عند استخدام بروتوكول الوصول للدليل الحفيف (LDAP) لمصادقة المستخدمين، يمكن استخدام البنية التحتية للمفتاح العام (PKI) لتأمين الوصول إلى البوابة الإلكترونية.
لاستخدام LDAP وPKI، يجب إعداد مصادقة شهادة العميل المستند إلى PKI باستخدام ArcGIS Web Adaptor (Java Platform) المنشور في خادم تطبيق جافا. لا يمكنك استخدام ArcGIS Web Adaptor (IIS) (IIS) لإنشاء مصادقة شهادة العميل المستندة إلى PKI مع LDAP. إذا لم تكن قد قمت بذلك بالفعل، قم بـ تثبيت و تكوين ArcGIS Web Adaptor (Java Platform) مع البوابة الإلكترونية.
ملاحظة:
عند إضافة موقع ArcGIS Server إلى البوابة الإلكترونية وتريد استخدام LDAP و PKI مع الخادم، يجب تعطيل مصادقة شهادة العميل التي تعتمد على PKI في موقع ArcGIS Server وتمكين الوصول المجهول قبل إضافته إلى البوابة الإلكترونية. على الرغم من كون ذلك معارضًا للتوقعات البديهية، إلا أنه يُعد ضروريًا حتى يمكن توحيد الموقع مجانًا مع البوابة الإلكترونية وقراءة مستخدمي وأدوار البوابة الإلكترونية. إذا لم يستخدم موقع ArcGIS Server مصادقة شهادة العميل المستندة إلى PKI، فلن يتطلب اتخاذ أي إجراءات من جانبك. لمزيد من التعليمات عن كيفية إضافة الخادم إلى البوابة الإلكترونية، راجع موضوع توحيد موقع ArcGIS for Server مع البوابة الإلكترونية.
تكوين البوابة الإلكترونية باستخدام LDAP
افتراضيَّا يقوم Portal for ArcGIS بفرض HTTPS على كل الاتصال. في حالة قيامك في السابق بتغيير هذا الخيار للسماح بالاتصال عبر HTTP و HTTPS، ستحتاج إلى إعادة تكوين البوابة الإلكترونية لاستخدام الاتصال عبر HTTPS فقط باتباع الخطوات أدناه.
قم بتكوين البوابة الإلكترونية لاستخدام HTTPS لجميع الاتصالات.
- تسجيل الدخول على موقع البوابة الإلكترونية على الويب بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
- قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
تحديث متجر هوية البوابة الإلكترونية
وبعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي LDAP والمجموعات.
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر على تأمين > Config > تحديث متجر الهوية.
- في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
في معظم الحالات، ستحتاج تعديل القيم فقط لمعلمات user و userPassword و ldapURLForUsers و userSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة الموضوع لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث معلمة userSearchAttribute لمطابقة معلمة الموضوع في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المنظمة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على صحيح.
- إذا كنت ترغب في إنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة LDAP للمؤسسة (في تنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، لا حاجة إلا لتغيير قيم معلمات user و userPassword و ldapURLForUsers و ldapURLForGroups و userSearchAttribute. تكون قيمة userSearchAttribute هي قيمة معلمة الموضوع لشهادة PKI. إذا استخدمت المؤسسة بيانات جدولية أخرى في شهادة PKI، مثل البريد الإلكتروني، يتعين عليك تحديث معلمة userSearchAttribute لمطابقة معلمة الموضوع في شهادة PKI. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل).
إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، قم بتعيين معلمة caseSensitive على صحيح.
- انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
- إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.
أضف الحسابات المؤسسية للبوابة الإلكترونية
تلقائيًا، يمكن وصول المستخدمين المؤسسين لموقع البوابة الإلكترونية. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب إضافة الحسابات المؤسسية للبوابة الإلكترونية ومنحها امتيازات الوصول.
إضافة حسابات للبوابة الإلكترونية باستخدام الأساليب التالية:
- موقع Portal for ArcGIS، (مرة واحدة، مجموعة من ملف CSV، أو من مجموعات مؤسسية حالية)
- برنامج بايثون النصي
- أدوات سطر الأمر المساعدة
- تلقائيًا
يُوصَى بتعيين حساب مؤسسي واحد على الأقل باعتباره مسؤول للبوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
بمجرد إضافة الحسابات واكتمال الخطوات التالية، سيتمكن المستخدمين من تسجيل الدخول إلى المؤسسة والوصول للمحتوى.
تكوين ArcGIS Web Adaptor لاستخدام مصادقة PKI
بمجرد تثبيت وتكوين ArcGIS Web Adaptor (Java Platform) في البوابة الإلكترونية، قم بتكوين نطاق LDAP على خادم تطبيق الجافا وتكوين مصادقة شهادة العميل بناءً على PKI لـ ArcGIS Web Adaptor. للحصول على التعليمات، راجع مسئول النظام أو وثائق المنتج لخادم تطبيق الجافا.
التحقق من الوصول إلى البوابة باستخدام LDAP و PKI
للتحقق من إمكانية وصولك إلى البوابة الإلكترونية باستخدام LDAP وPKI، أكمل الخطوات التالية:
- افتح موقع البوابة الإلكترونية على الويب. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- تحقق من طلب بيانات اعتماد الأمان منك وإمكانية الوصول إلى موقع الويب.
منع المستخدمين من إنشاء حساباتهم المضمنة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.