Skip To Content

Usa il tuo portale con LDAP e l'autenticazione a livello di portale

Per proteggere l'accesso al portale, è possibile utilizzare LDAP (Lightweight Directory Access Protocol). Quando si utilizza LDAP, gli account di accesso vengono gestiti nel server LDAP dell'organizzazione. Dopo aver aggiornato l'archivio identità del portale per LDAP, è possibile configurare l'autenticazione a livello del portale.

Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni

Per impostazione predefinita ArcGIS Enterprise adotta HTTPS per tutte le comunicazioni. Se hai precedentemente cambiato questa opzione per permettere sia la comunicazione HTTP che HTTPS, devi riconfigurare l'organizzazione per usare solo la comunicazione HTTPS seguendo i passi seguenti:

  1. Accedere alla directory del Portale Web come amministratore dell'organizzazione. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Nella pagina Organizzazione,fare clic sulla scheda Modifica impostazioni e poi su Sicurezza.
  3. Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
  4. Fare clic su Salva per applicare le modifiche.

Aggiorna il negozio di identità della tua organizzazione

Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.

Aggiornare il negozio di identità usando LDAP

  1. Accedere alla directory di Portal Administrator come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
  3. Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.

  4. Per creare gruppi nel portale che usano i gruppi LDAP esistenti nel tuo negozio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Group store configuration (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, e ldapURLForUsers. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'URL sarebbe come questo:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se si digita la password in chiaro, essa sarà criptata quando si fa clic su Aggiorna archivio identità (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su true.

  5. Fare clic su Aggiorna archivio identità per salvare le modifiche.

Facoltativamente, configurare parametri dell'archivio identità aggiuntivi.

Sono disponibili parametri di configurazione dell'archivio identità aggiuntivi che è possibile modificare utilizzando Portal Administrator Directory. Questi parametri includono opzioni quali la limitazione dell'aggiornamento automatico dei gruppi quando un utente specifico dell'organizzazione esegue l'accesso al portale, l'impostazione dell'intervallo di aggiornamento dell'iscrizione e la definizione della verifica di più formati nome utente. Per ulteriori informazioni, consultare Aggiorna archivio identità.

Configurare l'autenticazione a livello del portale

Dopo aver configurato il portale con l'archivio identità LDAP, sarà necessario abilitare l'accesso anonimo tramite l'adattatore Web nel server di applicazioni Java. Una , è necessario abilitare l'accesso anonimo attraverso l'adattatore web in IIS o il server di applicazioni Java. Quando un utente accede alla pagina di accesso dell'organizzazione, può accedere utilizzando le credenziali specifiche dell'organizzazione o le credenziali integrate. Gli utenti specifici dell'organizzazione dovranno inserire le credenziali del loro account ogni volta che accedono al portale; l'accesso automatico o singolo non sarà disponibile. Questo tipo di autenticazione permette anche agli utenti anonimi di accedere a mappe o altre risorse dell'organizzazione che sono condivise con tutti.

Verificare di poter accedere al portale tramite credenziali

  1. Aprire il portale ArcGIS Enterprise. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Accedere utilizzando le credenziali dell'account specifico dell'organizzazione (sintassi di esempio riportata di seguito).

Quando si utilizza l'autenticazione a livello del portale, i membri possono accedere mediante una sintassi che dipende dal usernameAtrribute specificato nella configurazione dell'archivio utenti. Il sito web del portale visualizza anche l'account in questo formato.

    Aggiungere account specifici dell'organizzazione al portale.

    Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.

    Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:

    Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. Puoi farlo scegliendo il ruolo di amministratore quando aggiungi l'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

    Dopo che gli account sono stati aggiunti, gli utenti possono accedere all'organizzazione e al contenuto.