Skip To Content

استخدم البوابة الإلكترونية الخاصة بك مع بروتوكول LDAP والدليل النشط ومصادقة طبقة بوابة إلكترونية

يمكنك تأمين الوصول للبوابة الإلكترونية باستخدام بروتوكول الوصول للدليل الخفيف (LDAP) أو دليل Windows النشط. عند استخدام مصادقة LDAP، تتم إدارة تسجيلات الدخول عبر خادم LDAP للمؤسسة. عند استخدام دليل Windows النشط، تتم إدارة تسجيلات الدخول في دليل Microsoft Windows النشط. عند تحديث مخزن هوية البوابة الإلكترونية للدليل النشط أو LDAP، يمكنك تكوين المصادقة في طبقة البوابة الإلكترونية.

تكوين المؤسسة لاستخدام HTTPS لجميع الاتصالات

افتراضيَّا يقوم ArcGIS Enterprise بفرض HTTPS على كل الاتصال. إذا كنت قد قمت مسبقًا بتغيير هذا الخيار للسماح بالاتصال عبر كل من HTTP وHTTPS، فينبغي عليك إعادة تكوين المؤسسة لاستخدام الاتصال عبر HTTPS فقط باتباع الخطوات الواردة أدناه:

  1. تسجيل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول المؤسسة. عنوان URL يكون بتنسيق https://webadaptorhost.domain.com/webadaptorname/home.
  2. في صفحة المؤسسة، انقر فوق علامة التبويب الإعدادات ثم انقر فوق الأمان.
  3. تحقق من السماح بالوصول للبوابة الإلكترونية عبر HTTPS فقط.
  4. انقر فوق حفظ لتطبيق التغييرات.

تحديث مخزن هوية المؤسسة

بعد ذلك، قم بتحديث مخزن هوية البوابة الإلكترونية لاستخدام إما LADP أو مستخدمي ومجموعات الدليل النشط.

تحديث مخزن الهوية باستخدام بروتوكول LDAP

  1. سجّل الدخول إلى دليل مسؤول البوابة الإلكترونية بصفتك مسؤول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. انقر فوق الأمان > تكوين > تحديث مخزن الهوية.
  3. في المربع النصي تكوين متجر المستخدم (في تنسيق JSON) ، ألصق معلومات تكوين مستخدم LDAP للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user وuserPassword وldapURLForUsers يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.

    في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL كما يلي:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المنظمة. على الرغم من كتابة كلمة المرور في نص فارغ، ستُشفر عند النقر فوق تحديث مخزن الهوية (أدناه).

    إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد المعلمة caseSensitive لتكون صحيحة.

  4. لإنشاء المجموعات في البوابة الإلكترونية التي تستخدم مجموعات LDAP الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة LDAP للمؤسسة (بتنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user وuserPassword وldapURLForUsers يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.

    في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL كما يلي:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن عناوين البريد الإلكتروني والأسماء الكاملة للمستخدمين في المنظمة. على الرغم من كتابة كلمة المرور في نص فارغ، ستُشفر عند النقر فوق تحديث مخزن الهوية (أدناه).

    إذا تم تكوين LDAP ليكون حساس لحالة الأحرف، حدد المعلمة caseSensitive لتكون صحيحة.

  5. انقر فوق تحديث مخزن الهوية لحفظ التغييرات التي أجريتها.

تحديث مخزن الهوية باستخدام الدليل النشط

  1. سجّل الدخول إلى دليل مسؤول البوابة الإلكترونية بصفتك مسؤول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. انقر فوق الأمان > تكوين > تحديث مخزن الهوية.
  3. في المربع النصي تكوين مخزن المستخدم (بتنسيق JSON)، ألصق معلومات تكوين مستخدم دليل Windows النشط للمؤسسة (في تنسيق JSON). وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المستخدم المُحددة للمؤسسة.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، ستُشفر عند النقر فوق تحديث مخزن الهوية (أدناه). يتطلب الحساب الذي تقوم بتحديده لمعلمات المستخدم التصاريح فقط للبحث عن عناوين البريد الإلكتروني والاسم الكامل لحسابات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.

    في هذه الحالة النادرة التي يتم فيها تكوين دليل Windows النشط ليكون حساس للحالة، عيّن معلمة caseSensitive على صحيح.

  4. لإنشاء مجموعات في البوابة الإلكترونية التي تستخدم مجموعات الدليل النشط الحالية في مخزن الهوية، ألصق معلومات تكوين مجموعة الدليل النشط Windows الخاصة بالمؤسسة (بتنسيق JSON) في المربع النصي تكوين مخزن المجموعة (بتنسيق JSON) كما هو مُوضح أدناه. وبديلاً عن ذلك، يمكنك تحديث النموذج التالي مع معلومات المجموعة المُحددة للمؤسسة. إذا كنت ترغب في استخدام المجموعات المضمنة للبوابة الإلكترونية، احذف أي معلومات في المربع النصي وتخطى هذه الخطوة.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات userPassword و user. على الرغم من كتابة كلمة المرور في نص فارغ، ستُشفر عند النقر فوق تحديث مخزن الهوية (أدناه). يحتاج الحساب الذي تحدده لمُعلمة المستخدم إلى التصاريح للبحث عن أسماء مجموعات Windows على الشبكة. إن أمكن، حدد الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.

  5. انقر فوق تحديث مخزن الهوية لحفظ التغييرات التي أجريتها.

اختياريًا قم بتكوين معلمات مخزن الهوية الإضافي

يوجد معلمات تكوين مخزن الهوية الإضافية التي يمكن تعديلها باستخدام دليل مسؤول البوابة الإلكترونية. تشمل هذه المعلمات خيارات مثل تقييد المجموعات التي يتم تحديثها تلقائيًا عند تسجيل دخول مستخدم معين للمؤسسة في البوابة الإلكترونية، وتعيين الفاصل الزمني لتحديث العضوية، وتحديد ما إذا يتم التحقق من العديد من تنسيقات اسم المستخدم. راجع تحديث مخزن الهوية للحصول على تفاصيل.

تكوين مصادقة طبقة البوابة الإلكترونية

عند تكوين البوابة الإلكترونية مع الدليل النشط أو مخزن هوية LDAP ، سوف يتعين عليك تمكين الوصول المجهول من خلال محول الويب في IIS أو خادم تطبيق Java الخاص بك. عند وصول أحد المستخدمين إلى صفحة تسجيل الدخول بالمؤسسة، يمكنه تسجيل الدخول باستخدام بيانات الاعتماد الخاصة بالمؤسسة أو بيانات الاعتماد المضمنة. سيُطلب من المستخدمين التابعين للمؤسسة إدخال بيانات اعتماد حسابهم في كل مرة يسجلون الدخول فيها إلى البوابة الإلكترونية؛ ولن يتوفر تسجيل الدخول التلقائي ولا تسجيل الدخول الفردي. يسمح هذا النوع من المصادقة أيضًا بوصول المستخدمين مجهولي الهوية إلى الخرائط أو موارد المؤسسة الأخرى التي تتم مشاركتها مع الجميع.

تحقق من إمكانية وصولك إلى البوابة الإلكترونية باستخدام بيانات الاعتماد

  1. افتح موقع بوابة ArcGIS Enterprise الإلكترونية. يكون عنوان URL بتنسيق: https://webadaptorhost.domain.com/webadaptorname/home.
  2. تسجيل الدخول باستخدام بيانات اعتماد حساب معين للمؤسسة (على سبيل المثال، بناء الجملة أدناه).

عند استخدام مصادقة طبقة البوابة الإلكترونية، سيسجل الأعضاء الدخول باستخدام بناء الجملة التالي:

  • إذا اُستخدمت البوابة الإلكترونية مع الدليل النشط، فيُمكن أن تكون الصيغة domain\username أو username@domain. بغض النظر عن كيفية تسجيل دخول الأعضاء، سيتم عرض اسم المستخدم دائمًا ليكون username@domain في موقع البوابة الإلكترونية على الويب.
  • عند استخدام البوابة الإلكترونية مع بروتوكول الوصول الخفيف إلى الدليل (LDAP)، يعتمد بناء الجملة على usernameAtrribute المحدد في تكوين مخزن المستخدم. سيعرض موقع البوابة الإلكترونية على الويب الحساب في هذا التنسيق.

إضافة الحسابات الخاصة بالمؤسسة إلى البوابة الإلكترونية

افتراضيًا، يمكن وصول المستخدمين المحددين لمؤسسة ما إلى موقع البوابة الإلكترونية على الويب. على الرغم من ذلك، يمكنهم عرض أنهم قاموا بالعرض مع الجميع في المؤسسة فقط. يكون ذلك بسبب إضافة الحسابات المحددة للمؤسسة للبوابة الإلكترونية ومنحها امتيازات الوصول.

قم بإضافة حسابات إلى مؤسستك باستخدام أحد الأساليب التالية:

يُوصَى بتعيين حساب واحد محدد للمؤسسة على الأقل باعتباره مسؤول البوابة الإلكترونية. يمكنك إجراء ذلك عن طريق اختيار دور المسؤول عند إضافة الحساب. عند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.

بمجرد إضافة الحسابات، يمكن للمستخدمين تسجيل الدخول إلى المؤسسة والوصول إلى المحتوى.