Utilizando Windows Active Directory e PKI para acesso seguro no seu portal—Portal for ArcGIS

Ao utilizar o Diretório Ativo do Windows para autenticar usuários, você pode utilizar uma infraestrutura de chave pública (PKI) para acesso seguro ao seu portal.

Para utilizar a Autenticação Integrada do Windows e PKI, você deve utilizar ArcGIS Web Adaptor (IIS) desenvolvido para servidor da web IIS da Microsoft. Você não pode utilizar o ArcGIS Web Adaptor (Plataforma Java) para executar Autenticação Integrada do Windows. Se você ainda não finalizou, instale e configure o ArcGIS Web Adaptor (IIS) com seu portal.

Anotação:

Se você estiver adicionando um site do ArcGIS Server no seu portal e deseja utilizar o Diretório Ativo do Windows e PKI com o servidor, você precisará desabilitar a autenticação do certificado de cliente baseado em PKI no seu site do ArcGIS Server e habilitar o acesso anônimo antes de adicioná-lo no portal. Embora pareça anti-intuitivo, isto é necessário de forma que seu site esteja livre para federar com o portal e ler os papéis e usuários do portal. Se o seu site do ArcGIS Server ainda não estiver utilizando a autenticação do certificado de cliente baseado em PKI, nenhuma ação será exigida de sua parte. Para instruções sobre como adicionar um servidor no seu portal, consulte Federando um site do ArcGIS Server com seu portal.

Configurar seu portal com Diretório Ativo do Windows

Primeiramente, configure o portal para utilizar SSL para todas as comunicações. Então atualize a identidade do seu armazenamento do portal para utilizar usuários e grupos do Diretório Ativo do Windows.

Configurar o portal para utilizar HTTPS para todas as comunicações

Entre no site da web do portal como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
Na página Organização , clique em Editar Configurações, então clique em Segurança.
Marque Permitir acesso ao portal por HTTPS somente.
Clique em Salvar para aplicar suas alterações.

Atualizar armazenamento de identidade do seu portal

Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Diretório Ativo do Windows da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "caseSensitive": "false"
  }
}
```
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
No caso raro, onde seu Diretório Ativo do Windows é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
Se você deseja criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo do Diretório Ativo do Windows da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
```
{
  "type": "WINDOWS",  "properties": {
    "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
  }
}
```
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
Clique em Atualizar Configuração para salvar as alterações.
Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.

Adicionar contas enterprise no seu portal

Por padrão, usuários enterprise podem acessar o site da web do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isto é devido ao fato das contas enterprise não terem sido adicionadas no portal e os privilégios de acesso também não forem concedidos.

Adicione contas no seu portal utilizando um dos seguintes métodos:

Site da web do Portal for ArcGIS (um de cada vez, em massa a partir do arquivo CSV ou de grupos enterprise existentes)
Script de Python
Utilitário da linha de comando
Automaticamente

É recomendado que você designe pelo menos uma conta enterprise como um Administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas e você completar as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.

Instalar e habilitar a Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo

O Mapeamento do Certificado Cliente no Diretório Ativo não está disponível na instalação padrão do IIS. Você deve instalar e habilitar o recurso.

Instalar Autenticação de Mapeamento do Certificado Cliente

As instruções para instalar o recurso variam de acordo com seu sistema operacional.

Windows Server 2008/R2 e 2012/R2

Abra Ferramentas Administrativas e clique em Gerenciador do Servidor.
No painel de hierarquia Gerenciador do Servidor, expanda Papéis e clique em Servidor da Web (IIS).
Role até a seção Serviços do Papel e clique em Adicionar Serviços do Papel.
Na página Selecionar Serviços do Papel do Assistente Adicionar Serviços do Papel, selecione Autenticação de Mapeamento do Certificado Cliente e clique em Avançar.
Clique em Instalar.

Windows 7, 8 e 8.1

Abra Painel de Controle e clique em Programas e Recursos > Ativar ou desativar Recursos do Windows.
Expanda Serviços de Informações da Internet > Serviços da Web Mundial Gerais > Segurança e selecione Autenticação de Mapeamento do Certificado de Cliente.
Clique em OK.

Habilitar Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo

Após instalar o Mapeamento do Certificado Cliente no Diretório Ativo, habilite o recurso seguindo as etapas abaixo.

Inicie o Manager do Internet Information Services (IIS).
Sobre o nó Conexões, clique no nome do seu servidor da web.
Clique duas vezes em Autenticação na janela Visualizar Recursos.
Verifique se Autenticação do Certificado de Cliente no Diretório Ativo é exibido. Se o recurso não for exibido ou estiver indisponível, talvez seja necessário reiniciar seu servidor da web para completar a instalação do recurso Autenticação do Certificado de Cliente no Diretório Ativo.
Clique duas vezes em Autenticação do Certificado Cliente no Diretório Ativo e selecione Habilitar na janela Ações.

Uma mensagem é exibida indicando que SSL deve ser habilitado para utilizar Autenticação do Certificado de Cliente no Diretório Ativo. Você tratará disto na próxima seção.

Configurar o ArcGIS Web Adaptor para exigir SSL e certificados de cliente

Inicie o Manager do Internet Information Services (IIS).
Expanda o nó de Conexões e selecione seu site do Web Adaptor.
Clique duas vezes em Autenticação na janela Visualizar Recursos.
Desabilite todos os formulários de autenticação.
Selecione seu ArcGIS Web Adaptor da lista Conexões novamente.
Clique duas vezes em Configurações do SSL.
Habilite a opçãoExigir SSL e escolha a opção Exigir nos Certificados Cliente.
Clique em Aplicar para salvar suas alterações.

Verifique se você pode acessar o portal utilizando o Diretório Ativo do Windows e PKI

Abra o site da web do portal. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.

Evitar os usuários de criar seu própria conta embutida

Para evitar que os usuários criem suas próprias contas embutidas, desative o botão Criar uma conta e a página de registro (signup.html) no site da web do portal. Isto significa que todos os membros entram no portal com suas credenciais enterprise, e contas de membro desnecessárias não podem ser criadas. Consulte Desabilitando recurso de usuários para criar contas do portal embutidas para instruções completas.

Comentário neste tópico?