Per proteggere l'accesso al portale, è possibile utilizzare LDAP (Lightweight Directory Access Protocol) oWindows Active Directory. Quando si utilizza LDAP, gli account di accesso vengono gestiti nel server LDAP dell'organizzazione. Quando si utilizzaWindows Active Directory, gli account di accesso vengono gestiti inMicrosoft Windows Active Directory. Dopo aver aggiornato l'archivio identità del portale per LDAP o Active Directory, è possibile configurare l'autenticazione a livello del portale.
Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni
Per impostazione predefinita ArcGIS Enterprise adotta HTTPS per tutte le comunicazioni. Se hai precedentemente cambiato questa opzione per permettere sia la comunicazione HTTP che HTTPS, devi riconfigurare l'organizzazione per usare solo la comunicazione HTTPS seguendo i passi seguenti:
- Accedere alla directory del Portale Web come amministratore dell'organizzazione. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Nella pagina Organizzazione,fare clic sulla scheda Modifica impostazioni e poi su Sicurezza.
- Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
- Fare clic su Salva per applicare le modifiche.
Aggiorna il negozio di identità della tua organizzazione
Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP o Windows Active Directory.
Aggiornare il negozio di identità usando LDAP
- Accedi alla ArcGIS Enterprise Administrator Directory come amministratore della tua organizzazione. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Per creare gruppi nel portale che usano i gruppi LDAP esistenti nel tuo negozio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Group store configuration (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Fare clic su Aggiorna archivio identità per salvare le modifiche.
Aggiorna l'archivio di identità usando Active Directory
- Accedi alla ArcGIS Enterprise Administrator Directory come amministratore della tua organizzazione. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione Active Directory Windowsdell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare l'indirizzo di posta elettronica e il nome completo degli account Windows in rete. Se possibile, specificare un account la cui password non scade.
Nel raro caso in cuiWindows Active Directory sia configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Per creare gruppi nel portale che utilizzino i gruppi di Active Directory esistenti nel tuo archivio di identità, incolla le informazioni di configurazione del gruppo di Active Directory della tua organizzazione (in formato JSON) nella casella di testo della configurazione del gruppo (in formato JSON), come mostrato di seguito Windows Active Directory della tua organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare i nomi dei gruppi Windows in rete. Se possibile, specificare un account la cui password non scade.
- Fare clic su Aggiorna archivio identità per salvare le modifiche.
Facoltativamente, configurare parametri dell'archivio identità aggiuntivi.
Ci sono ulteriori parametri di configurazione dell'archivio di identità che possono essere modificati utilizzando lArcGIS Enterprise Administrator Directory API. Questi parametri includono opzioni quali la limitazione dell'aggiornamento automatico dei gruppi quando un utente specifico dell'organizzazione esegue l'accesso al portale, l'impostazione dell'intervallo di aggiornamento dell'iscrizione e la definizione della verifica di più formati nome utente. Per ulteriori informazioni, consultare Aggiorna archivio identità.
Configurare l'autenticazione a livello del portale
Dopo aver configurato il portale con l'archivio identità Active Directory o LDAP, sarà necessario abilitare l'accesso anonimo tramite l'adattatore Web in IIS o il server di applicazioni Java. Una , è necessario abilitare l'accesso anonimo attraverso l'adattatore web in IIS o il server di applicazioni Java. Quando un utente accede alla pagina di accesso dell'organizzazione, può accedere utilizzando le credenziali specifiche dell'organizzazione o le credenziali integrate. Gli utenti specifici dell'organizzazione dovranno inserire le credenziali del loro account ogni volta che accedono al portale; l'accesso automatico o singolo non sarà disponibile. Questo tipo di autenticazione permette anche agli utenti anonimi di accedere a mappe o altre risorse dell'organizzazione che sono condivise con tutti.
Verificare di poter accedere al portale tramite credenziali
- Aprire il portale ArcGIS Enterprise. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Accedere utilizzando le credenziali dell'account specifico dell'organizzazione (sintassi di esempio riportata di seguito).
Quando si utilizza l'autenticazione a livello del portale, i membri possono accedere mediante la seguente sintassi:
- Se si utilizza il portale con Active Directory, la sintassi può esseredomain\username o username@domain. Indipendentemente dalla modalità di accesso dei membri, nel portale Web il nome utente viene visualizzato sempre come username@domain.
- Se si utilizza il portale con LDAP, la sintassi dipende dal usernameAtrribute specificato nella configurazione dell'archivio utenti. Sul Portale Web, l'account viene visualizzato anche in questo formato.
Aggiungere account specifici dell'organizzazione al portale.
Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.
Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:
- Individualmente o in blocco (uno alla volta, in blocco da un file CSV, o da gruppi LDAP esistenti)
- Utilità da riga di comando
- Automaticamente
Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. Puoi farlo scegliendo il ruolo di amministratore quando aggiungi l'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Dopo che gli account sono stati aggiunti, gli utenti possono accedere all'organizzazione e al contenuto.