Skip To Content

Zabezpieczanie dostępu przy użyciu uwierzytelniania za pomocą protokołu LDAP i certyfikatów klientów

W przypadku uwierzytelniania użytkowników za pomocą protokołu LDAP (Lightweight Directory Access Protocol) można zabezpieczyć dostęp do instytucji ArcGIS Enterprise przy użyciu uwierzytelniania za pomocą certyfikatów klientów opartych na infrastrukturze kluczy publicznych (PKI, public key infrastructure).

Aby używać protokołu LDAP i infrastruktury PKI, należy skonfigurować uwierzytelnianie za pomocą certyfikatów klientów przy użyciu aplikacji ArcGIS Web Adaptor (Java Platform) wdrożonej na serwerze aplikacji Java. Do uwierzytelniania za pomocą certyfikatów klientów przy użyciu protokołu LDAP nie można używać aplikacji ArcGIS Web Adaptor (IIS). Jeśli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (Java Platform) w portalu.

Konfigurowanie protokołu LDAP dla instytucji

Domyślnie instytucja ArcGIS Enterprise wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej zmieniono tę opcję, aby zezwolić na komunikację z użyciem zarówno protokołu HTTP, jak i protokołu HTTPS, należy zrekonfigurować portal tak, aby używana była komunikacja wyłącznie za pomocą protokołu HTTPS, postępując zgodnie z poniższymi wskazówkami.

Konfigurowanie instytucji tak, aby do komunikacji korzystała wyłącznie z protokołu HTTPS

Aby skonfigurować instytucję pod kątem protokołu HTTPS, wykonaj następujące czynności:

  1. Zaloguj się w witrynie internetowej instytucji jako administrator.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.

  2. Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
  3. Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup LDAP.

  1. Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Kliknij kolejno opcje Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
  3. W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników LDAP w instytucji (w formacie JSON). Ewentualnie zaktualizuj poniższy przykład przy użyciu informacji o użytkownikach charakterystycznych dla Twojej instytucji:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów user, userPassword, ldapURLForUsers i userSearchAttribute. userSearchAttribute to wartość parametru Subject certyfikatu PKI. Jeśli instytucja używa innego atrybutu w certyfikacie PKI, na przykład adresu e-mail, konieczne jest zaktualizowanie parametru userSearchAttribute w taki sposób, aby był zgodny z parametrem Subject w certyfikacie PKI. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.

    W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Konto używane dla parametru użytkownika powinno posiadać odpowiednie uprawnienia do wyszukiwania adresów e-mail i nazw użytkowników będących członkami instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).

    Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.

  4. Jeśli chcesz utworzyć grupy w portalu, które wykorzystują istniejące grupy LDAP w magazynie tożsamości, wklej dane konfiguracji grup LDAP w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Ewentualnie zaktualizuj poniższy przykład przy użyciu informacji o grupach charakterystycznych dla Twojej instytucji. Jeśli chcesz używać tylko wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    W większości przypadków wystarczy zmienić wartości parametrów user, userPassword, ldapURLForUsers, ldapURLForGroups i userSearchAttribute. userSearchAttribute to wartość parametru Subject certyfikatu PKI. Jeśli instytucja używa innego atrybutu w certyfikacie PKI, na przykład adresu e-mail, konieczne jest zaktualizowanie parametru userSearchAttribute w taki sposób, aby był zgodny z parametrem Subject w certyfikacie PKI. Adres URL protokołu LDAP musi zostać dostarczony przez administratora LDAP.

    W powyższym przykładzie adres URL LDAP odwołuje się do użytkowników o określonej wartości elementu OU (ou=users). Jeśli użytkownicy istnieją w wielu elementach OU, adres URL LDAP może wskazywać element OU wyższego poziomu, a nawet element poziomu głównego. W tym przypadku adres URL będzie wyglądał następująco:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Konto używane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania nazw grup w instytucji. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej).

    Jeśli w protokole LDAP skonfigurowano rozróżnianie wielkości liter, należy parametrowi caseSensitive przypisać wartość true.

  5. Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
  6. Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Dodawanie kont specyficznych dla instytucji

Domyślnie użytkownicy specyficzni dla instytucji mogą uzyskać dostęp do instytucji ArcGIS Enterprise. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta specyficzne dla instytucji nie zostały dodane i nie przyznano im uprawnień dostępu.

Dodaj konta do instytucji przy użyciu jednej z następujących metod:

Zaleca się, aby przynajmniej jedno konto specyficzne dla instytucji wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy mogą logować się do instytucji i uzyskiwać dostęp do zasobów.

Skonfiguruj w aplikacji ArcGIS Web Adaptor korzystanie z uwierzytelniania za pomocą certyfikatów klientów

Gdy aplikacja ArcGIS Web Adaptor (Java Platform) zostanie zainstalowana i skonfigurowana w instytucji, skonfiguruj obszar LDAP na serwerze aplikacji Java oraz uwierzytelnianie za pomocą certyfikatów klientów opartych na infrastrukturze PKI dla aplikacji ArcGIS Web Adaptor. Aby uzyskać instrukcje, skontaktuj się z administratorem systemu lub zapoznaj się z dokumentacją serwera aplikacji Java.

Notatka:

Aby uwierzytelnianie za pomocą certyfikatów klientów działało, na serwerze aplikacji Java musi być wyłączony protokół TLS 1.3.

Weryfikowanie dostępu instytucji przy użyciu uwierzytelniania za pomocą protokołu LDAP i certyfikatów klientów

Aby upewnić się, że możesz uzyskać dostęp do portalu przy użyciu uwierzytelniania za pomocą protokołu LDAP i certyfikatu klienta, wykonaj następujące czynności:

  1. Otwórz portal ArcGIS Enterprise. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.Adres URL ma format https://organization.example.com/<context>/home.
  2. Upewnij się, że zostaje wyświetlony monit o poświadczenia zabezpieczeń i można uzyskać dostęp do witryny.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.