استخدام LDAP وPKI لتأمين الوصول إلى البوابة الإلكترونية—Portal for ArcGIS

عند استخدام بروتوكول الوصول للدليل الحفيف (LDAP) لمصادقة المستخدمين، يمكن استخدام البنية التحتية للمفتاح العام (PKI) لتأمين الوصول إلى البوابة الإلكترونية.

لاستخدام LDAP وPKI، يجب إعداد مصادقة شهادة العميل المستند إلى PKI باستخدام ArcGIS Web Adaptor (Java Platform) المنشور في خادم تطبيق جافا. لا يمكنك استخدام ArcGIS Web Adaptor (IIS) لإنشاء مصادقة شهادة العميل المستندة إلى PKI مع LDAP. إذا لم تقم، بتثبيت وتكوين ArcGIS Web Adaptor (Java Platform) مع البوابة الإلكترونية.

ملاحظة:‏

عند إضافة موقع ArcGIS for Server إلى البوابة الإلكترونية وتريد استخدام LDAP مع الخادم، يتعين عليك تعطيل مصادقة شهادة العميل المستندة إلى PKI في موقع ArcGIS for Server وتمكين الوصول المجهول قبل إضافته إلى البوابة الإلكترونية. على الرغم من كون ذلك معارضًا للتوقعات البديهية، إلا أنه يُعد ضروريًا حتى يمكن توحيد الموقع مجانًا مع البوابة الإلكترونية وقراءة مستخدمي وأدوار البوابة الإلكترونية. إذا لم يستخدم موقع ArcGIS for Server مصادقة شهادة العميل المستندة إلى PKI، فلن يتطلب وجود أي إجراءات على البوابة الإلكترونية. لمزيد من التعليمات عن كيفية إضافة الخادم إلى البوابة الإلكترونية، راجع موضوع توحيد موقع ArcGIS for Server مع البوابة الإلكترونية.

تكوين البوابة الإلكترونية باستخدام LDAP

أولاً، قم بتكوين البوابة الإلكترونية لاستخدام HTTPS لجميع الاتصالات. بعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي LDAP والمجموعات.

قم بتكوين البوابة الإلكترونية لاستخدام HTTPS لجميع الاتصالات.

تسجيل الدخول على موقع البوابة الإلكترونية على الويب بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
في صفحة المؤسسة، انقر على تحرير الإعدادات، ثم انقر على التأمين.
تحقق من السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
انقر فوق حفظ لتطبيق التغييرات.

تحديث متجر هوية البوابة الإلكترونية

سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
انقر على تأمين > Config > تحديث متجر الهوية.
في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}
```
في معظم الحالات، ستحتاج تعديل القيم فقط لمعلمات userوuserPasswordوldapURLForUsersوuserSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة الموضوع لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث userSearchAttribute لمطابقة معلمة الموضوع في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المنظمة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد معلمة caseSensitive لتكون صحيحة.
إذا كنت ترغب في إنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة LDAP للمؤسسة (في تنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
في معظم الحالات، لا حاجة إلا لتغيير قيم معلمات userوuserPasswordوldapURLForUsersوldapURLForUsersوuserSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة الموضوع لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث userSearchAttribute لمطابقة معلمة الموضوع في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد معلمة caseSensitive لتكون صحيحة.
انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.

أضف الحسابات المؤسسية للبوابة الإلكترونية

تلقائيًا، يمكن وصول المستخدمين المؤسسين لموقع البوابة الإلكترونية. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب إضافة الحسابات المؤسسية للبوابة الإلكترونية ومنحها امتيازات الوصول.

إضافة حسابات للبوابة الإلكترونية باستخدام الأساليب التالية:

موقعPortal for ArcGIS ، (مرة واحدة، مجموعة من ملف CSV، أو من مجموعات مؤسسية حالية)
برنامج بايثون النصي
أدوات سطر الأمر المساعدة
تلقائيًا

يُوصَى بتعيين حساب مؤسسي واحد على الأقل باعتباره مسئول للبوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسئول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسئول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسئول الأولي لمزيد من المعلومات.

بمجرد إضافة الحسابات واكتمال الخطوات التالية، سيتمكن المستخدمين من تسجيل الدخول إلى المؤسسة والوصول للمحتوى.

تكوين ArcGIS Web Adaptor لاستخدام مصادقة PKI

بمجرد تثبيت وتكوين ArcGIS Web Adaptor (Java Platform) في البوابة الإلكترونية، قم بتكوين نطاق LDAP على خادم تطبيق الجافا وتكوين مصادقة شهادة العميل بناءً على PKI لـ ArcGIS Web Adaptor. للحصول على التعليمات، راجع مسئول النظام أو وثائق المنتج لخادم تطبيق الجافا.

تحقق من إمكانية وصولك إلى البوابة الإلكترونية باستخدام LDAP وPKI‎

افتح موقع البوابة الإلكترونية على الويب. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
تحقق من طلب بيانات اعتماد الأمان منك وإمكانية الوصول إلى موقع الويب.

منع المستخدمين من إنشاء حساباتهم المضمنة

لمنع الأشخاص من إنشاء حسابات مضمنة خاصة، قم بتعطيل زر إنشاء حساب وقم بتسجيل الدخول إلى الصفحة (signup.html) في موقع البوابة الإلكترونية حيث لا يمكن للأشخاص إنشاء حساباتهم. وهو ما يعني أنه يمكن لجميع الأعضاء تسجيل الدخول إلى البوابة الإلكترونية باستخدام اعتماداتهم المؤسسية، ويتعذر إنشاء حسابات الأعضاء غير الضروريين. راجع موضوع "تعطيل إمكانية المستخدمين لإنشاء حسابات البوابة الإلكترونية الداخلية" لمزيد من التعليمات.

هل تريد إبداء ملاحظات على هذا الموضوع؟