Windows Active Directory를 사용하여 사용자를 인증할 때 PKI(공개 키 인프라)를 사용하여 포털 접근에 대한 보안을 유지할 수 있습니다.
Windows 통합 인증 및 PKI를 사용하려면 Microsoft의 IIS 웹 서버에 배포된 ArcGIS Web Adaptor(IIS)를 사용해야 합니다. ArcGIS Web Adaptor(Java Platform)를 사용하여 Windows 통합 인증을 수행할 수 없습니다. 포털에서 ArcGIS Web Adaptor(IIS)를 설치 및 구성합니다.
참고 사항:
ArcGIS Server 사이트를 포털에 추가하고 서버에서 Windows Active Directory 및 PKI를 사용하려면 포털에 추가하기 전에 ArcGIS Server 사이트에서 PKI 기반 클라이언트 인증서 인증을 비활성화하고 익명 접근을 활성화해야 합니다. 의아하게 생각될 수도 있지만 사이트에서 자유롭게 포털과 페더레이션하고 포털의 사용자 및 역할을 읽기 위해 필요합니다. ArcGIS Server 사이트에서 PKI 기반 클라이언트 인증서 인증을 이미 사용하고 있지 않은 경우에는 별도의 작업이 필요하지 않습니다. 포털에 서버를 추가하는 방법은 ArcGIS Server 사이트를 포털과 페더레이션을 참고하세요.
Windows Active Directory를 사용하여 포털 구성
먼저, 모든 통신에 SSL을 사용하도록 포털을 구성합니다. 그런 다음 포털의 ID 저장소를 업데이트하여 Windows Active Directory 사용자 및 그룹을 사용합니다.
모든 통신에 HTTPS를 사용하도록 포털 구성
- 포털 웹 사이트에 내 기관의 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/home 형식입니다.
- 기관 페이지에서 설정 편집을 클릭한 다음 보안을 클릭합니다.
- HTTPS를 통해서만 포털에 접근하도록 허용을 선택합니다.
- 저장을 클릭하여 변경 내용을 적용합니다.
포털의 ID 저장소 업데이트
- ArcGIS Portal Directory에 내 기관의 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > 구성 > ID 저장소 업데이트를 클릭합니다.
- 사용자 저장소 구성(JSON 형식) 텍스트 상자에 기관의 Windows Active Directory 사용자 구성 정보(JSON 형식)를 붙입니다. 또는 다음 샘플을 기관의 사용자 정보로 업데이트할 수 있습니다.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
대부분의 경우 userPassword 및 user 매개변수 값만 변경하면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 구성 업데이트를 클릭하면 암호화됩니다. user 매개변수에 지정하는 계정은 네트워크에서 Windows 계정의 전체 이름과 이메일 주소를 조회할 권한만 있으면 됩니다. 가능한 경우 비밀번호가 만료되지 않은 계정을 지정합니다.
드문 경우이긴 하지만 활성 디렉터리가 대소문자를 구분하도록 구성된 경우 caseSensitive 매개변수를 true로 설정합니다.
- ID 저장소의 기존 엔터프라이즈 그룹을 활용하는 포털에서 그룹을 생성하려는 경우, 아래에 보이는 것처럼 기관의 Windows Active Directory 그룹 구성 정보(JSON 형식)을 그룹 저장소 구성(JSON 형식) 텍스트 상자에 붙입니다. 또는 다음 샘플을 기관의 그룹 정보로 업데이트할 수 있습니다. 포털의 빌트인 그룹만 사용하려면 텍스트 상자에서 모든 정보를 삭제하고 이 단계를 건너뜁니다.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
대부분의 경우 userPassword 및 user 매개변수 값만 변경하면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 구성 업데이트를 클릭하면 암호화됩니다. user 매개변수에 지정하는 계정은 네트워크에서 Windows 그룹의 이름을 조회할 권한만 있으면 됩니다. 가능한 경우 비밀번호가 만료되지 않은 계정을 지정합니다.
- 구성 업데이트를 클릭하여 변경 사항을 저장합니다.
- 고가용성 포털을 구성한 경우 각 포털 머신을 재시작합니다. 자세한 내용은 포털 중지 및 시작을 참고하세요.
포털에 엔터프라이즈 계정 추가
기본 설정에 따라 엔터프라이즈 사용자는 포털 웹 사이트에 접근할 수 있습니다. 그러나 기관 전체에 공유된 항목만 볼 수 있습니다. 이는 엔터프라이즈 계정이 아직 포털에 추가되지 않았고 접근 권한이 주어지지 않았기 때문입니다.
다음 방법 중 하나를 사용하여 계정을 포털에 추가합니다.
- Portal for ArcGIS 웹 사이트(한 번에 하나, CSV 파일에서 대량으로 또는 기존 엔터프라이즈 그룹에서)
- Python 스크립트
- 명령줄 유틸리티
- 자동
하나 이상의 엔터프라이즈 계정을 포털 관리자로 지정하는 것이 좋습니다. 계정을 추가할 때 관리자 역할을 선택하여 이와 같이 할 수 있습니다. 대체 포털 관리자 계정이 있는 경우 초기 관리자 계정을 사용자 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.
계정이 추가되고 아래의 단계를 완료하면 사용자는 기관 및 접근 콘텐츠에 로그인할 수 있게 됩니다.
Active Directory 클라이언트 인증서 매핑 인증 설치 및 사용
IIS 기본 설치에서는 Active Directory 클라이언트 인증서 매핑을 사용할 수 없습니다. 피처를 설치하고 활성화해야 합니다.
클라이언트 인증서 매핑 인증 설치
이 기능의 설치 지침은 운영 체제에 따라 다릅니다.
Windows Server 2008/R2 및 2012/R2
- 관리 도구를 열고 서버 관리자를 클릭합니다.
- 서버 관리자 계층 구조 창에서 역할을 확장하고 웹 서버(IIS)를 클릭합니다.
- 역할 서비스 섹션으로 스크롤하여 역할 서비스 추가를 클릭합니다.
- 역할 서비스 추가 마법사의 역할 서비스 선택 페이지에서 클라이언트 인증서 매핑 인증을 선택하고 다음을 클릭합니다.
- 설치를 클릭합니다.
Windows 7, 8 및 8.1
- 제어판을 열고 프로그램 및 기능 > Windows 기능 사용/사용 안 함을 클릭합니다.
- 인터넷 정보 서비스 > World Wide Web 서비스 > 보안을 확장하고 클라이언트 인증서 매핑 인증을 선택합니다.
- 확인을 클릭합니다.
Active Directory 클라이언트 인증서 매핑 인증 사용
Active Directory 클라이언트 인증서 매핑을 설치한 후 아래의 단계를 따라 피처를 사용합니다.
- IIS(인터넷 정보 서비스) 관리자를 시작합니다.
- 연결 노드에서 웹 서버의 이름을 클릭합니다.
- 기능 보기 창에서 인증을 더블 클릭합니다.
- Active Directory 클라이언트 인증서 인증이 나타나는지 확인합니다. 이 기능이 나타나지 않거나 사용할 수 없는 경우 Active Directory 클라이언트 인증서 인증 기능의 설치를 완료하기 위해 웹 서버를 재시작해야 할 수 있습니다.
- Active Directory 클라이언트 인증서 인증을 더블 클릭하고 작업 창에서 사용을 선택합니다.
Active Directory 클라이언트 인증서 인증을 사용하려면 SSL을 활성화해야 한다는 메시지가 나타납니다. 이 메시지에 대해서는 다음 섹션에서 알아봅니다.
SSL 및 클라이언트 인증서가 필요하도록 ArcGIS Web Adaptor 구성
- IIS(인터넷 정보 서비스) 관리자를 시작합니다.
- 연결 노드를 확장하고 Web Adaptor 사이트를 선택합니다.
- 기능 보기 창에서 인증을 더블 클릭합니다.
- 모든 형태의 인증을 비활성화합니다.
- 다시 연결 목록에서 ArcGIS Web Adaptor를 선택합니다.
- SSL 설정을 더블 클릭합니다.
- SSL 필요 옵션을 선택한 다음 클라이언트 인증서 아래에서 필요 옵션을 선택합니다.
- 적용을 클릭하여 변경 내용을 저장합니다.
Windows Active Directory 및 PKI를 사용하여 포털에 접근할 수 있는지 확인
- 포털 웹 사이트를 엽니다. URL은 https://webadaptorhost.domain.com/webadaptorname/home 형식입니다.
- 보안 자격 증명을 묻는 메시지가 나타나고 웹 사이트에 접근할 수 있는지 확인합니다.
사용자가 자신의 빌트인 계정을 생성하지 못하도록 금지
사람들이 자신의 빌트인 계정을 생성하지 못하도록 하려면 계정 생성 버튼 및 등록 페이지(signup.html)를 포털 웹 사이트에서 비활성화합니다. 즉, 모든 구성원이 엔터프라이즈 자격 증명을 사용하여 포털에 로그인하고 불필요한 구성원 계정이 생성될 수 없습니다. 자세한 내용은 사용자의 빌트인 포털 계정 생성 기능 비활성화를 참고하세요.