Skip To Content

Korzystanie z usługi Active Directory oraz infrastruktury PKI w celu zabezpieczenia dostępu do portalu

Kiedy usługa Windows Active Directory jest używana do uwierzytelniania użytkowników, możesz użyć infrastruktury klucza publicznego (PKI) do zabezpieczenia dostępu do portalu.

Aby korzystać ze zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI, należy użyć aplikacji ArcGIS Web Adaptor (IIS) wdrożonej na serwerze internetowym MicrosoftIIS. Aplikacja ArcGIS Web Adaptor (Java Platform) nie pozwala na użycie Zintegrowanego uwierzytelniania systemu Windows. Jeżeli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (IIS) w portalu.

Notatka:

Jeśli zamierzasz dodać witrynę serwera ArcGIS Server do portalu i chcesz korzystać z usługi Windows Active Directory i infrastruktury PKI na serwerze, konieczne jest wyłączenie uwierzytelniania opartego na certyfikacie aplikacji klienckiej PKI w witrynie serwera ArcGIS Server i aktywowanie dostępu anonimowego przed dodaniem go do portalu. Choć może się to wydać nieintuicyjne, takie postępowanie jest konieczne, aby umożliwić serwerowi integrację z portalem oraz odczytanie użytkowników i ról na portalu. Jeśli witryna ArcGIS Server nie używa jeszcze uwierzytelniania opartego na certyfikacie aplikacji klienckiej PKI, od użytkownika nie wymaga się żadnego działania. Aby uzyskać instrukcje na temat dodawania serwera do portalu, należy zapoznać się z tematem Integrowanie witryny serwera ArcGIS Server z własnym portalem.

Konfigurowanie portalu przy użyciu usługi Windows Active Directory

Najpierw skonfiguruj portal tak, aby do komunikacji korzystał wyłącznie z protokołu SSL. Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Windows Active Directory.

Konfigurowanie portalu tak, aby do komunikacji korzystał wyłącznie z protokołu HTTPS

  1. Zaloguj się w witrynie portalu jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
  3. Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Active Directory.

  1. Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
  3. W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników usługi Windows Active Directory w instytucji (w formacie JSON). Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

    W przypadku, gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter, należy skonfigurować wartość parametru caseSensitive na true.

  4. Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy korporacyjne w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

  5. Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
  6. Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Dodawanie kont korporacyjnych do portalu

Domyślnie użytkownicy korporacyjni mogą uzyskać dostęp do witryny portalu. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta korporacyjne nie zostały dodane do portalu i nie przyznano im uprawnień dostępu.

Dodaj konta do portalu przy użyciu jednej z następujących metod:

Zaleca się, aby przynajmniej jedno konto korporacyjne wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy będą mogli logować się do instytucji i uzyskiwać dostęp do zawartości.

Zainstaluj i włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Przyporządkowywanie certyfikatów klientów usługi Active Directory nie jest dostępne w domyślnej instalacji programu IIS. Należy zainstalować i włączyć tę funkcję.

Zainstaluj Uwierzytelnianie mapowań certyfikatów klientów

Instrukcje dotyczące instalacji tej funkcji różnią się w zależności od używanego systemu operacyjnego.

Instalacja z systemem Windows Server 2016

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2016:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu hierarchii Menedżer serwerów rozwiń element Role i kliknij na element Serwer internetowy (IIS).
  3. Rozwiń role Serwer internetowy i Bezpieczeństwo.
  4. W sekcji roli Bezpieczeństwo wybierz element Uwierzytelnianie mapowań certyfikatów klientów i kliknij przycisk Dalej.
  5. Klikaj przycisk Dalej, aby przejść do karty Wybieranie funkcji, a następnie kliknij przycisk Instaluj.

Instalacja z systemem Windows Server 2008/R2 i 2012/R2

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2008/R2 i 2012/R2:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu hierarchii Menedżer serwerów rozwiń element Role i kliknij na element Serwer internetowy (IIS).
  3. Przewiń zawartość okna, aż zobaczysz sekcję Usługi ról, a następnie kliknij Dodaj usługi ról.
  4. Na stronie Wybierz usługi ról elementu Kreator dodawania usług ról wybierz Uwierzytelnianie mapowań certyfikatów klientów i kliknij Dalej.
  5. Kliknij przycisk Zainstaluj.

Instalacja z systemem Windows 7, 8 i 8.1

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows 7, 8 i 8.1:

  1. Otwórz Panel sterowania i kliknij kolejno Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows.
  2. Rozwiń elementy Internetowe usługi informacyjne > Usługi WWW > Zabezpieczenia i wybierz element Uwierzytelnianie mapowań certyfikatów klientów.
  3. Kliknij przycisk OK.

Włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Po zainstalowaniu funkcji Mapowanie certyfikatów klientów usługi Active Directory włącz tę funkcję, wykonując następujące czynności:

  1. Uruchom program Internet Information Server (IIS) Manager.
  2. W węźle Połączenia, kliknij nazwę swojego serwera.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Sprawdź, czy wyświetlany jest element Uwierzytelnianie certyfikatów klientów usługi Active Directory. Jeśli funkcja ta nie jest wyświetlana lub jest ona niedostępna, może okazać się konieczne ponowne uruchomienie serwera WWW, aby zakończyć instalację funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory.
  5. Kliknij dwukrotnie element Uwierzytelnianie certyfikatów klientów usługi Active Directory, a następnie wybierz opcję Włącz w oknie Akcje.

Zostanie wyświetlony komunikat informujący, że protokół SSL musi być włączony, aby możliwe było korzystanie z funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory. Instrukcje dotyczące tej kwestii znajdują się w kolejnej sekcji.

Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem wymagania protokołu SSL i certyfikatów klientów

Wykonaj następujące czynności, aby skonfigurować w aplikacji ArcGIS Web Adaptor wymaganie protokołu SSL i certyfikatów klientów:

  1. Uruchom Menedżera internetowych usług informacyjnych (IIS).
  2. Rozwiń węzeł Połączenia i wybierz witrynę aplikacji ArcGIS Web Adaptor.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Wyłącz wszystkie formy uwierzytelniania.
  5. Wybierz ponownie aplikację ArcGIS Web Adaptor z listy Połączenia.
  6. Kliknij dwukrotnie Ustawienia SSL.
  7. Włącz opcję Wymagaj protokołu SSL, a następnie wybierz opcję Wymagaj znajdującą się wewnątrz elementu Certyfikaty klientów.
  8. Aby zapisać zmiany, kliknij przycisk Zastosuj.

Potwierdzenie, że można uzyskać dostęp do portalu przy użyciu Zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI

Wykonaj następujące czynności, aby zweryfikować, czy możesz uzyskać dostęp do portalu przy użyciu Zintegrowanego uwierzytelniania systemu Windows i infrastruktury PKI:

  1. Otwórz witrynę portalu.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.

  2. Upewnij się, że zostaje wyświetlony monit o poświadczenia zabezpieczeń i można uzyskać dostęp do witryny.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.