Skip To Content

Utilizar seu portal com LDAP ou Diretório Ativo e autenticação na camada do portal

Você pode acessar com segurança seu portal utilizando Lightweight Directory Access Protocol (LDAP) ou Windows Active Directory. Quando você utiliza LDAP, os logins são gerenciados por seu servidor LDAP da organização. Quando você utiliza o Windows Active Directory, logins são gerenciados pelo Microsoft Windows Active Directory. Após atualizar o armazenamento de identidade do seu portal para LDAP ou Diretório Ativo, você poderá configurar a autenticação na camada do portal.

Configurar a organização para usar HTTPS para todas as comunicações

Por padrão, o ArcGIS Enterprise aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambas a comunicação de HTTP e HTTPS, você deverá reconfigurar a organização para utilizar somente comunicação de HTTPS seguindo as etapas abaixo:

  1. Entre no site da web do portal como um administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Na página Organização , clique na guia Configurações, então clique em Segurança.
  3. Marque Permitir acesso ao portal por HTTPS somente.
  4. Clique em Salvar para aplicar suas alterações.

Atualizar armazenamento de identidade da sua organização

Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos do LDAP ou Diretório Ativo.

Atualizar o armazenamento de identidade usando LDAP

  1. Entre no ArcGIS Enterprise Administrator Directory como um administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Armazenamento de Identidade (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  4. Para criar grupos no portal que utilizam os grupos LDAP existentes no seu armazenamento de identidade, cole suas informações de configuração do grupo LDAP da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Armazenamento de Identidade (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  5. Clique em Atualizar Armazenamento de Identidade para salvar as alterações.

Atualizar o armazenamento de identidade utilizando Active Directory

  1. Entre no ArcGIS Enterprise Administrator Directory como um administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Windows Active Directory da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Armazenamento de Identidade (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

    No caso raro onde seu Windows Active Directory é configurado para diferenciar letra maiúscula e minúscula, configure o parâmetro caseSensitive para true.

  4. Para criar grupos no portal que utilizam os grupos do Active Directory existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo do Windows Active Directory da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Armazenamento de Identidade (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

  5. Clique em Atualizar Armazenamento de Identidade para salvar as alterações.

Configurar parâmetros do armazenamento de identidade adicionais (Opcional)

Há parâmetros de configuração do armazenamento de identidade adicionais que podem ser modificados utilizando a API do Diretório de Admnistrador do ArcGIS Enterprise. Esses parâmetros incluem opções como restringir se os grupos são atualizados automaticamente quando um usuário específico da organização entra no portal, definindo o intervalo de atualização da associação e definindo se deve verificar vários formatos de nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.

Configurar autenticação em série do portal

Após configurar o portal com seu armazenamento de identidade do Diretório Ativo ou LDAP, você precisará habilitar o acesso anônimo pelo web adaptor no IIS ou no seu servidor de aplicativo Java. Quando um usuário acessa a página de registro da organização, ele pode assinar no uso de credenciais específicas da organização ou credenciais internas. Os usuários específicos da organização deverão inserir suas credenciais de conta cada vez que entram no portal; o registro automático ou único não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos da organização que são compartilhados com todos.

Verifique se você pode acessar o portal utilizando credenciais

  1. Abra o portl do ArcGIS Enterprise. A URL está no formato: https://webadaptorhost.domain.com/webadaptorname/home.
  2. Entre usando suas credenciais de conta específicas da organização (sintaxe de exemplo abaixo).

Ao usar a autenticação na camada do portal, os membros entrarão usando a seguinte sintaxe:

  • Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
  • Se utilizar o portal com LDAP, a sintaxe depende do usernameAtrribute especificado na configuração do armazenamento do usuário. O site da web do portal também exibe a conta neste formato.

Adicione contas específicas da organização ao seu portal

Por padrão, usuários específicos da organização podem acessar o site do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas ao portal e não receberam privilégios de acesso.

Adicione contas à sua organização usando um dos seguintes métodos:

É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas, os usuários poderão entrar na organização e acessar o conteúdo.