Masz możliwość zabezpieczenia dostępu do portalu za pomocą Zintegrowanego uwierzytelniania systemu Windows (IWA). Podczas korzystania z IWA dane logowania są zarządzane przez serwer Microsoft Windows Active Directory. Użytkownicy nie logują i nie wylogowują się z witryny portalu. Po jej otwarciu zostają zalogowani przy użyciu tych samych kont, których używają do logowania do systemu Windows.
Aby korzystać ze zintegrowanego uwierzytelniania systemu Windows, należy użyć aplikacji ArcGIS Web Adaptor (IIS) wdrożonej na serwerze internetowym IIS firmy Microsoft. Aplikacja ArcGIS Web Adaptor (Java Platform) nie pozwala na użycie Zintegrowanego uwierzytelniania systemu Windows. Jeżeli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (IIS) w portalu.
Notatka:
Aby używać uwierzytelniania w warstwie sieci w sfederowanej witrynie ArcGIS Server, należy wyłączyć uwierzytelnianie w warstwie sieci (w tym uwierzytelnianie na podstawie certyfikatów klientów) i włączyć dostęp anonimowy w aplikacji ArcGIS Web Adaptor skonfigurowanej w witrynie serwera ArcGIS Server przed sfederowaniem jej z portalem. Choć może się to wydać nieintuicyjne, takie postępowanie jest konieczne, aby umożliwić serwerowi integrację z portalem oraz odczytanie użytkowników i ról na portalu. Jeśli witryna serwera ArcGIS Server nie używa jeszcze uwierzytelniania w warstwie sieci, nie jest wymagana żadna czynność. Aby uzyskać instrukcje na temat dodawania serwera do portalu, należy zapoznać się z tematem Integrowanie witryny serwera ArcGIS Server z własnym portalem.
Aby skonfigurować IWA dla portalu, wykonaj następujące czynności:
Konfigurowanie portalu w celu używania usługi Windows Active Directory
Domyślnie Portal for ArcGIS wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej zmieniono tę opcję, aby zezwolić na komunikację z użyciem zarówno protokołu HTTP, jak i protokołu HTTPS, należy zrekonfigurować portal tak, aby używana była komunikacja wyłącznie za pomocą protokołu HTTPS, postępując zgodnie z poniższymi wskazówkami.
Notatka:
Oprogramowanie ArcGIS Enterprise, korzystając z magazynu tożsamości Active Directory, obsługuje uwierzytelnianie z wielu domen z pojedynczym lasem, ale nie obsługuje uwierzytelniania między lasami. Do obsługi użytkowników korporacyjnych z wielu lasów wymagany jest dostawca tożsamości SAML.
Konfigurowanie portalu tak, aby do komunikacji korzystał wyłącznie z protokołu HTTPS
- Zaloguj się w witrynie portalu jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
- Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
- Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.
Aktualizowanie magazynu tożsamości portalu
Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Active Directory.
- Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
- W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników usługi Windows Active Directory w instytucji (w formacie JSON). Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
W przypadku, gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter, należy skonfigurować wartość parametru caseSensitive na true.
- Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy korporacyjne w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
- Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
- Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.
Konfigurowanie dodatkowych parametrów magazynu tożsamości
Opcjonalnie można zmodyfikować dodatkowe parametry konfiguracji magazynu danych przy użyciu interfejsu API administrowania ArcGIS Portal Directory. Parametry te obejmują ograniczanie automatycznego odświeżania grup, gdy użytkownik korporacyjny zaloguje się do portalu, ustawianie interwału odświeżania członkostwa oraz definiowanie, czy należy sprawdzać wiele formatów nazwy użytkownika. Szczegółowe informacje można znaleźć w temacie Aktualizacja magazynu tożsamości.
Dodawanie kont korporacyjnych do portalu
Domyślnie użytkownicy korporacyjni mogą uzyskać dostęp do witryny portalu. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta korporacyjne nie zostały dodane do portalu i nie przyznano im uprawnień dostępu.
Dodaj konta do portalu przy użyciu jednej z następujących metod:
- Witryna Portal for ArcGIS (pojedynczo, zbiorczo przy użyciu pliku CSV lub z istniejących grup korporacyjnych)
- Skrypt w języku Python
- Narzędzie wiersza poleceń
- Automatycznie
Zaleca się, aby przynajmniej jedno konto korporacyjne wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.
Po dodaniu kont i wykonaniu poniższych czynności użytkownicy będą mogli logować się do instytucji i uzyskiwać dostęp do zawartości.
Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem użycia IWA
Aby skonfigurować w aplikacji ArcGIS Web Adaptor użycie IWA, wykonaj następujące czynności:
- Otwórz Menedżer usług Internet Information Server (IIS).
- Na panelu Połączenia znajdź i rozwiń witrynę hostującą aplikację ArcGIS Web Adaptor.
- Kliknij nazwę aplikacji ArcGIS Web Adaptor. Wartość domyślna to arcgis.
- W panelu Strona główna kliknij dwukrotnie pozycję Uwierzytelnianie.
- Wybierz opcję Uwierzytelnianie anonimowe, a następnie kliknij opcję Wyłącz.
- Wybierz opcję Uwierzytelnianie systemu Windows, a następnie kliknij opcję Włącz.
- Zamknij Menedżer usług Internet Information Server (IIS).
Weryfikacja dostępu do portalu przy użyciu IWA
Aby zweryfikować dostęp do portalu przy użyciu IWA, wykonaj następujące czynności:
- Otwórz witrynę portalu. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
- Sprawdź, czy pojawia się monit o poświadczenia konta korporacyjnego lub następuje automatyczne zalogowanie przy użyciu konta korporacyjnego. Jeśli nie, sprawdź, czy konto systemu Windows, które służy do logowania na komputerze, zostało dodane do portalu.
Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych
Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.