Per proteggere l'accesso al portale, è possibile utilizzare LDAP (Lightweight Directory Access Protocol). Quando si utilizza LDAP, gli account di accesso vengono gestiti nel server LDAP dell'organizzazione. Dopo aver aggiornato l'archivio identità del portale per LDAP, è possibile configurare l'autenticazione a livello del portale.
Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni
Per impostazione predefinita ArcGIS Enterprise adotta HTTPS per tutte le comunicazioni. Se hai precedentemente cambiato questa opzione per permettere sia la comunicazione HTTP che HTTPS, devi riconfigurare l'organizzazione per usare solo la comunicazione HTTPS seguendo i passi seguenti:
- Accedere a ArcGIS Enterprise come amministratore dell'organizzazione.
Il formato dell'URL è https://organization.example.com/<context>/home.
- Nella pagina Organizzazione, fare clic sulla scheda Impostazioni e fare clic su Sicurezza.
- Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
- Fare clic su Salva per applicare le modifiche.
Aggiorna il negozio di identità della tua organizzazione
Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.
Aggiornare il negozio di identità usando LDAP
Per aggiornare l'archivio identità utilizzando LDAP, completare i seguenti passaggi:
- Accedere alla directory di Portal Administrator come amministratore dell'organizzazione.
Il formato dell'URL è https://organization.example.com/context/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche dell'organizzazione.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Per creare gruppi nel portale che usano i gruppi LDAP esistenti nel tuo negozio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Group store configuration (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni del gruppo specifiche dell'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).
Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.
- Fare clic su Aggiorna archivio identità per salvare le modifiche.
Facoltativamente, configurare parametri dell'archivio identità aggiuntivi.
Sono disponibili parametri di configurazione dell'archivio identità aggiuntivi che è possibile modificare utilizzando Portal Administrator Directory. Questi parametri includono opzioni quali la limitazione dell'aggiornamento automatico dei gruppi quando un utente specifico dell'organizzazione esegue l'accesso al portale, l'impostazione dell'intervallo di aggiornamento dell'iscrizione e la definizione della verifica di più formati nome utente. Per ulteriori informazioni, consultare Aggiorna archivio identità.
Configurare l'autenticazione a livello del portale
Dopo aver configurato il portale con l'archivio identità LDAP, è necessario abilitare l'accesso anonimo tramite Web Adaptor nel server applicazione Java. Quando un utente accede alla pagina di accesso dell'organizzazione, può effettuare l'accesso utilizzando credenziali specifiche dell'organizzazione o credenziali integrate. Gli utenti specifici dell'organizzazione dovranno inserire le credenziali del loro account ogni volta che accedono al portale; l'accesso automatico o singolo non sarà disponibile. Questo tipo di autenticazione permette anche agli utenti anonimi di accedere a mappe o altre risorse dell'organizzazione che sono condivise con tutti.
Verificare di poter accedere al portale tramite credenziali
Per verificare di poter accedere al portale utilizzando credenziali, completare la procedura seguente:
- Aprire ArcGIS Enterprise.
Il formato dell'URL è:https://organization.example.com/context/home.
- Accedere utilizzando le credenziali dell'account specifico dell'organizzazione (sintassi di esempio riportata di seguito).
Quando si utilizza l'autenticazione a livello del portale, i membri possono accedere mediante una sintassi che dipende dal usernameAtrribute specificato nella configurazione dell'archivio utenti. Il sito web del portale visualizza alche l'account in questo formato.
Aggiungere account specifici dell'organizzazione al portale.
Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere a ArcGIS Enterprise. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.
Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:
- Individualmente o in blocco (uno alla volta, in blocco da un file .csv o da gruppi LDAP esistenti)
- Utilità da riga di comando
- Automaticamente
Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore. Puoi farlo scegliendo il ruolo di amministratore quando aggiungi l'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Lavorare con l'account amministratore iniziale.
Dopo che gli account sono stati aggiunti, gli utenti possono accedere all'organizzazione e al contenuto.