Skip To Content

Utilizzare LDAP e PKI per proteggere l'accesso al portale

Quando si utilizza il protocollo LDAP (Lightweight Directory Access Protocol) per autenticare gli utenti, utilizzare l'autenticazione PKI per proteggere l'accesso al portale.

Per utilizzare LDAP e PKI, impostare un'autenticazione certificato client basata su PKI utilizzando ArcGIS Web Adaptor (Java Platform) distribuita in un server applicazioni Java. Non è possibile utilizzare ArcGIS Web Adaptor (IIS) per eseguire l'autenticazione certificato client basata su PKI con LDAP. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (Java Platform) con il portale.

Nota:

Se si intende aggiungere un sito di ArcGIS Server al portale e si desidera utilizzare LDAP e PKI con il server, sarà necessario disabilitare l'autenticazione certificato cliente basata su PKI sul sito di ArcGIS Server e abilitare l'accesso anonimo prima di aggiungerlo al portale. Anche se non sembra intuitiva, questa operazione è necessaria per consentire al sito di eseguire la federazione con il portale e leggere gli utenti ed i ruoli del portale. Se il sito di ArcGIS Server non utilizza l'autenticazione del certificato client basata su PKI, non è richiesto alcun intervento da parte dell'utente. Per istruzioni su come aggiungere un server al portale, consultare Federare un sito di ArcGIS Server con il portale.

Configurare il portale aziendale per LDAP

Innanzitutto, configurare il portale per utilizzare HTTPS per tutte le comunicazioni. Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.

Configurare il portale per utilizzare HTTPS per tutte le comunicazioni

  1. Accedere alla directory del Portale Web come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
  2. Nella pagina La mia organizzazione, fare clic su Modifica impostazioni > Sicurezza.
  3. Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
  4. Fare clic su Salva per applicare le modifiche.

Aggiornare l'archivio identità del portale

  1. Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
  3. Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e userSearchAttribute. userSearchAttribute è il valore del parametro Subject del certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare userSearchAttribute in modo che corrisponda al parametro Subject nel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.

  4. Se lo si desidera creare gruppi nel portale che sfruttino i gruppi aziendali esistenti nell'archivio identità, incollare le informazioni di configurazione gruppo di LDAP dell'organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers, ldapURLForUsers e userSearchAttribute. userSearchAttribute è il valore del parametro Subject del certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare userSearchAttribute in modo che corrisponda al parametro Subject nel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.

  5. Fare clic su Aggiorna configurazione per salvare le modifiche.
  6. In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.

Aggiungere account aziendali al portale

Per impostazione predefinita, gli utenti aziendali possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account aziendali non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.

Aggiungere account al portale utilizzando uno dei seguenti metodi:

Si consiglia di designare almeno un account aziendale come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Dopo aver aggiunto gli account e completati i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.

Configurare ArcGIS Web Adaptor per utilizzare l'autenticazione PKI.

Dopo aver installato e configurato ArcGIS Web Adaptor (Java Platform) nel portale aziendale, è necessario configurare un'area di autenticazione LDAP nel server applicazioni Java e configurare l'autenticazione basata su un certificato client PKI per l'istanza di ArcGIS Web Adaptor. Per le istruzioni, consultare l'amministratore di sistema o la documentazione prodotto per il server applicazioni Java.

Verificare di poter accedere al portale tramite LDAP e PKI

  1. Aprire il Portale Web. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
  2. Verificare che vengano richieste le credenziali di protezione e che sia possibile accedere al sito Web.

Impedire agli utenti di creare i propri account predefiniti

Per impedire agli utenti di creare propri account predefiniti, disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) nel Portale Web. In questo modo tutti i membri possono accedere al portale con le credenziali aziendali e non verranno creati account di membri non necessari. Per istruzioni complete, vedere Disabilitare la funzionalità per consentire agli utenti di creare account predefiniti del portale.