Quando si usa Lightweight Directory Access Protocol (LDAP) per autenticare gli utenti, si può usare un'infrastruttura a chiave pubblica (PKI) per proteggere l'accesso alla propria organizzazione ArcGIS Enterprise.
Per utilizzare LDAP e PKI, impostare un'autenticazione certificato client basata su PKI utilizzando ArcGIS Web Adaptor (Java Platform) distribuita in un server applicazioni Java. Non è possibile utilizzare ArcGIS Web Adaptor (IIS) per eseguire l'autenticazione certificato client basata su PKI con LDAP. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (Java Platform) con il portale.
Configura la tua organizzazione con LDAP
Per impostazione predefinita, l'organizzazione ArcGIS Enterprise impone HTTPS per tutte le comunicazioni. Se in precedenza è stata modificata questa opzione per consentire le comunicazioni HTTP e HTTPS, è necessario riconfigurare il portale per utilizzare solo le comunicazioni HTTPS attenendosi alla procedura seguente.
Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni
Completare i seguenti passi per configurare l'organizzazione per utilizzare HTTPS:
- Accedi al sito web dell'organizzazione come amministratore.
L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Accedere a Organizzazione, fare clic sulla scheda Impostazioni e, successivamente, fare clic su Sicurezza sul lato sinistro della pagina.
- Abilitare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
Aggiornare l'archivio identità del portale
Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e userSearchAttribute. userSearchAttribute è il valore del parametro Subject del certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare il parametro userSearchAttribute in modo che corrisponda al parametro Subject nel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Se vuoi creare gruppi nel portale che sfruttano i gruppi LDAP esistenti nel tuo negozio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Configurazione del negozio di gruppi (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers, ldapURLForGroups e userSearchAttribute. userSearchAttribute è il valore del parametro Subject del certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare il parametro userSearchAttribute in modo che corrisponda al parametro Subject nel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Fare clic su Aggiorna configurazione per salvare le modifiche.
- In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.
Aggiungere account specifici dell'organizzazione
Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere all'organizzazione ArcGIS Enterprise. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti e non sono stati concessi i privilegi di accesso.
Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:
- Individualmente o in blocco (uno alla volta, in blocco da un file .csv, o da gruppi Active Directory esistenti)
- Utilità da riga di comando
- Automaticamente
Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Dopo aver aggiunto gli account e completati i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.
Configurare ArcGIS Web Adaptor per utilizzare l'autenticazione PKI.
Una volta installato e configurato ArcGIS Web Adaptor (Java Platform) con la tua organizzazione, configura un realm LDAP sul tuo server di applicazioni Java e configura l'autenticazione del certificato client basata su PKI per ArcGIS Web Adaptor. Per le istruzioni, consultare l'amministratore di sistema o la documentazione prodotto per il server applicazioni Java.
Verifica l'accesso dell'organizzazione usando LDAP e PKI
Per verificare se sia possibile accedere al portale tramite LDAP e PKI, completare la seguente procedura:
- Aprire il portale ArcGIS Enterprise. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.L'URL è nel formato https://organization.example.com/<context>/home.
- Verificare che vengano richieste le credenziali di protezione e che sia possibile accedere al sito Web.
Impedire agli utenti di creare i propri account predefiniti
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.