عند استخدام دليل Windows Active لمصادقة المستخدمين، يمكنك استخدام البنية التحتية للمفتاح العام (PKI) لتأمين الوصول إلى البوابة الإلكترونية.
لاستخدام مصادقة Windows المتكاملة و PKI، يجب استخدام ArcGIS Web Adaptor (IIS) المنشور إلى خادم ويب IIS التابع لـ Microsoft. لا يمكنك استخدام ArcGIS Web Adaptor (Java Platform) لتنفيذ مصادقة Windows متكاملة. إذا لم تقم بذلك، فقم بتثبيت وتكوين ArcGIS Web Adaptor (IIS) مع البوابة الإلكترونية.
ملاحظة:
عند إضافة موقع ArcGIS Server إلى البوابة الإلكترونية وتريد استخدام دليل Windows Active وPKI مع الخادم، يجب تعطيل مصادقة شهادة العميل التي تعتمد على PKI في موقع ArcGIS Server وتمكين الوصول المجهول قبل إضافته إلى البوابة الإلكترونية. على الرغم من كون ذلك معارضًا للتوقعات البديهية، إلا أنه يُعد ضروريًا حتى يمكن توحيد الموقع مجانًا مع البوابة الإلكترونية وقراءة مستخدمي وأدوار البوابة الإلكترونية. إذا لم يستخدم موقع ArcGIS Server مصادقة شهادة العميل المستندة إلى PKI، فلن يتطلب اتخاذ أي إجراءات من جانبك. لمزيد من التعليمات عن كيفية إضافة الخادم إلى البوابة الإلكترونية، راجع موضوع توحيد موقع ArcGIS Server مع البوابة الإلكترونية.
تكوين البوابة الإلكترونية مع دليل Windows Active
أولاً، قم بتكوين البوابة الإلكترونية لاستخدام SSL لكل الاتصالات. قم بعد ذلك بتحديث مخزن هوية البوابة الإلكترونية لاستخدام مستخدمي ومجموعات دليل Windows Active.
قم بتكوين البوابة الإلكترونية لاستخدام HTTPS لجميع الاتصالات.
- تسجيل الدخول على موقع البوابة الإلكترونية على الويب بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- انقر فوق المؤسسة وانقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان في الجانب الأيسر للصفحة.
- قم بتمكين السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
تحديث متجر هوية البوابة الإلكترونية
بعد ذلك، قم بتحديث متجر هوية البوابة الإلكترونية لاستخدام مستخدمي ومجموعات الدليل النشط.
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق أمان > تكوين > Update متجر الهوية.
- في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم دليل Windows النشط للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل). يتطلب الحساب الذي تقوم بتحديده لمعلمات المستخدم التصاريح فقط للبحث عن عناوين البريد الإلكتروني والاسم الكامل لحسابات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
في هذه الحالة النادرة يوجد دليل Windows النشط قد تم تكوينه ليكون حساس، حدد معلمة caseSensitive لتكون "صحيح".
- إذا كنت ترغب في إنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة دليل Windows النشط للمؤسسة (في تنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، سيتم تشفيره عند النقر على تحديث التكوين (بالأسفل). يحتاج الحساب الذي تحدده لمُعلمة المستخدم إلى التصاريح للبحث عن أسماء مجموعات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
- انقر فوق تحديث التكوين لحفظ التغيرات التي أجريتها.
- إذا قمت بتكوين بوابة إلكترونية متوفرة إلى حد كبير، أعد تشغيل جميع أجهزة البوابة الإلكترونية. راجع إيقاف تشغيل وبدء تشغيل البوابة الإلكترونية للحصول على التعليمات بالكامل.
أضف الحسابات المؤسسية للبوابة الإلكترونية
تلقائيًا، يمكن وصول المستخدمين المؤسسين لموقع البوابة الإلكترونية. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب إضافة الحسابات المؤسسية للبوابة الإلكترونية ومنحها امتيازات الوصول.
إضافة حسابات للبوابة الإلكترونية باستخدام الأساليب التالية:
- موقع Portal for ArcGIS، (مرة واحدة، مجموعة من ملف CSV، أو من مجموعات مؤسسية حالية)
- برنامج بايثون النصي
- أدوات سطر الأمر المساعدة
- تلقائيًا
يُوصَى بتعيين حساب مؤسسي واحد على الأقل باعتباره مسؤول للبوابة الإلكترونية. يمكنك القيام بذلك باختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
بمجرد إضافة الحسابات واكتمال الخطوات التالية، سيتمكن المستخدمين من تسجيل الدخول إلى المؤسسة والوصول للمحتوى.
تثبيت مصادقة تعيين شهادة عميل الدليل النشط وتمكينه
تعيين شهادة عميل الدليل النشط غير متاح في التثبيت الافتراضي لـ IIS. يجب تثبيت الميزة وتمكينها.
تثبيت مصادقة تعيين شهادة العميل
تتنوع تعليمات تثبيت المعالم استنادًا إلى نظام التشغيل.
التثبيت مع Windows Server 2016
أكمل الخطوات التالية لتثبيت مصادقة تعيين شهادة العميل مع Windows Server 2016:
- افتح الأدوات الإدارية وانقر فوق مدير الخادم.
- في جزء مدير الخادم الهرمي، قم بتوسيع الأدوار وانقر فوق خادم الويب (IIS).
- قم بتوسيع خادم الويب وأدوار الأمان.
- في قسم دور الأمان، حدد مصادقة تعيين شهادة العميل وانقر فوق التالي.
- انقر فوق التالي من خلال علامة التبويب تحديد المعالم وانقر فوق تثبيت.
التثبيت مع Windows Server 2008/R2 و 2012/R2
أكمل الخطوات التالية لتثبيت مصادقة تعيين شهادة العميل مع Windows Server 2008/R2 و 2012/R2:
- افتح الأدوات الإدارية وانقر فوق مدير الخادم.
- في جزء مدير الخادم الهرمي، قم بتوسيع الأدوار وانقر فوق خادم الويب (IIS).
- قم بالتمرير وصولا لجزء خدمات الدور وانقر فوق إضافة خدمات الدور.
- من على صفحة تحديد خدمات الدور لمعالج إضافة خدمات الدور، حدد مصادقة تعيين شهادة العميل وانقر فوق التالي.
- انقر فوق تثبيت.
التثبيت مع Windows 7 و 8 و 8.1
أكمل الخطوات التالية لتثبيت مصادقة تعيين شهادة العميل مع Windows 7 و 8 و 8.1:
- افتح لوحة التحكم وانقر فوق البرامج والمعالم > قم بتشغيل معالم Windows وإيقاف تشغيلها.
- قم بتوسيع خدمات معلومات الانترنت > خدمات شبكة الإنترنت العالمية > أمن ومن ثم حدد مصادقة تعيين شهادة العميل.
- انقر على موافق.
تمكين مصادقة تعيين شهادة عميل الدليل النشط
بعد تثبيت تعيين شهادة عميل الدليل النشط، قم بتمكين الميزة باتباع الخطوات التالية.
- ابدأ تشغيل مدير Internet Information Server (IIS).
- في عقدة الاتصالات ، انقر فوق اسم خادم الويب.
- انقر مرتين فوق مصادقة في نافذة عرض المعالم.
- تأكد من عرض مصادقة شهادة عميل الدليل النشط. إذا لم تكن المعالم معروضة أو غير متاحة، يمكن أن تحتاج إلى إعادة تشغيل خادم الويب لإكمال عملية تثبيت معالم مصادقة شهادة عميل الدليل النشط.
- انقر مرتين على مصادقة شهادة عميل الدليل النشط واختر تمكين في نافذة الإجراءات.
تشير الرسالة المعروضة على أنه يتعين تمكين SSL لاستخدام مصادقة شهادة عميل الدليل النشط. ستقوم بعنونة هذا في الجزء التالي.
تكوين ArcGIS Web Adaptor لطلب شهادات SSL وشهادات العميل
أكمل الخطوات التالية لتكوين ArcGIS Web Adaptor لطلب شهادات SSL وشهادات العميل:
- ابدأ تشغيل مدير خدمات معلومات الإنترنت (IIS).
- قم بتوسيع عقدة الاتصالات وحدد موقع ArcGIS Web Adaptor.
- انقر مرتين فوق مصادقة في نافذة عرض المعالم.
- تعطيل جميع أشكال المصادقة.
- حدد ArcGIS Web Adaptor من قائمة الاتصالات مرة أخرى.
- انقر مرتين فوق إعدادات SSL.
- قم بتمكين خيار مطلوب SSL ، واختر خيار مطلوب أدنى شهادات العميل.
- انقر فوق تطبيق لحفظ التغييرات.
تحقق من إمكانية الوصول إلى البوابة الإلكترونية باستخدام دليل Windows Active وPKI
أكمل الخطوات التالية للتحقق من إمكانية الوصول إلى البوابة الإلكترونية باستخدام دليل Windows Active وPKI:
- افتح موقع البوابة الإلكترونية على الويب.
عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
- تحقق من طلب بيانات اعتماد الأمان منك وإمكانية الوصول إلى موقع الويب.
منع المستخدمين من إنشاء حساباتهم المضمنة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.