يمكنك تأمين الوصول إلى مؤسستك باستخدام بروتوكول الوصول إلى الدليل الخفيف (LDAP). عند استخدام مصادقة LDAP، تتم إدارة تسجيلات الدخول عبر خادم LDAP للمؤسسة.
لاستخدام LDAP، يمكنك تعيين مصادقة طبقة البوابة الإلكترونية أو مصادقة طبقة الويب باستخدام ArcGIS Web Adaptor (Java Platform) الذي يتم نشره على خادم تطبيق Java. لا يمكنك استخدام ArcGIS Web Adaptor (IIS) لإجراء مصادقة طبقة الويب مع LDAP. إذا لم تقم، بتثبيت وتكوين ArcGIS Web Adaptor (Java Platform) مع البوابة الإلكترونية.
تكوين البوابة الإلكترونية باستخدام LDAP
افتراضيَّا يقوم Portal for ArcGIS بفرض HTTPS على كل الاتصال. في حالة قيامك في السابق بتغيير هذا الخيار للسماح بالاتصال عبر HTTP و HTTPS، ستحتاج إلى إعادة تكوين البوابة الإلكترونية لاستخدام الاتصال عبر HTTPS فقط باتباع الخطوات أدناه.
تكوين المؤسسة لاستخدام HTTPS لجميع الاتصالات
أكمل الخطوات التالية لتكوين المؤسسة لاستخدام HTTPS:
- قم بتسجيل الدخول إلى موقع المؤسسة على الويب كمسئول.
عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
- قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
تحديث متجر هوية البوابة الإلكترونية
وبعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي LDAP والمجموعات.
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر على تأمين > Config > تحديث متجر الهوية.
- في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user وuserPassword وldapURLForUsers يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمة المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في مؤسستك. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على صحيح.
- لإنشاء المجموعات في البوابة الإلكترونية التي تستخدم مجموعات LDAP الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة LDAP للمؤسسة (بتنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، ستحتاج فقط إلى تبديل القيم لمعلمات user و userPassword و ldapURLForUsers و ldapURLForUsers. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على صحيح.
- انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
- إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.
إضافة الحسابات الخاصة بالمؤسسة
افتراضيًا، يمكن وصول المستخدمين المحددين لمؤسسة ما إلى مؤسسة ArcGIS Enterprise. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب عدم إضافة الحسابات المحددة للمؤسسة ومنحها امتيازات الوصول.
قم بإضافة حسابات إلى مؤسستك باستخدام أحد الأساليب التالية:
- بشكل فردي أو مجمّع (واحدًا تلو الآخر، أو مجمّعًا من ملف .csv، أو من مجموعات الدليل النشط الموجودة)
- أدوات سطر الأمر المساعدة
- تلقائيًا
يُوصَى بتعيين حساب واحد محدد للمؤسسة على الأقل باعتباره مسؤول البوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
بمجرد إضافة الحسابات واكتمال الخطوات التالية، سيتمكن المستخدمين من تسجيل الدخول إلى المؤسسة والوصول للمحتوى.
تكوين ArcGIS Web Adaptor لاستخدام مصادقة طبقة الويب
بمجرد تثبيتك ArcGIS Web Adaptor (Java Platform) وتكوينه مع مؤسستك متبعًا دليل التثبيت المناسب، عليك تكوين خادم تطبيقات Java الخاص بك بمهمتين أساسيتين:
- التكامل مع مخزن هوية LDAP. سيسمح هذا لخادم تطبيقات Java بمصادقة المستخدمين المُدارين في مخزن LDAP.
- قم بتمكين آلية المصادقة المعتمدة على المستعرض، مثل المصادقة المعتمدة على النموذج أو مربع الحوار، لسياق مؤسسة ArcGIS Web Adaptor.
للحصول على تعليمات، راجع مستندات المنتج الخاصة بخادم تطبيق الجافا، أو خدمات Esri المتخصصة.
تحقق من إمكانية وصولك إلى البوابة الإلكترونية باستخدام LDAP
- افتح موقع البوابة الإلكترونية على الويب.
عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- تحقق من طلب بيانات اعتماد حساب LDAP. إذا لم ترَ السلوك الحالي، فتحقق من أن حساب LDAP المستخدم لتسجيل الدخول إلى الجهاز تمت إضافته إلى البوابة الإلكترونية.
منع المستخدمين من إنشاء حساباتهم المضمنة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.