Skip To Content

Utilizzare LDAP e l'autenticazione con certificato client per l'accesso sicuro

Quando si usa Lightweight Directory Access Protocol (LDAP) per autenticare gli utenti, si può usare un'infrastruttura a chiave pubblica (PKI) per proteggere l'accesso alla propria organizzazione ArcGIS Enterprise.

Per utilizzare LDAP e PKI, è necessario impostare un'autenticazione con certificato client utilizzando ArcGIS Web Adaptor (Java Platform) installato su un server applicazione Java. Non è possibile utilizzare ArcGIS Web Adaptor (IIS) per eseguire l'autenticazione con certificato client con LDAP. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (Java Platform) con il portale.

Configura la tua organizzazione con LDAP

Per impostazione predefinita, l'organizzazione ArcGIS Enterprise impone HTTPS per tutte le comunicazioni. Se in precedenza è stata modificata questa opzione per consentire le comunicazioni HTTP e HTTPS, si deve riconfigurare il portale per utilizzare solo le comunicazioni HTTPS attenendosi alla procedura.

Configurare l'organizzazione per utilizzare HTTPS per tutte le comunicazioni

Completare i seguenti passi per configurare l'organizzazione per utilizzare HTTPS:

  1. Accedi al sito web dell'organizzazione come amministratore.

    L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.

  2. Accedere a Organizzazione, fare clic sulla scheda Impostazioni e, successivamente, fare clic su Sicurezza sul lato sinistro della pagina.
  3. Abilitare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.

Aggiornare l'archivio identità del portale

Quindi, aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi LDAP.

  1. Accedere a ArcGIS Portal Directory come amministratore dell'organizzazione.

    Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Fai clic su Sicurezza > Configurazione > Aggiorna archivio identità.
  3. Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente di LDAP dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche dell'organizzazione:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e userSearchAttribute. userSearchAttribute è il valore del parametro Subjectdel certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare il parametro userSearchAttribute in modo che corrisponda al parametro Subject nel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare indirizzi di posta elettronica e nomi utente di utenti dell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, imposta il parametro caseSensitive su true.

  4. Se si desidera creare gruppi nel portale che utilizzano i gruppi LDAP esistenti nel tuo archivio di identità, incolla le informazioni di configurazione del gruppo LDAP della tua organizzazione (in formato JSON) nella casella di testo Configurazione dell'archivio dei gruppi (in formato JSON) come mostrato qui sotto. In alternativa, è possibile aggiornare il seguente esempio con le informazioni del gruppo specifiche dell'organizzazione. Se si desidera utilizzare solo gruppi predefiniti il servizio del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers, ldapURLForGroups e userSearchAttribute. userSearchAttribute è il valore del parametro Subjectdel certificato PKI. Se l'organizzazione utilizza un altro attributo nel certificato PKI, ad esempio email, è necessario aggiornare il parametro userSearchAttribute in modo che corrisponda al parametro Subjectnel certificato PKI. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

    Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto).

    Se LDAP è configurato in modo da fare distinzione tra maiuscole e minuscole, imposta il parametro caseSensitive su true.

  5. Fare clic su Aggiorna configurazione per salvare le modifiche.
  6. In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.

Aggiungere account specifici dell'organizzazione

Per impostazione predefinita, gli utenti specifici dell'organizzazione possono accedere all'organizzazione ArcGIS Enterprise. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account specifici dell'organizzazione non sono stati aggiunti e non sono stati concessi i privilegi di accesso.

Aggiungi dei conti alla tua organizzazione usando uno dei seguenti metodi:

Si consiglia di designare almeno un account specifico dell'organizzazione come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Dopo aver aggiunto gli account e aver completato i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.

Configura ArcGIS Web Adaptor per utilizzare l'autenticazione con certificato client

Dopo l'installazione e la configurazione di ArcGIS Web Adaptor (Java Platform) con la tua organizzazione, configura un'area di autenticazione LDAP sul server applicazione Java e configura l'autenticazione con certificato client basata su KPI per ArcGIS Web Adaptor. Per le istruzioni, consulta l'amministratore di sistema o la documentazione del prodotto per il server applicazione Java.

Nota:

Per il funzionamento dell'autenticazione con certificato client, TLS 1.3 deve essere disabilitato nel server applicazione Java.

Verifica l'accesso dell'organizzazione utilizzando l'autenticazione con certificato client e LDAP

Per accertarti di poter accedere al portale utilizzando l'autenticazione con certificato client e LDAP, completa la procedura seguente:

  1. Aprire il portale ArcGIS Enterprise. L'URL è nel formato https://webadaptorhost.domain.com/webadaptorname/home.L'URL è nel formato https://organization.example.com/<context>/home.
  2. Verificare che vengano richieste le credenziali di protezione e che sia possibile accedere al sito Web.

Impedire agli utenti di creare i propri account predefiniti

È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.