Używanie portalu z protokołem LDAP lub usługą Active Directory i uwierzytelnianiem w warstwie portalu—Portal for ArcGIS | Dokumentacja oprogramowania ArcGIS Enterprise

Dostęp do portalu można zabezpieczyć przy użyciu protokołu LDAP (Lightweight Directory Access Protocol) lub usługi Windows Active Directory. W przypadku użycia protokołu LDAP loginy są zarządzane przez serwer LDAP instytucji. Podczas korzystania z usługi Windows Active Directory loginy są zarządzane przez serwer Microsoft Windows Active Directory. Po skonfigurowaniu magazynu tożsamości portalu dla protokołu LDAP lub usługi Active Directory można skonfigurować uwierzytelnianie w warstwie portalu.

Konfigurowanie portalu tak, aby do komunikacji korzystał wyłącznie z protokołu HTTPS

Domyślnie Portal for ArcGIS wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej zmieniono tę opcję, aby zezwolić na komunikację z użyciem zarówno protokołu HTTP, jak i protokołu HTTPS, należy zrekonfigurować portal tak, aby używana była komunikacja wyłącznie za pomocą protokołu HTTPS, postępując zgodnie z poniższymi wskazówkami.

Zaloguj się w witrynie portalu jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
Na stronie Instytucja kliknij kartę Ustawienia, a następnie opcję Bezpieczeństwo.
Zaznacz pole Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.
Kliknij Zapisz, aby zastosować zmiany.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup LDAP lub usługi Active Directory.

Aktualizacja magazynu tożsamości portalu w celu korzystania z protokołu LDAP

Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Kliknij kolejno opcje Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników LDAP w instytucji (w formacie JSON). Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów user, userPassword i ldapURLForUsers. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.
W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Konto używane dla parametru użytkownika powinno posiadać odpowiednie uprawnienia do wyszukiwania adresów e-mail i nazw użytkowników będących członkami instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).
Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.
Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy korporacyjne w magazynie tożsamości, wklej dane konfiguracji grup LDAP w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.
```
{
  "type": "LDAP",  "properties": {
    "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",    "usernameAttribute": "uid",    "caseSensitive": "false",    "userSearchAttribute": "uid",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów user, userPassword i ldapURLForUsers. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.
W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Konto używane dla parametru użytkownika powinno posiadać odpowiednie uprawnienia do wyszukiwania adresów e-mail i nazw użytkowników będących członkami instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).
Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.
Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.

Aktualizacja magazynu tożsamości portalu w celu korzystania z usługi Active Directory

Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Kliknij kolejno opcje Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników usługi Windows Active Directory w instytucji (w formacie JSON). Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji.
```
{
  "type": "WINDOWS",  "properties": {
    "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "mydomain\\winaccount",    "userFullnameAttribute": "cn",    "userEmailAttribute": "mail",    "caseSensitive": "false"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno posiadać odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
W przypadku, gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter, należy skonfigurować wartość parametru caseSensitive na true.
Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy korporacyjne w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.
```
{
  "type": "WINDOWS",  "properties": {
    "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.

Opcjonalna konfiguracja dodatkowych parametrów magazynu tożsamości

Istnieją dodatkowe parametry konfiguracji magazynu danych, które można zmodyfikować przy użyciu interfejsu API administrowania ArcGIS Portal Directory. Parametry te obejmują opcje takie jak ograniczanie automatyczne odświeżania grup, gdy użytkownik korporacyjny zaloguje się do portalu, ustawianie interwału odświeżania członkostwa oraz definiowanie, czy należy sprawdzać wiele formatów nazwy użytkownika. Szczegółowe informacje można znaleźć w temacie Aktualizacja magazynu tożsamości.

Konfiguracja uwierzytelniania w warstwie portalu

Po skonfigurowaniu portalu przy użyciu magazynu tożsamości usługi Active Directory lub protokołu LDAP należy włączyć dostęp anonimowy za pośrednictwem adaptera internetowego (web adaptor) w usługach IIS lub na serwerze aplikacji Java. Użytkownik, po otwarciu strony logowania portalu, może wybrać logowanie przy użyciu poświadczeń korporacyjnych lub wbudowanych. Użytkownicy korporacyjni będą musieli wprowadzać swoje poświadczenia każdorazowo podczas logowania się w portalu. Nie mogą oni korzystać z logowania automatycznego lub jednokrotnego. Ten rodzaj uwierzytelniania umożliwia również użytkownikom anonimowym dostęp do map i innych zasobów portalu udostępnionych wszystkim użytkownikom.

Weryfikacja dostępu do portalu przy użyciu poświadczeń

Otwórz witrynę portalu. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
Zaloguj się za pomocą poświadczeń konta korporacyjnego (przykładowa składnia została podana poniżej).

Członkowie korporacji korzystający z uwierzytelnienia w warstwie portalu logują się, stosując następującą składnię:

Jeśli w portalu używana jest usługa Active Directory, składnia może mieć postać domain\username lub username@domain. Nienależnie od sposobu logowania się użytkownika nazwa użytkownika wyświetlana w witrynie portalu zawsze ma postać username@domain.
Przy korzystaniu z portalu przy użyciu protokołu LDAP, składnia zawsze ma postać username. Konto jest wyświetlane w witrynie portalu także w tym formacie.

Dodawanie kont korporacyjnych do portalu

Domyślnie użytkownicy korporacyjni mogą uzyskać dostęp do witryny portalu. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta korporacyjne nie zostały dodane do portalu i nie przyznano im uprawnień dostępu.

Dodaj konta do portalu przy użyciu jednej z następujących metod:

Witryna Portal for ArcGIS (pojedynczo, zbiorczo przy użyciu pliku CSV lub z istniejących grup korporacyjnych)
Skrypt w języku Python
Narzędzie wiersza poleceń
Automatycznie

Zaleca się, aby przynajmniej jedno konto korporacyjne wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont użytkownicy będą mogli zalogować się w instytucji i uzyskać dostęp do zasobów.

Opinia na ten temat?