الدليل النشط.

سجّل الدخول إلى دليل مسؤول البوابة الإلكترونية بصفتك مسؤول المؤسسة.
عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
انقر فوق أمان > تكوين > Update متجر الهوية.
في المربع النصي تكوين مخزن المستخدم (بتنسيق JSON)، ألصق معلومات تكوين مستخدم دليل Windows النشط للمؤسسة (في تنسيق JSON).
وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة:
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "caseSensitive": "false"
  }
}
```
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل). يتطلب الحساب الذي تقوم بتحديده لمعلمات المستخدم التصاريح فقط للبحث عن عناوين البريد الإلكتروني والاسم الكامل لحسابات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
في هذه الحالة النادرة التي يتم فيها تكوين دليل Windows النشط ليكون حساس للحالة، حدد معلمة caseSensitive لتكون صحيح.
من أجل إنشاء مجموعات في البوابة الإلكترونية التي تستخدم مجموعات الدليل النشط الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة الدليل النشط Windows الخاصة بالمؤسسة (بتنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. لاستخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وقم بتخطي هذه الخطوة.
وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة.
```
{
  "type": "WINDOWS",
  "properties": {
    "isPasswordEncrypted": "false",
    "userPassword": "secret",
    "user": "mydomain\\winaccount"
  }
}
```
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل). يحتاج الحساب الذي تحدده لمُعلمة المستخدم إلى التصاريح للبحث عن أسماء مجموعات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.

إضافة الحسابات الخاصة بالمؤسسة

افتراضيًا، يمكن وصول المستخدمين المحددين لمؤسسة ما إلى مؤسسة ArcGIS Enterprise. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب عدم إضافة الحسابات المحددة للمؤسسة ومنحها امتيازات الوصول.

قم بإضافة حسابات إلى مؤسستك باستخدام أحد الأساليب التالية:

بشكل فردي أو مجمّع (واحدًا تلو الآخر، أو مجمّعًا من ملف .csv، أو من مجموعات الدليل النشط الموجودة)
أدوات سطر الأمر المساعدة
تلقائيًا

يُوصَى بتعيين حساب واحد محدد للمؤسسة على الأقل باعتباره مسؤول البوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.

بمجرد إضافة الحسابات واكتمال الخطوات التالية، يستطيع المستخدمون تسجيل الدخول إلى المؤسسة والوصول للمحتوى.

تثبيت مصادقة تعيين شهادة عميل الدليل النشط وتمكينه

تعيين شهادة عميل الدليل النشط غير متاح في التثبيت الافتراضي لـ IIS. يجب تثبيت الميزة وتمكينها.

التثبيت مع Windows Server 2016

أكمل الخطوات التالية لتثبيت مصادقة تعيين شهادة العميل مع Windows Server 2016:

افتح الأدوات الإدارية وانقر فوق مدير الخادم.
في جزء مدير الخادم الهرمي، قم بتوسيع الأدوار وانقر فوق خادم الويب (IIS).
قم بتوسيع خادم الويب وأدوار الأمان.
في قسم دور الأمان، حدد مصادقة تعيين شهادة العميل وانقر فوق التالي.
انقر فوق التالي من خلال علامة التبويب تحديد المعالم وانقر فوق تثبيت.

التثبيت مع Windows Server 2019 أو 2022

أكمل الخطوات التالية لتثبيت مصادقة تعيين شهادة العميل مع Windows Server 2019 أو 2022:

افتح الأدوات الإدارية وانقر فوق مدير الخادم.
في لوحة معلومات مدير الخادم، انقر فوق إضافة الأدوار والميزات.
اقبل الإعدادات الافتراضية وانقر فوق التالي في صفحات قبل أن تبدأ، ونوع التثبيت، وتحديد الخادم.
في صفحة أدوار الخادم، قم بتمكين خادم الويب (IIS) وانقر فوق التالي.
في صفحة الميزات، انقر فوق التالي.
في صفحة دور خادم الويب (IIS)، انقر فوق التالي.
في صفحة خدمات الدور، قم بتوسيع قسم الأمان.
في قسم الأمان، حدد مصادقة تعيين شهادة عميل IIS وانقر فوق التالي.
في صفحة التأكيد، انقر فوق تثبيت.

تمكين مصادقة تعيين شهادة عميل الدليل النشط

بعد تثبيت تعيين شهادة عميل الدليل النشط، أكمل الخطوات التالية لتمكين الميزة:

ابدأ تشغيل مدير Internet Information Server (IIS).
في عقدة الاتصالات ، انقر فوق اسم خادم الويب.
انقر مرتين فوق مصادقة في نافذة عرض المعالم.
تأكد من عرض مصادقة شهادة عميل الدليل النشط.
إذا لم تكن المعالم معروضة أو غير متاحة، يمكن أن تحتاج إلى إعادة تشغيل خادم الويب لإكمال عملية تثبيت معالم مصادقة شهادة عميل الدليل النشط.
انقر مرتين على مصادقة شهادة عميل الدليل النشط واختر تمكين في نافذة الإجراءات.

تظهر رسالة تشير إلى أنه يتعين تمكين SSL لاستخدام مصادقة شهادة عميل الدليل النشط. ستقوم بعنونة هذا في الجزء التالي.

تكوين ArcGIS Web Adaptor لطلب شهادات SSL وشهادات العميل

أكمل الخطوات التالية لتكوين ArcGIS Web Adaptor لطلب شهادات SSL وشهادات العميل:

ابدأ تشغيل مدير خدمات معلومات الإنترنت (IIS).
قم بتوسيع عقدة الاتصالات وحدد موقع ArcGIS Web Adaptor.
انقر مرتين فوق مصادقة في نافذة عرض المعالم.
تعطيل جميع أشكال المصادقة.
حدد ArcGIS Web Adaptor من قائمة الاتصالات مرة أخرى.
انقر مرتين فوق إعدادات SSL.
قم بتمكين خيار مطلوب SSL ، واختر خيار مطلوب أدنى شهادات العميل.
انقر فوق تطبيق لحفظ التغييرات.

ملاحظة:‏

كي تعمل مصادقة شهادة العميل في Microsoft Windows Server 2022، يجب تعطيل TLS 1.3 ضمن روابط موقع HTTPS.

تحقق من إمكانية الوصول إلى البوابة الإلكترونية باستخدام Windows Active Directory ومصادقة شهادة العميل.

أكمل الخطوات التالية للتحقق من إمكانية الوصول إلى البوابة الإلكترونية باستخدام Windows Active Directory والمصادقة بشهادة العميل:

افتح البوابة الإلكترونية.
عنوان URL بتنسيق https://organization.example.com/<context>/home.
تحقق من طلب بيانات اعتماد الأمان منك وإمكانية الوصول إلى موقع الويب.

منع المستخدمين من إنشاء حساباتهم المضمنة

يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة في إعدادات المؤسسة.

هل تريد إبداء ملاحظات على هذا الموضوع؟