Skip To Content

Użycie usługi Windows Active Directory i PKI do zabezpieczenia dostępu

Kiedy usługa Windows Active Directory jest używana do uwierzytelniania użytkowników, możesz użyć infrastruktury klucza publicznego (PKI) do zabezpieczenia dostępu do instytucji.

Aby korzystać ze zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI, należy użyć aplikacji ArcGIS Web Adaptor (IIS) wdrożonej na serwerze internetowym MicrosoftIIS. Aplikacja ArcGIS Web Adaptor (Java Platform) nie pozwala na użycie Zintegrowanego uwierzytelniania systemu Windows. Jeśli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (IIS) w portalu.

Konfigurowanie portalu przy użyciu usługi Windows Active Directory

Najpierw skonfiguruj portal tak, aby do komunikacji korzystał wyłącznie z protokołu SSL. Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Windows Active Directory.

Konfigurowanie instytucji tak, aby do komunikacji korzystała wyłącznie z protokołu HTTPS

Aby skonfigurować instytucję pod kątem protokołu HTTPS, wykonaj następujące czynności:

  1. Zaloguj się w witrynie internetowej instytucji jako administrator.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.

  2. Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
  3. Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Active Directory.

  1. Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Kliknij Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
  3. W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników usługi Windows Active Directory w instytucji (w formacie JSON).

    Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

    W przypadku, gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter, należy skonfigurować wartość parametru caseSensitive na true.

  4. Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy usługi Active Directory w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.

    Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

  5. Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
  6. Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Dodawanie kont specyficznych dla instytucji

Domyślnie użytkownicy specyficzni dla instytucji mogą uzyskać dostęp do instytucji ArcGIS Enterprise. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta specyficzne dla instytucji nie zostały dodane i nie przyznano im uprawnień dostępu.

Dodaj konta do instytucji przy użyciu jednej z następujących metod:

Zaleca się, aby przynajmniej jedno konto specyficzne dla instytucji wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy będą mogli logować się do instytucji i uzyskiwać dostęp do zawartości.

Zainstaluj i włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Przyporządkowywanie certyfikatów klientów usługi Active Directory nie jest dostępne w domyślnej instalacji programu IIS. Należy zainstalować i włączyć tę funkcję.

Zainstaluj Uwierzytelnianie mapowań certyfikatów klientów

Instrukcje dotyczące instalacji tej funkcji różnią się w zależności od używanego systemu operacyjnego.

Instalacja z systemem Windows Server 2016

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2016:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu hierarchii Menedżer serwerów rozwiń element Role i kliknij na element Serwer internetowy (IIS).
  3. Rozwiń role Serwer internetowy i Bezpieczeństwo.
  4. W sekcji roli Bezpieczeństwo wybierz element Uwierzytelnianie mapowań certyfikatów klientów i kliknij przycisk Dalej.
  5. Klikaj przycisk Dalej, aby przejść do karty Wybieranie funkcji, a następnie kliknij przycisk Instaluj.

Instalacja z systemem Windows Server 2008/R2 i 2012/R2

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2008/R2 i 2012/R2:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu hierarchii Menedżer serwerów rozwiń element Role i kliknij na element Serwer internetowy (IIS).
  3. Przewiń zawartość okna, aż zobaczysz sekcję Usługi ról, a następnie kliknij Dodaj usługi ról.
  4. Na stronie Wybierz usługi ról elementu Kreator dodawania usług ról wybierz Uwierzytelnianie mapowań certyfikatów klientów i kliknij Dalej.
  5. Kliknij przycisk Zainstaluj.

Instalacja z systemem Windows 7, 8 i 8.1

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows 7, 8 i 8.1:

  1. Otwórz Panel sterowania i kliknij kolejno Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows.
  2. Rozwiń elementy Internetowe usługi informacyjne > Usługi WWW > Zabezpieczenia i wybierz element Uwierzytelnianie mapowań certyfikatów klientów.
  3. Kliknij przycisk OK.

Włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Po zainstalowaniu funkcji Mapowanie certyfikatów klientów usługi Active Directory włącz tę funkcję, wykonując następujące czynności:

  1. Uruchom program Internet Information Server (IIS) Manager.
  2. W węźle Połączenia, kliknij nazwę swojego serwera.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Sprawdź, czy wyświetlany jest element Uwierzytelnianie certyfikatów klientów usługi Active Directory. Jeśli funkcja ta nie jest wyświetlana lub jest ona niedostępna, może okazać się konieczne ponowne uruchomienie serwera WWW, aby zakończyć instalację funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory.
  5. Kliknij dwukrotnie element Uwierzytelnianie certyfikatów klientów usługi Active Directory, a następnie wybierz opcję Włącz w oknie Akcje.

Zostanie wyświetlony komunikat informujący, że protokół SSL musi być włączony, aby możliwe było korzystanie z funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory. Instrukcje dotyczące tej kwestii znajdują się w kolejnej sekcji.

Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem wymagania protokołu SSL i certyfikatów klientów

Wykonaj następujące czynności, aby skonfigurować w aplikacji ArcGIS Web Adaptor wymaganie protokołu SSL i certyfikatów klientów:

  1. Uruchom Menedżera internetowych usług informacyjnych (IIS).
  2. Rozwiń węzeł Połączenia i wybierz witrynę aplikacji ArcGIS Web Adaptor.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Wyłącz wszystkie formy uwierzytelniania.
  5. Wybierz ponownie aplikację ArcGIS Web Adaptor z listy Połączenia.
  6. Kliknij dwukrotnie Ustawienia SSL.
  7. Włącz opcję Wymagaj protokołu SSL, a następnie wybierz opcję Wymagaj znajdującą się wewnątrz elementu Certyfikaty klientów.
  8. Aby zapisać zmiany, kliknij przycisk Zastosuj.

Potwierdzenie, że można uzyskać dostęp do portalu przy użyciu Zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI

Wykonaj następujące czynności, aby zweryfikować, czy możesz uzyskać dostęp do portalu przy użyciu Zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI:

  1. Otwórz portal ArcGIS Enterprise.

    Adres URL ma format https://organization.example.com/<context>/home.

  2. Upewnij się, że zostaje wyświetlony monit o poświadczenia zabezpieczeń i można uzyskać dostęp do witryny.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.