Utilizzare Windows Active Directory e PKI per proteggere l'accesso al portale—Portal for ArcGIS

Quando si utilizza Windows Active Directory per autenticare gli utenti, è possibile utilizzare un'infrastruttura a chiave pubblica (PKI) per proteggere l'accesso al portale.

Per utilizzare l’autenticazione integrata di Windows e PKI è necessario usare ArcGIS Web Adaptor (IIS) installato nel server web IIS di Microsoft. Non è possibile usare ArcGIS Web Adaptor (Java Platform) per eseguire l'autenticazione integrata di Windows. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (IIS) con il portale.

Nota:

Se si intende aggiungere un sito di ArcGIS Server al portale e si desidera utilizzare Windows Active Directory e PKI con il server, sarà necessario disabilitare l'autenticazione certificato client basata su PKI sul sito di ArcGIS Server e abilitare l'accesso anonimo prima di aggiungerlo al portale. Anche se non sembra intuitiva, questa operazione è necessaria per consentire al sito di eseguire la federazione con il portale e leggere gli utenti e i ruoli del portale. Se il sito di ArcGIS Server non utilizza l'autenticazione del certificato client basata su PKI, non è richiesto alcun intervento da parte dell'utente. Per istruzioni su come aggiungere un server al portale, consultare Federare un sito di ArcGIS Server con il portale.

Configurare il portale con Windows Active Directory

Innanzitutto, configurare il portale per utilizzare SSL per tutte le comunicazioni. Quindi aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi Windows Active Directory.

Configurare il portale per utilizzare HTTPS per tutte le comunicazioni

Accedere alla directory del Portale Web come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
Accedere a Organizzazione, fare clic sulla scheda Impostazioni e, successivamente, fare clic su Sicurezza sul lato sinistro della pagina.
Abilitare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.

Aggiornare l'archivio identità del portale

Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi Active Directory.

Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente Windows Active Directory dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione:
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "caseSensitive": "false"
  }
}
```
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare l'indirizzo di posta elettronica e il nome completo degli account Windows in rete. Se possibile, specificare un account la cui password non scade.
Nel raro caso in cui Windows Active Directory è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su "true".
Se si desidera creare gruppi nel portale che sfruttino i gruppi aziendali esistenti nell'archivio identità, incollare le informazioni di configurazione gruppo di Windows Active Directory dell'organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
```
{
  "type": "WINDOWS",
  "properties": {
    "isPasswordEncrypted": "false",
    "userPassword": "secret",
    "user": "mydomain\\winaccount"
  }
}
```
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare i nomi dei gruppi Windows in rete. Se possibile, specificare un account la cui password non scade.
Fare clic su Aggiorna configurazione per salvare le modifiche.
In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.

Aggiungere account aziendali al portale

Per impostazione predefinita, gli utenti aziendali possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account aziendali non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.

Aggiungere account al portale utilizzando uno dei seguenti metodi:

Portal for ArcGIS sito web (uno alla volta, in blocco da un file CSV o da gruppi aziendali esistenti)
Script Python
Utilità da riga di comando
Automaticamente

Si consiglia di designare almeno un account aziendale come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Dopo aver aggiunto gli account e completati i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.

Installare e abilitare l'autenticazione con mapping dei certificati client di Active Directory

Il mapping dei certificati client di Active Directory non è disponibile nell'installazione predefinita di IIS. È necessario installare e abilitare la feature.

Installare l'autenticazione con mapping dei certificati client

Le istruzioni per l'installazione della funzionalità variano a seconda del sistema operativo.

Installazione con Windows Server 2016

Completare i passaggi seguenti per installare l'autenticazione con mapping dei certificati client con Windows Server 2016:

Aprire Strumenti di amministrazione e fare clic su Server Manager.
Nel riquadro della gerarchia di Server Manager espandere Ruolo e fare clic su Server Web (IIS).
Espandere i ruoli Server Web e Sicurezza.
Nella sezione del ruolo Sicurezza, selezionare Autenticazione mapping certificati client e fare clic su Avanti.
Fare clic su Avanti nella scheda Seleziona feature, quindi fare clic su Installa.

Installazione con Windows Server 2008/R2 e 2012/R2

Completare i passaggi seguenti per installare l'autenticazione con mapping dei certificati client con Windows Server 2008/R2 e 2012/R2:

Aprire Strumenti di amministrazione e fare clic su Server Manager.
Nel riquadro della gerarchia di Server Manager espandere Ruolo e fare clic su Server Web (IIS).
Scorrere fino alla sezione Servizi ruolo e fare clic su Aggiungi servizi ruolo.
Nella pagina Selezione servizi ruolo della procedura guidata Aggiunta servizi ruolo selezionare Autenticazione mapping certificati client e fare clic su Avanti.
Fare clic su Installa.

Installazione con Windows 7, 8 e 8.1

Completare i passaggi seguenti per installare l'autenticazione con mapping dei certificati client con Windows 7, 8 e 8.1:

Aprire il Pannello di controllo e fare clic su Programmi e funzionalità > Attivazione o disattivazione delle funzionalità Windows.
Espandere Internet Information Services > Servizi Web > Sicurezza e selezionare Autenticazione mapping certificati clienti.
Fare clic su OK.

Abilitare l'autenticazione con mapping dei certificati client di Active Directory

Dopo aver installato il mapping dei certificati client di Active Directory, abilitare la funzionalità attenendosi alla procedura seguente.

Avviare Internet Information Server (IIS) Manager.
Nel nodo Connessioni fare clic sul nome del server Web.
Nella finestra Funzionalità fare doppio clic su Autenticazione.
Verificare che l'opzione Autenticazione certificato client AD sia visualizzata. Se la funzionalità non viene visualizzata o non è disponibile, potrebbe essere necessario riavviare il server Web per completarne l'installazione.
Fare doppio clic su Autenticazione certificato client AD e scegliere Abilita nella finestra Azioni.

Viene visualizzato un messaggio in cui si informa che per utilizzare Autenticazione certificato client AD è necessario abilitare SSL. Questa operazione verrà eseguita nella sezione successiva.

Configurare ArcGIS Web Adaptor per richiedere SSL e certificati client.

Completare i passaggi seguenti per configurare ArcGIS Web Adaptor per richiedere SSL e certificati client:

Avviare Gestione Internet Information Services (IIS).
Espandere il nodo Connessioni e selezionare il sito di ArcGIS Web Adaptor in uso.
Nella finestra Funzionalità fare doppio clic su Autenticazione.
Disabilitare tutti i moduli utilizzati per l'autenticazione.
Selezionare di nuovo l'istanza di ArcGIS Web Adaptor in uso dall'elenco Connessioni.
Fare doppio clic Impostazioni SSL.
Abilitare l'opzione Richiedi SSL e scegliere Richiedi in Certificati client.
Fare clic su Applica per salvare le modifiche.

Verificare di poter accedere al portale tramite Windows Active Directory e PKI

Completare i passaggi seguenti per verificare di poter accedere al portale tramite Windows Active Directory e PKI:

Aprire il Portale Web.
Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
Verificare che vengano richieste le credenziali di protezione e che sia possibile accedere al sito Web.

Impedire agli utenti di creare i propri account predefiniti

È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.

Qualche feedback su questo argomento?