Puoi proteggere l'accesso alla tua organizzazione usando il Lightweight Directory Access Protocol (LDAP). Quando si utilizza LDAP, gli account di accesso vengono gestiti nel server LDAP dell'organizzazione.
Per utilizzare LDAP, è possibile impostare l'autenticazione a livello del portale o l'autenticazione a livello Web utilizzando ArcGIS Web Adaptor (Java Platform) distribuito in un server applicazioni Java. Non è possibile utilizzare ArcGIS Web Adaptor (IIS) per eseguire l'autenticazione a livello Web con LDAP. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (Java Platform) con il portale.
Configurare il portale aziendale per LDAP
Per impostazione predefinita Portal for ArcGIS adotta HTTPS per tutte le comunicazioni. Se in precedenza è stata modificata questa opzione per consentire le comunicazioni HTTP e HTTPS, si deve riconfigurare il portale per utilizzare solo le comunicazioni HTTPS attenendosi alla procedura.
Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni
Completare i seguenti passi per configurare l'organizzazione per utilizzare HTTPS:
- Accedi al sito web dell'organizzazione come amministratore.
L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Accedere a Organizzazione, fare clic sulla scheda Impostazioni e, successivamente, fare clic su Sicurezza sul lato sinistro della pagina.
- Abilitare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
Aggiornare l'archivio identità del portale
Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
L'account utilizzato per il parametro utente deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Per creare gruppi nel portale che usano i gruppi LDAP esistenti nel tuo negozio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Group store configuration (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Fare clic su Aggiorna configurazione per salvare le modifiche.
- In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.
Aggiungere account specifici dell'organizzazione
Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere all'organizzazione ArcGIS Enterprise. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti e non sono stati concessi i privilegi di accesso.
Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:
- Individualmente o in blocco (uno alla volta, in blocco da un file .csv, o da gruppi Active Directory esistenti)
- Utilità da riga di comando
- Automaticamente
Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Dopo aver aggiunto gli account e completati i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.
Configurare ArcGIS Web Adaptor per utilizzare l'autenticazione a livello Web
Una volta che hai installato e configurato ArcGIS Web Adaptor (Java Platform) con la tua organizzazione seguendo la guida di installazione appropriata, dovete configurare il tuo Java application server con due compiti principali:
- Integrare con l'archivio identità LDAP. Ciò consente al server applicazioni Java di autenticare gli utenti gestiti in tale archivio LDAP.
- Abilitare un meccanismo di autenticazione basato sul browser, come l'autenticazione basata su moduli o dialoghi, per il ArcGIS Web Adaptor contesto dell'organizzazione.
Per istruzioni, consultare l'amministratore di sistema, la documentazione prodotto del server applicazioni Java o Esri Professional Services.
Verificare di poter accedere al portale tramite LDAP
- Aprire il Portale Web.
L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Verifica che ti vengano richieste le credenziali del tuo account LDAP. Se non vedi questo comportamento, verifica che l'account LDAP che hai usato per accedere alla macchina sia stato aggiunto al portale.
Impedire agli utenti di creare i propri account predefiniti
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.