Skip To Content

Zabezpieczanie dostępu przy użyciu uwierzytelniania za pomocą usługi Windows Active Directory i certyfikatów klientów

W przypadku uwierzytelniania użytkowników za pomocą usługi Windows Active Directory można zabezpieczyć dostęp do instytucji przy użyciu uwierzytelniania za pomocą certyfikatów klientów opartych na infrastrukturze kluczy publicznych (PKI, public key infrastructure).

Do korzystania ze zintegrowanego uwierzytelniania systemu Windows i uwierzytelniania za pomocą certyfikatów klientów potrzebna jest aplikacja ArcGIS Web Adaptor (IIS) wdrożona na serwerze internetowym IIS firmy Microsoft. Aplikacja ArcGIS Web Adaptor (Java Platform) nie pozwala na użycie Zintegrowanego uwierzytelniania systemu Windows. Jeśli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (IIS) w portalu.

Konfigurowanie portalu za pomocą usługi Windows Active Directory

Najpierw skonfiguruj portal tak, aby do komunikacji korzystał wyłącznie z protokołu SSL. Następnie zaktualizuj magazyn tożsamości portalu tak, aby korzystał z użytkowników i grup usługi Windows Active Directory.

Konfigurowanie instytucji tak, aby do komunikacji korzystała wyłącznie z protokołu HTTPS

Aby skonfigurować instytucję pod kątem protokołu HTTPS, wykonaj następujące czynności:

  1. Zaloguj się w witrynie internetowej instytucji jako administrator.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.

  2. Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
  3. Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Active Directory.

  1. Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Kliknij Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
  3. W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników Windows Active Directory w instytucji (w formacie JSON).

    Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

    Gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter (co się zdarza rzadko), dla parametru caseSensitive należy ustawić wartość true.

  4. Aby utworzyć grupy w portalu, które wykorzystują istniejące grupy Active Directory w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Aby używać wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.

    Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.

  5. Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
  6. Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Dodawanie kont specyficznych dla instytucji

Domyślnie użytkownicy specyficzni dla instytucji mogą uzyskać dostęp do instytucji ArcGIS Enterprise. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta specyficzne dla instytucji nie zostały dodane i nie przyznano im uprawnień dostępu.

Dodaj konta do instytucji przy użyciu jednej z następujących metod:

Zaleca się, aby przynajmniej jedno konto specyficzne dla instytucji wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy mogą logować się do instytucji i uzyskiwać dostęp do zasobów.

Zainstaluj i włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Przyporządkowywanie certyfikatów klientów usługi Active Directory nie jest dostępne w domyślnej instalacji programu IIS. Należy zainstalować i włączyć tę funkcję.

Instalacja z systemem Windows Server 2016

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2016:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu hierarchii Menedżer serwerów rozwiń element Role i kliknij na element Serwer internetowy (IIS).
  3. Rozwiń role Serwer internetowy i Bezpieczeństwo.
  4. W sekcji roli Bezpieczeństwo wybierz element Uwierzytelnianie mapowań certyfikatów klientów i kliknij przycisk Dalej.
  5. Klikaj przycisk Dalej, aby przejść do karty Wybieranie funkcji, a następnie kliknij przycisk Instaluj.

Instalacja z systemem Windows Server 2019 lub 2022

Wykonaj następujące czynności, aby zainstalować uwierzytelnianie mapowań certyfikatów klientów z systemem Windows Server 2019 lub 2022:

  1. Otwórz element Narzędzia administracyjne i kliknij Menedżer serwerów.
  2. W panelu Server Manager kliknij opcję Dodaj role i funkcje.
  3. Zaakceptuj ustawienia domyślne i kliknij przycisk Dalej na stronach Przed rozpoczęciem, Typ instalacji i Wybór serwera.
  4. Na stronie Role serwera włącz element Web Server (IIS) i kliknij przycisk Dalej.
  5. Na stronie Funkcje kliknij przycisk Dalej.
  6. Na stronie Web Server Role (IIS) kliknij przycisk Dalej.
  7. Na stronie Usługi ról rozwiń sekcję Bezpieczeństwo.
  8. W sekcji Bezpieczeństwo wybierz element Uwierzytelnianie mapowań certyfikatów klientów IIS i kliknij przycisk Dalej.
  9. Na stronie Potwierdzenie kliknij opcję Instaluj.

Włącz Uwierzytelnianie mapowań certyfikatów klientów usługi Active Directory

Po zainstalowaniu funkcji Mapowanie certyfikatów klientów usługi Active Directory wykonaj następujące czynności, aby włączyć tę funkcję:

  1. Uruchom program Internet Information Server (IIS) Manager.
  2. W węźle Połączenia, kliknij nazwę swojego serwera.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Sprawdź, czy wyświetlany jest element Uwierzytelnianie certyfikatów klientów usługi Active Directory.

    Jeśli funkcja ta nie jest wyświetlana lub jest ona niedostępna, może okazać się konieczne ponowne uruchomienie serwera WWW, aby zakończyć instalację funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory.

  5. Kliknij dwukrotnie element Uwierzytelnianie certyfikatów klientów usługi Active Directory, a następnie wybierz opcję Włącz w oknie Akcje.

Zostanie wyświetlony komunikat informujący, że protokół SSL musi być włączony, aby możliwe było korzystanie z funkcji Uwierzytelnianie certyfikatów klientów usługi Active Directory. Instrukcje dotyczące tej kwestii znajdują się w kolejnej sekcji.

Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem wymagania protokołu SSL i certyfikatów klientów

Wykonaj następujące czynności, aby skonfigurować w aplikacji ArcGIS Web Adaptor wymaganie protokołu SSL i certyfikatów klientów:

  1. Uruchom Menedżera internetowych usług informacyjnych (IIS).
  2. Rozwiń węzeł Połączenia i wybierz witrynę aplikacji ArcGIS Web Adaptor.
  3. Kliknij dwukrotnie Uwierzytelnianie w oknie Widok funkcji.
  4. Wyłącz wszystkie formy uwierzytelniania.
  5. Wybierz ponownie aplikację ArcGIS Web Adaptor z listy Połączenia.
  6. Kliknij dwukrotnie Ustawienia SSL.
  7. Włącz opcję Wymagaj protokołu SSL, a następnie wybierz opcję Wymagaj znajdującą się wewnątrz elementu Certyfikaty klientów.
  8. Aby zapisać zmiany, kliknij przycisk Zastosuj.
Notatka:

Aby uwierzytelnianie za pomocą certyfikatów klientów działało w systemie Microsoft Windows Server 2022, w powiązaniach witryny HTTPS musi być wyłączony protokół TLS 1.3.

Weryfikowanie dostępu do portalu przy użyciu uwierzytelniania za pomocą usługi Windows Active Directory i certyfikatów klientów

Wykonaj następujące czynności, aby potwierdzić, że możesz uzyskać dostęp do portalu przy użyciu uwierzytelniania za pomocą usługi Windows Active Directory i certyfikatu klienta:

  1. Otwórz portal.

    Adres URL ma format https://organization.example.com/<context>/home.

  2. Upewnij się, że zostaje wyświetlony monit o poświadczenia zabezpieczeń i można uzyskać dostęp do witryny.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.