Korzystanie ze zintegrowanego uwierzytelniania systemu Windows—Portal for ArcGIS | Dokumentacja oprogramowania ArcGIS Enterprise

Masz możliwość zabezpieczenia dostępu do instytucji za pomocą Zintegrowanego uwierzytelniania systemu Windows (IWA). Podczas korzystania z IWA loginy są zarządzane przez usługę Microsoft Windows Active Directory. Użytkownicy nie logują i nie wylogowują się z instytucji. Po jej otwarciu zostają zalogowani przy użyciu tych samych kont, których używają do logowania do systemu Windows.

Aby korzystać ze zintegrowanego uwierzytelniania systemu Windows, należy użyć aplikacji ArcGIS Web Adaptor (IIS) wdrożonej na serwerze internetowym MicrosoftIIS. Aplikacja ArcGIS Web Adaptor (Java Platform) nie pozwala na użycie Zintegrowanego uwierzytelniania systemu Windows. Jeżeli nie zostało to jeszcze zrobione, zainstaluj i skonfiguruj aplikację ArcGIS Web Adaptor (IIS) w portalu.

Konfigurowanie użycia w instytucji usługi Windows Active Directory

Domyślnie ArcGIS Enterprise wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej zmieniono tę opcję, aby zezwolić na komunikację z użyciem zarówno protokołu HTTP, jak i protokołu HTTPS, należy zrekonfigurować portal tak, aby używana była komunikacja wyłącznie za pomocą protokołu HTTPS, postępując zgodnie z poniższymi wskazówkami.

Notatka:

Oprogramowanie ArcGIS Enterprise, korzystając z magazynu tożsamości Active Directory, obsługuje uwierzytelnianie z wielu domen z pojedynczym lasem, ale nie obsługuje uwierzytelniania między lasami. Do obsługi użytkowników specyficznych dla instytucji z wielu lasów wymagany jest dostawca tożsamości SAML.

Konfigurowanie instytucji tak, aby do komunikacji korzystała wyłącznie z protokołu HTTPS

Aby skonfigurować instytucję pod kątem protokołu HTTPS, wykonaj następujące czynności:

Zaloguj się w witrynie internetowej instytucji jako administrator.
Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/home.
Kliknij opcję Instytucja, kliknij kartę Ustawienia, a następnie kliknij pozycję Bezpieczeństwo po lewej stronie.
Włącz opcję Zezwalaj na dostęp do portalu tylko za pośrednictwem protokołu HTTPS.

Aktualizowanie magazynu tożsamości portalu

Następnie zaktualizuj magazyn tożsamości portalu w celu korzystania z użytkowników i grup usługi Active Directory.

Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji.
Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Kliknij Bezpieczeństwo > Konfiguracja > Aktualizacja magazynu tożsamości.
W polu tekstowym Konfiguracja magazynu użytkownika (w formacie JSON) wklej dane konfiguracji użytkowników Windows Active Directory w instytucji (w formacie JSON).
Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o użytkownikach, które są specyficzne dla Twojej instytucji:
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "caseSensitive": "false"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno mieć odpowiednie uprawnienia do wyszukiwania adresów e-mail i pełnych nazw kont systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
Gdy usługa Windows Active Directory jest skonfigurowana tak, aby rozróżniać wielkość liter (co się zdarza rzadko), dla parametru caseSensitive należy ustawić wartość true.
Aby utworzyć grupy w portalu, które wykorzystują istniejące grupy Active Directory w magazynie tożsamości, wklej dane konfiguracji grup usługi Windows Active Directory w instytucji (w formacie JSON) w polu tekstowym Konfiguracja magazynu grupy (w formacie JSON), jak pokazano poniżej. Aby używać wbudowanych grup portalu, usuń wszystkie informacje z tego pola tekstowego i pomiń ten etap.
Alternatywnie możesz zaktualizować poniższy przykład przy użyciu informacji o grupach, które są specyficzne dla Twojej instytucji.
```
{
  "type": "WINDOWS",
  "properties": {
    "isPasswordEncrypted": "false",
    "userPassword": "secret",
    "user": "mydomain\\winaccount"
  }
}
```
W większości przypadków wystarczy zmienić wartości parametrów userPassword i user. Pomimo tego, że hasło zostanie wpisane w postaci zwykłego tekstu, zostanie zaszyfrowane po kliknięciu przycisku Aktualizuj konfigurację (poniżej). Konto podane dla parametru użytkownika powinno zapewniać odpowiednie uprawnienia do wyszukiwania nazw grup systemu Windows w sieci. Jeśli to możliwe, należy podać konto, którego hasło nie wygasa.
Aby zapisać zmiany, kliknij przycisk Aktualizuj konfigurację.
Jeśli skonfigurowano portal o wysokiej dostępności, uruchom ponownie każdy komputer portalu. Pełne instrukcje można znaleźć w temacie Zatrzymywanie i uruchamianie portalu.

Konfigurowanie dodatkowych parametrów magazynu tożsamości

Opcjonalnie można zmodyfikować dodatkowe parametry konfiguracji magazynu danych przy użyciu aplikacji Portal Administrator Directory. Parametry te obejmują ograniczanie automatycznego odświeżania grup, gdy użytkownik specyficzny dla instytucji zaloguje się do instytucji, ustawianie interwału odświeżania członkostwa oraz definiowanie, czy należy sprawdzać wiele formatów nazwy użytkownika. Szczegółowe informacje można znaleźć w temacie Aktualizacja magazynu tożsamości.

Dodawanie kont specyficznych dla instytucji

Domyślnie użytkownicy specyficzni dla instytucji mogą uzyskać dostęp do instytucji ArcGIS Enterprise. Jednak mogą oni tylko wyświetlać elementy, które zostały udostępnione wszystkim osobom w instytucji. Jest to spowodowane tym, że konta specyficzne dla instytucji nie zostały dodane i nie przyznano im uprawnień dostępu.

Dodaj konta do instytucji przy użyciu jednej z następujących metod:

Pojedynczo lub zbiorczo (pojedynczo, zbiorczo przy użyciu pliku .csv lub z istniejących grup usługi Active Directory)
Narzędzie wiersza poleceń
Automatycznie

Zaleca się, aby przynajmniej jedno konto specyficzne dla instytucji wyznaczyć jako konto administratora portalu. Można to zrobić, wybierając rolę Administrator podczas dodawania konta. Mając alternatywne konto administratora portalu, możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Po dodaniu kont i wykonaniu poniższych czynności użytkownicy mogą logować się do instytucji i uzyskiwać dostęp do zasobów.

Konfigurowanie aplikacji ArcGIS Web Adaptor pod kątem użycia IWA

Aby skonfigurować w aplikacji ArcGIS Web Adaptor użycie IWA, wykonaj następujące czynności:

Otwórz Menedżer usług Internet Information Server (IIS).
Na panelu Połączenia znajdź i rozwiń witrynę hostującą aplikację ArcGIS Web Adaptor.
Kliknij nazwę aplikacji ArcGIS Web Adaptor.
Wartość domyślna to arcgis.
W panelu Strona główna kliknij dwukrotnie pozycję Uwierzytelnianie.
Wybierz opcję Uwierzytelnianie anonimowe, a następnie kliknij opcję Wyłącz.
Wybierz opcję Uwierzytelnianie systemu Windows, a następnie kliknij opcję Włącz.
Zamknij Menedżer usług Internet Information Server (IIS).

Weryfikacja dostępu do portalu przy użyciu IWA

Aby zweryfikować dostęp do portalu przy użyciu IWA, wykonaj następujące czynności:

Otwórz portal.
Adres URL ma format https://organization.example.com/<context>/home.
Sprawdź, czy jest wyświetlany monit o poświadczenia konta specyficznego dla instytucji, lub czy następuje automatyczne zalogowanie przy użyciu takiego konta. Jeśli nie, sprawdź, czy konto systemu Windows, które służy do logowania na komputerze, zostało dodane do portalu.

Uniemożliwianie użytkownikom tworzenia własnych kont wbudowanych

Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.

Opinia na ten temat?