Skip To Content

Korzystanie z portalu z protokołem LDAP i uwierzytelnianiem w warstwie sieci

Dostęp do portalu można zabezpieczyć przy użyciu protokołu LDAP (Lightweight Directory Access Protocol). W przypadku użycia protokołu LDAP loginy są zarządzane przez serwer LDAP instytucji.

Aby używać protokołu LDAP, można skonfigurować uwierzytelnianie w warstwie portalu przy użyciu aplikacji ArcGIS Web Adaptor (Java Platform) wdrożonej na serwerze aplikacji Java. Do uwierzytelniania w warstwie sieci przy użyciu protokołu LDAP nie można używać aplikacji ArcGIS Web Adaptor (IIS). Jeśli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (Java Platform) w portalu.

Notatka:

Aby używać uwierzytelniania w warstwie sieci w sfederowanej witrynie ArcGIS Server, należy wyłączyć uwierzytelnianie w warstwie sieci (w tym uwierzytelnianie na podstawie certyfikatów klientów) i włączyć dostęp anonimowy w aplikacji ArcGIS Web Adaptor skonfigurowanej w witrynie serwera ArcGIS Server przed sfederowaniem jej z portalem. Choć może się to wydać nieintuicyjne, takie postępowanie jest konieczne, aby umożliwić serwerowi integrację z portalem oraz odczytanie użytkowników i ról na portalu. Jeśli witryna serwera ArcGIS Server nie używa jeszcze uwierzytelniania w warstwie sieci, nie jest wymagana żadna czynność. Aby uzyskać instrukcje na temat dodawania serwera do portalu, należy zapoznać się z tematem Integrowanie witryny serwera ArcGIS Server z własnym portalem.

Skonfiguruj protokół LDAP w portalu

Domyślnie Portal for ArcGIS wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej zmieniono tę opcję, aby zezwolić na komunikację z użyciem zarówno protokołu HTTP, jak i protokołu HTTPS, należy zrekonfigurować portal tak, aby używana była komunikacja wyłącznie za pomocą protokołu HTTPS, postępując zgodnie z poniższymi wskazówkami.

Konfigurowanie portalu tak, aby do komunikacji korzystał wyłącznie z protokołu HTTPS

  1. Zaloguj się w witrynie portalu jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
  3. Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup LDAP.

  1. Zaloguj się w Katalogu ArcGIS Portal jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij kolejno opcje Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
  3. W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników LDAP w instytucji (w formacie JSON). Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów user, userPassword i ldapURLForUsers. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.

    W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Konto używane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i nazw użytkowników będących członkami instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).

    Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.

  4. Aby w portalu utworzyć grupy, które wykorzystują istniejące grupy korporacyjne w magazynie tożsamości, wklej dane konfiguracji grup LDAP w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    W większości przypadków wystarczy zmienić wartości user, userPassword, ldapURLForUsers i ldapURLForUsers. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.

    W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Konto używane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania nazw grup w instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).

    Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.

  5. Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
  6. Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Dodawanie kont korporacyjnych do portalu

Domyślnie użytkownicy korporacyjni mogą uzyskać dostęp do witryny portalu. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta korporacyjne nie zostały dodane do portalu i nie przyznano im uprawnień dostępu.

Dodaj konta do portalu przy użyciu jednej z następujących metod:

Zaleca się, aby przynajmniej jedno konto korporacyjne wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy będą mogli logować się do instytucji i uzyskiwać dostęp do zawartości.

Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem uwierzytelniania w warstwie sieci

Gdy aplikacja ArcGIS Web Adaptor (Java Platform) zostanie zainstalowana i skonfigurowana w portalu zgodnie z odpowiednim podręcznikiem instalacji, należy skonfigurować serwer aplikacji Java, wykonując dwa podstawowe zadania:

  1. Integracja z magazynem tożsamości LDAP. Umożliwi to serwerowi aplikacji Java uwierzytelnianie użytkowników zarządzanych w tym magazynie LDAP.
  2. Włączenie mechanizmu uwierzytelniania opartego na przeglądarce, takiego jak uwierzytelnianie oparte na formularzu lub oknie dialogowym, dla kontekstu aplikacji ArcGIS Web Adaptor portalu.

Aby uzyskać instrukcje, skontaktuj się z administratorem systemu lub działem Esri Professional Services bądź zapoznaj się z dokumentacją serwera aplikacji Java.

Weryfikacja dostępu do portalu przy użyciu protokołu LDAP

  1. Otwórz witrynę portalu. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Upewnij się, że zostaje wyświetlony monit o poświadczenia konta korporacyjnego. Jeśli nie, sprawdź, czy konto korporacyjne, które służy do logowania na komputerze, zostało dodane do portalu.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.