Skip To Content

استخدام البوابة الإلكترونية مع LDAP ومصادقة طبقة الويب

يمكنك تأمين الوصول للبوابة الإلكترونية باستخدام بروتوكول الوصول للدليل الخفيف (LDAP). عند استخدام مصادقة LDAP، تتم إدارة تسجيلات الدخول عبر خادم LDAP للمؤسسة.

لاستخدام LDAP، يمكنك تعيين مصادقة طبقة البوابة الإلكترونية أو مصادقة طبقة الويب باستخدام ArcGIS Web Adaptor (نظام Java الأساسي) الذي يتم نشره على خادم تطبيق Java. لا يمكنك استخدام ArcGIS Web Adaptor (IIS) لإنشاء مصادقة طبقة الويب مع LDAP. إذا لم تقم، بتثبيت وتكوين ArcGIS Web Adaptor (Java Platform) مع البوابة الإلكترونية.

ملاحظة:‏

لاستخدام مصادقة طبقة الويب مع موقع ArcGIS Server موحد، يجب عليك تعطيل مصادقة طبقة الويب (بما في ذلك مصادقة شهادة العميل) وتمكين الوصول المجهول على ArcGIS Web Adaptor الذي تم تكوينه باستخدام موقع ArcGIS Server قبل توحيده مع البوابة الإلكترونية. على الرغم من كون ذلك معارضًا للتوقعات البديهية، إلا أنه يُعد ضروريًا حتى يمكن توحيد الموقع مجانًا مع البوابة الإلكترونية وقراءة مستخدمي وأدوار البوابة الإلكترونية. إذا لم يستخدم موقع ArcGIS Server الخاص بك مصادقة طبقة الويب بالفعل، فلا يلزم اتخاذ أي إجراء. لمزيد من التعليمات عن كيفية إضافة الخادم إلى البوابة الإلكترونية، راجع موضوع توحيد موقع ArcGIS Server مع البوابة الإلكترونية.

تكوين البوابة الإلكترونية باستخدام LDAP

بشكل افتراضي، يقوم Portal for ArcGIS بفرض HTTPS على كافة عمليات الاتصال. في حالة قيامك في السابق بتغيير هذا الخيار للسماح بالاتصال عبر HTTP و HTTPS، ستحتاج إلى إعادة تكوين البوابة الإلكترونية لاستخدام الاتصال عبر HTTPS فقط باتباع الخطوات أدناه.

قم بتكوين البوابة الإلكترونية لاستخدام HTTPS لجميع الاتصالات.

  1. تسجيل الدخول على موقع البوابة الإلكترونية على الويب بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
  2. انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
  3. قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.

تحديث متجر هوية البوابة الإلكترونية

وبعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي LDAP والمجموعات.

  1. سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. انقر على تأمين > Config > تحديث متجر الهوية.
  3. في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPasswordوldapURLForUsers. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.

    في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المنظمة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).

    إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد معلمة caseSensitive لتكون صحيحة.

  4. لإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة LDAP للمؤسسة (في تنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.

    {
      "type": "LDAP",  "properties": {
        "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",    "usernameAttribute": "uid",    "caseSensitive": "false",    "userSearchAttribute": "uid",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPassword, ldapURLForUsersوldapURLForUsers. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.

    في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).

    إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد معلمة caseSensitive لتكون صحيحة.

  5. انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
  6. إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.

أضف الحسابات المؤسسية للبوابة الإلكترونية

تلقائيًا، يمكن وصول المستخدمين المؤسسين لموقع البوابة الإلكترونية. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب إضافة الحسابات المؤسسية للبوابة الإلكترونية ومنحها امتيازات الوصول.

إضافة حسابات للبوابة الإلكترونية باستخدام الأساليب التالية:

يُوصَى بتعيين حساب مؤسسي واحد على الأقل باعتباره مسئول للبوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.

بمجرد إضافة الحسابات واكتمال الخطوات التالية، سيتمكن المستخدمين من تسجيل الدخول إلى المؤسسة والوصول للمحتوى.

‎تكوين ArcGIS Web Adaptor لاستخدام مصادقة طبقة الويب

بمجرد أن تقوم بتثبيت وتكوين ArcGIS Web Adaptor (Java Platform) من خلال بوابتك الإلكترونية باتباع دليل التثبيت المناسب، فإنك تحتاج إلى تكوين خادم تطبيقات Java الخاص بك بمهمتين أساسيتين:

  1. التكامل مع مخزن هوية LDAP. سيسمح هذا لخادم تطبيقات Java بمصادقة المستخدمين المُدارين في مخزن LDAP.
  2. قم بتمكين آلية المصادقة المعتمدة على المستعرض، مثل المصادقة المعتمدة على النموذج أو مربع الحوار، لسياق البوابة الإلكترونية ArcGIS Web Adaptor .

للحصول على تعليمات، راجع مستندات المنتج الخاصة بخادم تطبيق الجافا، أو خدمات Esri المتخصصة.

تحقق من إمكانية وصولك إلى البوابة الإلكترونية باستخدام LDAP

  1. افتح موقع البوابة الإلكترونية على الويب. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
  2. تحقق من طلب بيانات اعتماد الحساب المؤسسي. إذا لم ترى السلوك الحالي، تحقق من حساب مؤسسي المستخدم لتسجيل الدخول إلى الجهاز المُضاف إلى البوابة الإلكترونية.

منع المستخدمين من إنشاء حساباتهم المضمنة

يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.