Ao utilizar Lightweight Directory Access Protocol (LDAP) para autenticar usuários, você pode utilizar uma infraestrutura de chave pública (PKI) para acesso seguro ao seu portal.
Para utilizar LDAP e PKI, você deve instalar a autenticação de certificado de cliente baseado em PKI utilizando o ArcGIS Web Adaptor (Plataforma Java) implantado em um servidor de aplicativo Java. Você não pode utilizar o ArcGIS Web Adaptor (IIS) para executar a autenticação do certificado de cliente baseado em PKI com LDAP. Se você ainda não fez isto, instale e configure o ArcGIS Web Adaptor (Plataforma Java) com seu portal.
Anotação:
Se você estiver adicionando um site do ArcGIS Server no seu portal e deseja utilizar LDAP e PKI com o servidor, você precisará desabilitar a autenticação de certificado de cliente baseado em PKI no seu site do ArcGIS Server e habilitar o acesso anônimo antes de adicioná-lo no portal. Embora pareça anti-intuitivo, isto é necessário de forma que seu site esteja livre para federar com o portal e ler os papéis e usuários do portal. Se o seu site do ArcGIS Server ainda não estiver utilizando a autenticação do certificado de cliente baseado em PKI, nenhuma ação será exigida de sua parte. Para instruções sobre como adicionar um servidor no seu portal, consulte Federando um site do ArcGIS Server com seu portal.
Configurar seu portal com LDAP
Primeiramente, configure o portal para utilizar HTTPS para todas as comunicações. Então atualize seu armazenamento de identidade do portal para utilizar em usuários e grupos LDAP.
Configurar o portal para utilizar HTTPS para todas as comunicações
- Entre no site da web do portal como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Na página Minha Organização, clique em Editar Configurações > Segurança.
- Marque Permitir acesso ao portal por HTTPS somente.
- Clique em Salvar para aplicar suas alterações.
Atualizar armazenamento de identidade do seu portal
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se a sua organização utilizar outro atributo no certificado PKI, como e-mail, você deverá atualizar o userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se os usuários existem em OUs múltiplos, a URL LDAP pode apontar para um nível mais alto OU ou até o nível de raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Se você deseja criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade, cole suas informações da configuração do grupo LDAP da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers, ldapURLForUsers e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se a sua organização utilizar outro atributo no certificado PKI, como e-mail, você deverá atualizar o userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se os usuários existem em OUs múltiplos, a URL LDAP pode apontar para um nível mais alto OU ou até o nível de raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro do usuário precisa de permissões para procurar os nomes de grupos na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Adicionar contas enterprise no seu portal
Por padrão, usuários enterprise podem acessar o site da web do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isto é devido ao fato das contas enterprise não terem sido adicionadas no portal e os privilégios de acesso também não forem concedidos.
Adicione contas no seu portal utilizando um dos seguintes métodos:
- Site da web do Portal for ArcGIS (um de cada vez, em massa a partir do arquivo CSV ou de grupos enterprise existentes)
- Script de Python
- Utilitário da linha de comando
- Automaticamente
É recomendado que você designe pelo menos uma conta enterprise como um Administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas e você completar as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.
Configure ArcGIS Web Adaptor para utilizar autenticação PKI
Após instalar e configurar o ArcGIS Web Adaptor (Java Platform) com seu portal, você precisará configurar um campo LDAP no seu servidor de aplicativo Java e configurar a autenticação de certificado de cliente baseado em PKI do ArcGIS Web Adaptor. Para instruções, consulte o administrador do sistema ou a documentação do produto para o servidor de aplicativos Java.
Verificar se você pode acessar o portal utilizando LDAP e PKI
- Abra o site da web do portal. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.
Evitar os usuários de criar seu própria conta embutida
Para evitar que os usuários criem suas próprias contas embutidas, desative o botão Criar uma conta e a página de registro (signup.html) no site da web do portal. Isto significa que todos os membros entram no portal com suas credenciais enterprise, e contas de membro desnecessárias não podem ser criadas. Consulte Desabilitando recurso de usuários para criar contas do portal embutidas para instruções completas.