Potete proteggere l'accesso alla tua organizzazione usando l'autenticazione integrata di Windows(IWA). Quando si utilizza l'autenticazione integrata di Windows, gli account di accesso vengono gestiti in Microsoft Windows Active Directory. Gli utenti non entrano ed escono dall'organizzazione; invece, quando aprono il sito web, sono iscritti utilizzando gli stessi account che hanno usato per accedere a Windows.
Per utilizzare l'autenticazione integrata di Windows, è necessario utilizzare ArcGIS Web Adaptor (IIS) installato nel server Web MicrosoftIIS. Non è possibile usare ArcGIS Web Adaptor (Java Platform) per eseguire l'autenticazione integrata di Windows. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (IIS) con il portale.
Configurare l'organizzazione per utilizzare Windows Active Directory
Per impostazione predefinita ArcGIS Enterprise adotta HTTPS per tutte le comunicazioni. Se in precedenza è stata modificata questa opzione per consentire le comunicazioni HTTP e HTTPS, si deve riconfigurare il portale per utilizzare solo le comunicazioni HTTPS attenendosi alla procedura.
Nota:
Utilizzando un archivio di identità Active Directory, ArcGIS Enterprise supporta l'autenticazione da più domini con una singola foresta, ma non fornisce l'autenticazione tra foreste. Per supportare gli utenti specifici dell'organizzazione da più foreste, è necessario un identity provider SAML.
Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni
Completare i seguenti passi per configurare l'organizzazione per utilizzare HTTPS:
- Accedi al sito web dell'organizzazione come amministratore.
L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
- Accedere a Organizzazione, fare clic sulla scheda Impostazioni e, successivamente, fare clic su Sicurezza sul lato sinistro della pagina.
- Abilitare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
Aggiornare l'archivio identità del portale
Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi Active Directory.
- Accedere alla directory di Portal Administrator come amministratore dell'organizzazione.
Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione Active Directory Windowsdell'organizzazione (in formato JSON).
In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare l'indirizzo di posta elettronica e il nome completo degli account Windows in rete. Se possibile, specificare un account la cui password non scade.
Nel raro caso in cui Windows Active Directory è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Per creare gruppi nel portale che utilizzino i gruppi di Active Directory esistenti nel proprio archivio di identità, incollare le informazioni di configurazione del gruppo di Windows Active Directory dell'organizzazione (in formato JSON) nella casella di testo della Configurazione dell'archivio di gruppo (in formato JSON), come mostrato di seguito. Per utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passaggio.
In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Nella maggior parte dei casi sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro utente deve disporre solo delle autorizzazioni per cercare i nomi dei gruppi Windows in rete. Se possibile, specificare un account la cui password non scade.
- Fare clic su Aggiorna configurazione per salvare le modifiche.
- In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.
Configurare parametri dell'archivio identità aggiuntivi
Facoltativamente, è possibile modificare ulteriori parametri di configurazione dell'archivio di identità usando la directory di Portal Administrator. Questi parametri includono la restrizione se i gruppi sono aggiornati automaticamente quando un utente specifico dell'organizzazione si registra nell'organizzazione, l'impostazione dell'intervallo di aggiornamento dei membri e la definizione se controllare i formati di nomi utente multipli. Per ulteriori informazioni, consultare Aggiorna archivio identità.
Aggiungere account specifici dell'organizzazione
Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere all'organizzazione ArcGIS Enterprise. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti e non sono stati concessi i privilegi di accesso.
Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:
- Individualmente o in blocco (uno alla volta, in blocco da un file .csv, o da gruppi Active Directory esistenti)
- Utilità da riga di comando
- Automaticamente
Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Dopo aver aggiunto gli account e aver completato i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.
Configurare ArcGIS Web Adaptor per l'utilizzo di IWA.
Per configurare ArcGIS Web Adaptor per utilizzare l'autenticazione integrata di Windows, completare la procedura seguente:
- Avviare Internet Information Server (IIS) Manager.
- Nel riquadro Connessioni, individuare ed espandere il sito Web che ospita ArcGIS Web Adaptor.
- Fare clic sul nome di ArcGIS Web Adaptor.
L'impostazione predefinita è arcgis.
- Nel riquadro Home fare doppio clic su Autenticazione.
- Selezionare Autenticazione anonima e cliccare su Disabilita.
- Selezionare Autenticazione Windows e cliccare su Abilita.
- Chiudere Gestione Internet Information Server (IIS).
Verificare l'accesso al portale tramite IWA
Per verificare di poter accedere al portale tramite IWA, completare la procedura seguente:
- Aprire il portale.
Il formato dell'URL è https://organization.example.com/<context>/home.
- Verifica che ti vengano richieste le credenziali del tuo account specifico dell'organizzazione o che tu acceda automaticamente usando il tuo account specifico dell'organizzazione. Se il funzionamento è diverso, confermare che l'account Windows utilizzato per accedere al computer sia stato aggiunto al portale.
Impedire agli utenti di creare i propri account predefiniti
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.