Windows 통합 인증(IWA)을 사용하여 기관 접근에 대한 보안을 유지할 수 있습니다. IWA를 사용하는 경우 로그인은 Microsoft Windows Active Directory를 통해 관리됩니다. 사용자는 기관에 로그인하거나 로그아웃할 필요가 없습니다. 웹사이트를 열면 Windows에 로그인하는 데 사용한 동일한 계정으로 로그인됩니다.
Windows 통합 인증을 사용하려면 Microsoft IIS 웹 서버에 배포된 ArcGIS Web Adaptor (IIS)를 사용해야 합니다. ArcGIS Web Adaptor (Java Platform)를 사용하여 Windows 통합 인증을 수행할 수 없습니다. 아직 하지 않은 경우, 포털에서 ArcGIS Web Adaptor (IIS)를 설치 및 구성합니다.
Windows Active Directory를 사용하도록 기관 구성
기본 설정에 따라 ArcGIS Enterprise에서는 모든 통신에 HTTPS가 적용됩니다. HTTP 통신과 HTTPS 통신이 둘 다 허용되도록 해당 옵션이 변경되어 있다면 아래의 단계를 따라 HTTPS 전용 통신을 사용하도록 포털을 다시 구성해야 합니다.
비고:
ArcGIS Enterprise는 Active Directory 아이덴티티 저장소를 이용하여 포레스트가 하나만 있는 여러 도메인의 인증을 지원하지만, 포레스트 간 인증은 제공하지 않습니다. 여러 포레스트에서 기관별 사용자를 지원하려면 SAML ID 공급자가 필요합니다.
모든 통신에 HTTPS를 사용하도록 기관 구성
HTTPS를 사용하도록 기관을 구성하려면 다음 단계를 완료합니다.
- 기관 웹사이트에 관리자로 로그인합니다.
URL은 https://webadaptorhost.domain.com/webadaptorname/home 형식입니다.
- 기관과 설정 탭을 차례로 클릭하고 페이지의 좌측에서 보안을 클릭합니다.
- HTTPS를 통해서만 포털에 접근하도록 허용을 활성화합니다.
포털의 ID 저장소 업데이트
그런 다음 포털의 ID 저장소를 업데이트하여 Active Directory 사용자 및 그룹을 사용합니다.
- ArcGIS Portal Directory에 내 기관의 관리자로 로그인합니다.
URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- Security > Config > Update Identity Store를 클릭합니다.
- 사용자 저장소 구성(JSON 형식) 텍스트 상자에 기관의 Windows Active Directory 사용자 구성 정보(JSON 형식)를 붙입니다.
또는 다음 샘플을 기관의 사용자 정보로 업데이트할 수 있습니다.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }대부분의 경우 userPassword 및 user 매개변수 값만 변경하면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 구성 업데이트를 클릭하면 암호화됩니다. user 매개변수에 지정하는 계정은 네트워크에서 Windows 계정의 전체 이름과 이메일 주소를 조회할 권한만 있으면 됩니다. 가능한 경우 비밀번호가 만료되지 않은 계정을 지정합니다.
드문 경우이긴 하지만 활성 디렉터리가 대소문자를 구분하도록 구성된 경우 caseSensitive 매개변수를 true로 설정합니다.
- ID 저장소의 기존 Active Directory 그룹을 활용하는 포털에서 그룹을 생성하려는 경우, 아래에 보이는 것처럼 기관의 Windows Active Directory 그룹 구성 정보(JSON 형식)를 그룹 저장소 구성(JSON 형식) 텍스트 상자에 붙여넣습니다. 포털의 빌트인 그룹만 사용하려면 텍스트 상자에서 모든 정보를 삭제하고 이 단계를 건너뜁니다.
또는 다음 샘플을 기관의 그룹 정보로 업데이트할 수 있습니다.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }대부분의 경우 userPassword 및 user 매개변수 값만 변경하면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 구성 업데이트를 클릭하면 암호화됩니다. user 매개변수에 지정하는 계정은 네트워크에서 Windows 그룹의 이름을 조회할 권한만 있으면 됩니다. 가능한 경우 비밀번호가 만료되지 않은 계정을 지정합니다.
- 구성 업데이트를 클릭하여 변경 사항을 저장합니다.
- 고가용성 포털을 구성한 경우 각 포털 머신을 재시작합니다. 자세한 내용은 포털 중지 및 시작을 참고하세요.
추가 ID 저장소 매개변수 구성
필요에 따라 ArcGIS Enterprise 관리 API를 사용해 추가적인 ID 저장소 구성 매개변수를 수정할 수 있습니다. 이러한 매개변수에는 기관별 사용자가 기관에 로그인할 때 그룹이 자동으로 새로 고침되는지 여부를 제한하고, 멤버십 새로 고침 간격을 설정하고, 여러 사용자 이름 형식에 대한 확인 여부를 정의하는 것이 포함됩니다. 자세한 내용은 ID 저장소 업데이트를 참고하세요.
기관별 계정 추가
기본 설정에 따라 기관별 사용자는 ArcGIS Enterprise 기관에 접근할 수 있습니다. 그러나 기관 전체에 공유된 항목만 볼 수 있습니다. 이는 기관별 계정이 추가되지 않았고 접근 권한이 주어지지 않았기 때문입니다.
다음 방법 중 하나를 사용하여 계정을 기관에 추가합니다.
하나 이상의 기관별 계정을 포털 관리자로 지정하는 것을 권장합니다. 계정을 추가할 때 관리자 역할을 선택하여 이와 같이 할 수 있습니다. 대체 포털 관리자 계정이 있는 경우 초기 관리자 계정을 사용자 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.
계정이 추가되고 아래의 단계를 완료하면 사용자는 기관 및 접근 콘텐츠에 로그인할 수 있게 됩니다.
IWA를 사용하도록 ArcGIS Web Adaptor 구성
IWA를 사용하도록 ArcGIS Web Adaptor를 구성하려면 다음 단계를 완료합니다.
- Internet Information Server (IIS) 관리자를 엽니다.
- 연결 패널에서 웹사이트 호스팅 ArcGIS Web Adaptor를 찾고 확장합니다.
- ArcGIS Web Adaptor의 이름을 클릭합니다.
기본값은 arcgis입니다.
- 홈 패널에서 인증을 더블 클릭합니다.
- 익명 인증을 선택한 다음 비활성화를 클릭합니다.
- Windows 인증을 선택한 다음 활성화를 클릭합니다.
- Internet Information Server (IIS) 관리자를 닫습니다.
IWA를 사용한 포털 접근 확인
IWA를 사용하여 포털에 접근할 수 있는지 확인하려면 다음 단계를 완료합니다.
- ArcGIS Enterprise portal을 엽니다.
URL은 https://organization.example.com/<context>/home 형식입니다.
- 기관별 계정 자격 증명을 묻는 메시지가 나타나거나 자동으로 기관별 계정을 사용하여 로그인되었는지 확인합니다. 이 동작이 보이지 않으면 머신에 로그인하는 데 사용한 Windows 계정이 포털에 추가되었는지 확인합니다.
사용자가 자신의 빌트인 계정을 생성하지 못하도록 금지
기관 설정에서 사용자가 새 빌트인 계정을 생성할 수 있는 기능을 비활성화하여 사용자가 자신의 빌트인 계정을 생성하지 못하게 할 수 있습니다.