Utilizzare il portale con LDAP o Active Directory e l'autenticazione a livello del portale—Portal for ArcGIS

Per proteggere l'accesso al portale, è possibile utilizzare LDAP (Lightweight Directory Access Protocol) o Windows Active Directory. Quando si utilizza LDAP, gli account di accesso vengono gestiti nel server LDAP dell'organizzazione. Quando si utilizza Windows Active Directory, gli account di accesso vengono gestiti in Microsoft Windows Active Directory. Dopo aver aggiornato l'archivio identità del portale per LDAP o Active Directory, è possibile configurare l'autenticazione a livello del portale.

Configurare il portale per utilizzare HTTPS per tutte le comunicazioni

Innanzitutto, configurare il portale per utilizzare HTTPS per tutte le comunicazioni.

Accedere alla directory del Portale Web come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
Nella pagina La mia organizzazione, fare clic su Modifica impostazioni > Sicurezza.
Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
Fare clic su Salva per applicare le modifiche.

Aggiornare l'archivio di identità del portale utilizzando LDAP o Windows Active Directory.

Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP o Windows Active Directory.

Aggiornare l'archivio identità del portale utilizzando LDAP

Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid"
  }
}
```
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
Se lo si desidera creare gruppi nel portale che sfruttino i gruppi aziendali esistenti nell'archivio identità, incollare le informazioni di configurazione gruppo di LDAP dell'organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
```
{
  "type": "LDAP",  "properties": {
    "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "uid",    "caseSensitive": "false",    "userSearchAttribute": "uid",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
  }
}
```
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
Fare clic su Aggiorna configurazione per salvare le modifiche.
In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.

Aggiornare l'archivio identità del portale utilizzando Active Directory

Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente Windows Active Directory dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
```
{
  "type": "WINDOWS",  "properties": {
    "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "mydomain\\winaccount",    "userFullnameAttribute": "cn",    "userEmailAttribute": "mail",    "caseSensitive": "false"
  }
}
```
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro user deve disporre solo delle autorizzazioni per cercare l'indirizzo di posta elettronica e il nome completo degli account Windows nella rete. Se possibile, specificare un account la cui password non scade.
Nel raro caso in cui Windows Active Directory è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su "true".
Se si desidera creare gruppi nel portale che sfruttino i gruppi aziendali esistenti nell'archivio identità, incollare le informazioni di configurazione gruppo di Windows Active Directory dell'organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
```
{
  "type": "WINDOWS",  "properties": {
    "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
  }
}
```
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro user deve disporre solo delle autorizzazioni per cercare i nomi dei gruppi Windows nella rete. Se possibile, specificare un account la cui password non scade.
Fare clic su Aggiorna configurazione per salvare le modifiche.
In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.

Facoltativamente, configurare parametri dell'archivio identità aggiuntivi.

Sono disponibili parametri di configurazione dell'archivio identità aggiuntivi che è possibile modificare utilizzando l'API di amministrazione di Portal for ArcGIS. Questi parametri includono opzioni quali la limitazione dell'aggiornamento automatico dei gruppi quando un utente aziendale esegue l'accesso al portale, l'impostazione dell'intervallo di aggiornamento dell'iscrizione e la definizione della verifica di più formati nome utente. Per ulteriori informazioni, consultare Aggiorna archivio identità.

Configurare l'autenticazione a livello del portale

Dopo aver configurato il portale con l'archivio identità LDAP, sarà necessario abilitare l'accesso anonimo tramite l'adattatore Web nel server di applicazioni Java. Quando un utente si connette alla pagina di accesso del portale può collegarsi utilizzando le credenziali aziendali o predefinite. Agli utenti aziendali verrà richiesto di inserire le credenziali dell'account ogni volta che accedono al portale; la funzione di acceso automatico o Single Sign-On non sarà disponibile. Inoltre, questo tipo di autenticazione consente agli utenti anonimi di accedere alle mappe o ad altre risorse condivise del portale.

Verificare di poter accedere al portale utilizzando le credenziali LDAP o Windows Active Directory

Aprire il Portale Web. Il formato dell'URL è: https://webadaptorhost.domain.com/webadaptorname/home.
Accedere utilizzando le credenziali dell'account aziendale (sintassi di esempio riportata di seguito).

Quando si utilizza l'autenticazione a livello del portale, i membri dell'azienda possono accedere mediante la seguente sintassi:

Se si utilizza il portale con Active Directory, la sintassi può essere domain\username or username@domain. Indipendentemente dalla modalità di accesso dei membri, nel portale Web il nome utente viene visualizzato sempre come username@domain.
Se si utilizza il portale con LDAP, la sintassi è sempre username. Sul Portale Web, l'account viene visualizzato anche in questo formato.

Aggiungere account aziendali al portale

Per impostazione predefinita, gli utenti aziendali possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account aziendali non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.

Aggiungere account al portale utilizzando uno dei seguenti metodi:

Portal for ArcGIS website (uno alla volta, in blocco da un file CSV o da gruppi aziendali esistenti)
Script Python
Utilità da riga di comando
Automatica

Si consiglia di designare almeno un account aziendale come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Dopo che gli account sono stati aggiunti, gli utenti potranno accedere all'organizzazione e al contenuto.

Qualche feedback su questo argomento?