Você pode acessar com segurança seu portal utilizando Lightweight Directory Access Protocol (LDAP) ou Windows Active Directory. Quando você utilizar LDAP, os logins são gerenciados por seu servidor LDAP da organização. Quando você utiliza Windows Active Directory, logins são gerenciados pela Microsoft Windows Active Directory. Após atualizar o armazenamento de identidade do seu portal para LDAP ou Diretório Ativo, você poderá então configurar a autenticação na camada do portal.
Configurar o portal para utilizar HTTPS para todas as comunicações
Primeiramente, configure o portal para utilizar HTTPS para todas as comunicações.
- Entre no site da web do portal como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Na página Minha Organização, clique em Editar Configurações > Segurança.
- Marque Permitir acesso ao portal por HTTPS somente.
- Clique em Salvar para aplicar suas alterações.
Atualizar armazenamento de identidade do seu portal utilizando LDAP ou Windows Active Directory
Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos do LDAP ou Diretório Ativo.
Atualizar armazenamento de identidade do seu portal utilizando LDAP
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se os usuários existem em OUs múltiplos, a URL LDAP pode apontar para um nível mais alto OU ou até o nível de raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Se você deseja criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade, cole suas informações da configuração do grupo LDAP da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se os usuários existem em OUs múltiplos, a URL LDAP pode apontar para um nível mais alto OU ou até o nível de raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Atualizar o armazenamento de identidade do seu portal utilizando Diretório Ativo
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Diretório Ativo do Windows da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
No caso raro, onde seu Diretório Ativo do Windows é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Se você deseja criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo do Diretório Ativo do Windows da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Configurar parâmetros do armazenamento de identidade adicionais (Opcional)
Há parâmetros de configuração do armazenamento de identidade adicionais que podem ser modificados utilizando API de administração do ArcGIS Portal Directory. Estes parâmetros incluem opções como restringir se os grupos são atualizados automaticamente quando um usuário enterprise inicia uma sessão no portal, definir o intervalo de atualização da associação e definir se devem verificar se há múltiplos formatos do nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.
Configurar autenticação em série do portal
Após configurar o portal com seu armazenamento de identidade do Diretório Ativo ou LDAP, você precisará habilitar o acesso anônimo pelo web adaptor no IIS ou no seu servidor de aplicativo Java. Quando um usuário acessar a página de registro do portal, ele poderá entra utilizando credenciais enterprise ou credenciais embutidas. Usuários enterprise serão exigidos para inserir suas credenciais da conta todo vez que entrarem no portal; o registro único ou automático não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.
Verificar se você pode acessar o portal utilizando credenciais do LDAP ou Diretório Ativo
- Abra o site da web do portal. A URL está no formato: https://webadaptorhost.domain.com/webadaptorname/home.
- Entre utilizando suas credenciais de conta enterprise (sintaxe de exemplo abaixo).
Quando utilizar a autenticação em série do portal, membros na sua organização entrarão utilizando a seguinte sintaxe:
- Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
- Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.
Adicionar contas enterprise no seu portal
Por padrão, usuários enterprise podem acessar o site da web do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isto é devido ao fato das contas enterprise não terem sido adicionadas no portal e os privilégios de acesso também não forem concedidos.
Adicione contas no seu portal utilizando um dos seguintes métodos:
- Site da web do Portal for ArcGIS (um de cada vez, em massa a partir do arquivo CSV ou de grupos enterprise existentes)
- Script de Python
- Utilitário da linha de comando
- Automaticamente
É recomendado que você designe pelo menos uma conta enterprise como um Administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas, os usuários poderão entrar na organização e acessar o conteúdo.