Skip To Content

포털에서 LDAP 및 포털-계층 인증 사용

LDAP(Lightweight Directory Access Protocol)를 사용하여 포털 접근에 대한 보안을 유지할 수 있습니다. LDAP를 사용하는 경우 로그인은 기관의 LDAP서버를 통해 관리됩니다. LDAP용으로 포털의 ID 저장소를 업데이트한 후에 포털 티어에서 인증을 구성할 수 있습니다.

모든 통신에 HTTPS를 사용하도록 기관 구성

기본 설정에 따라 ArcGIS Enterprise에서는 모든 통신에 HTTPS가 적용됩니다. HTTP 통신과 HTTPS 통신이 둘 다 허용되도록 해당 옵션이 변경되어 있다면 아래의 단계를 따라 HTTPS 전용 통신을 사용하도록 기관을 다시 구성해야 합니다.

  1. 포털 웹사이트에 내 기관의 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/home 형식입니다.
  2. 기관 페이지에서 설정을 클릭한 다음, 보안을 클릭합니다.
  3. HTTPS를 통해서만 포털에 접근하도록 허용을 선택합니다.
  4. 저장을 클릭하여 변경 내용을 적용합니다.

기관의 ID 저장소 업데이트

그런 다음 포털의 ID 저장소를 업데이트하여 LDAP 사용자 및 그룹을 사용합니다.

LDAP를 사용하여 ID 저장소 업데이트

  1. ArcGIS Enterprise 관리자 디렉터리에 내 기관의 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
  2. 보안 > 구성 > ID 저장소 업데이트를 클릭합니다.
  3. 사용자 저장소 구성(JSON 형식) 텍스트 상자에 기관의 LDAP 사용자 구성 정보(JSON 형식)를 붙입니다. 또는 다음 샘플을 기관의 사용자 정보로 업데이트할 수 있습니다.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    대부분의 경우 user, userPassword, ldapURLForUsers 매개변수 값만 변경하면 됩니다. LDAP의 URL은 LDAP 관리자가 제공해야 합니다.

    위의 예시에서 LDAP URL은 특정 OU(ou=사용자) 내의 사용자를 나타냅니다. 사용자가 여러 OU에 존재할 경우 LDAP URL은 상위 레벨 OU(또는 필요한 경우 루트 레벨)를 가리킬 수 있습니다. 이 경우 URL은 다음과 같습니다.

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    user 매개변수에 사용하는 계정은 기관에서 사용자의 이름과 이메일 주소를 조회할 권한만 있으면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 ID 저장소 업데이트를 클릭하면 암호화됩니다.

    LDAP가 대소문자를 구분하도록 구성된 경우 caseSensitive 매개변수를 true로 설정합니다.

  4. ID 저장소의 기존 LDAP 그룹을 사용하는 포털에서 그룹을 생성하려면, 아래에 보이는 것처럼 기관의 LDAP 그룹 구성 정보(JSON 형식)를 그룹 저장소 구성(JSON 형식) 텍스트 상자에 붙여넣습니다. 또는 다음 샘플을 기관의 그룹 정보로 업데이트할 수 있습니다. 포털의 빌트인 그룹만 사용하려면 텍스트 상자에서 모든 정보를 삭제하고 이 단계를 건너뜁니다.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    대부분의 경우 user, userPassword, ldapURLForUsers 매개변수 값만 변경하면 됩니다. LDAP의 URL은 LDAP 관리자가 제공해야 합니다.

    위의 예시에서 LDAP URL은 특정 OU(ou=사용자) 내의 사용자를 나타냅니다. 사용자가 여러 OU에 존재할 경우 LDAP URL은 상위 레벨 OU(또는 필요한 경우 루트 레벨)를 가리킬 수 있습니다. 이 경우 URL은 다음과 같습니다.

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    user 매개변수에 사용하는 계정은 기관에서 사용자의 이름과 이메일 주소를 조회할 권한만 있으면 됩니다. 비밀번호를 일반 텍스트로 입력한 경우에도 아래의 ID 저장소 업데이트를 클릭하면 암호화됩니다.

    LDAP가 대소문자를 구분하도록 구성된 경우 caseSensitive 매개변수를 true로 설정합니다.

  5. ID 저장소 업데이트를 클릭하여 변경 사항을 저장합니다.

필요한 경우 ID 저장소 매개변수 구성

ArcGIS Enterprise 관리자 디렉터리 API를 사용하여 수정할 수 있는 추가 ID 저장소 구성 매개변수가 있습니다. 이러한 매개변수에는 기관별 사용자가 포털에 로그인할 때 그룹이 자동으로 새로 고쳐지는지 여부를 제한하고, 멤버십 새로 고침 간격을 설정하고, 여러 사용자 이름 형식에 대한 확인 여부를 정의하는 등의 옵션이 포함됩니다. 자세한 내용은 ID 저장소 업데이트를 참고하세요.

포털 티어 인증 구성

LDAP ID 저장소가 사용되는 포털을 구성한 후에는 Java 응용프로그램 서버의 웹 어댑터를 통한 익명 접근을 활성화해야 합니다. 사용자가 기관 로그인 페이지에 접근하면 기관별 자격 증명 또는 빌트인 자격 증명을 사용하여 로그인할 수 있습니다. 기관별 사용자는 포털에 로그인할 때마다 계정 자격 증명을 입력해야 하고, 자동 또는 Single Sign-On을 사용할 수 없습니다. 또한 이러한 유형의 인증을 통해 익명 사용자가 모든 사용자와 공유되는 맵이나 기타 기관 리소스에 접근이 가능합니다.

자격 증명을 사용하여 포털에 접근할 수 있는지 확인

  1. ArcGIS Enterprise portal을 엽니다. URL은 https://webadaptorhost.domain.com/webadaptorname/home 형식입니다.
  2. 기관별 계정 자격 증명을 사용하여 로그인합니다(아래의 샘플 구문 참고).

포털-티어 인증을 사용하는 경우 구성원은 사용자 스토어 구성에 지정된 usernameAtrribute에 따라 달라지는 구문을 사용하여 로그인합니다. 포털 웹사이트에도 이 형식으로 계정이 표시됩니다.

    기관별 계정을 포털에 추가

    기본 설정에 따라 기관별 사용자는 포털 웹사이트에 접근할 수 있습니다. 그러나 기관 전체에 공유된 항목만 볼 수 있습니다. 이는 기관별 계정이 아직 포털에 추가되지 않았고 접근 권한이 주어지지 않았기 때문입니다.

    다음 방법 중 하나를 사용하여 계정을 기관에 추가합니다.

    하나 이상의 기관별 계정을 포털 관리자로 지정하는 것을 권장합니다. 계정을 추가할 때 관리자 역할을 선택하여 이와 같이 할 수 있습니다. 대체 포털 관리자 계정이 있는 경우 초기 관리자 계정을 사용자 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.

    계정이 추가되고 나면 사용자는 기관에 로그인하여 콘텐츠에 접근할 수 있습니다.