Ao utilizar o Diretório Ativo do Windows para autenticar usuários, você pode utilizar uma infraestrutura de chave pública (PKI) para acesso seguro a sua organização.
Para utilizar Autenticação Integrada do Windows e PKI, você deve utilizar o ArcGIS Web Adaptor (IIS) implantado no servidor da web do Microsoft IIS. Você não pode utilizar ArcGIS Web Adaptor (Java Platform) para executar uma Autenticação Integrada do Windows. Se você ainda não fez isto, instale e configureArcGIS Web Adaptor (IIS) com seu portal.
Configurar seu portal com Diretório Ativo do Windows
Primeiramente, configure o portal para utilizar SSL para todas as comunicações. Então atualize a identidade do seu armazenamento do portal para utilizar usuários e grupos do Diretório Ativo do Windows.
Configure a organização para usar HTTPS para todas as comunicações
Conclua as seguintes etapas para configurar a organização para usar HTTPS:
- Efetue o login no site da organização como administrador.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
- Habilite Permitir acesso ao portal por HTTPS somente.
Atualizar armazenamento de identidade do seu portal
A seguir, atualize a identidade do seu armazenamento do portal para utilizar os usuários e grupos do Diretório Ativo.
- Entre no ArcGIS Portal Directory como um Administrador da sua organização.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Diretório Ativo do Windows da organização (no formato JSON).
Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
No caso raro, onde seu Diretório Ativo do Windows é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Se você deseja criar grupos no portal que alavancam os grupos Active Directory existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo Active Directory do Windows da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Adicionar contas específicas da organização
Por padrão, usuários específicos da organização podem acessar a organização do ArcGIS Enterprise. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas e não receberam privilégios de acesso.
Adicione contas à sua organização usando um dos seguintes métodos:
- Individualmente ou em lote (um de cada vez, em lote a partir de um arquivo .csv ou de grupos existentes do Active Directory)
- Utilitário da linha de comando
- Automaticamente
É recomendado que você designe pelo menos uma conta específica da organização como Administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas e você completar as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.
Instalar e habilitar a Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo
O Mapeamento do Certificado Cliente no Diretório Ativo não está disponível na instalação padrão do IIS. Você deve instalar e habilitar o recurso.
Instalar Autenticação de Mapeamento do Certificado Cliente
As instruções para instalar o recurso variam de acordo com seu sistema operacional.
Instalar com Windows Server 2016
Complete as seguines etapas para instalar a Autenticação de Mapeamento do Certificado Cliente com Windows Server 2016:
- Abra Ferramentas Administrativas e clique em Gerenciador do Servidor.
- No painel de hierarquia Gerenciador do Servidor, expanda Papéis e clique em Servidor da Web (IIS).
- Expanda os papéis Web Server e Segurança .
- Na seção do papel Segurança , selecione Autenticação de Mapeamento do Certificado de Cliente e clique em Avançar.
- Clique em Avançar na guia Selecionar Feições e clique em Instalar.
Instalar com Windows Server 2008/R2 e 2012/R2
Complete as seguines etapas para instalar a Autenticação de Mapeamento do Certificado Cliente com Windows Server 2008/R2 e 2012/R2:
- Abra Ferramentas Administrativas e clique em Gerenciador do Servidor.
- No painel de hierarquia Gerenciador do Servidor, expanda Papéis e clique em Servidor da Web (IIS).
- Role até a seção Serviços do Papel e clique em Adicionar Serviços do Papel.
- Na página Selecionar Serviços do Papel do Assistente Adicionar Serviços do Papel, selecione Autenticação de Mapeamento do Certificado Cliente e clique em Avançar.
- Clique em Instalar.
Instalar com Windows 7, 8 e 8.1
Complete as seguines etapas para instalar a Autenticação de Mapeamento do Certificado Cliente com Windows 7, 8 e 8.1:
- Abra Painel de Controle e clique em Programas e Recursos > Ativar ou desativar Recursos do Windows.
- Expanda Serviços de Informações da Internet > Serviços da Web Mundial Gerais > Segurança e selecione Autenticação de Mapeamento do Certificado de Cliente.
- Clique em OK.
Habilitar Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo
Após instalar o Mapeamento do Certificado Cliente no Diretório Ativo, habilite o recurso seguindo as etapas abaixo.
- Iniciar Internet Information Server (IIS) Manager
- Sobre o nó Conexões, clique no nome do seu servidor da web.
- Clique duas vezes em Autenticação na janela Visualizar Recursos.
- Verifique se Autenticação do Certificado de Cliente no Diretório Ativo é exibido. Se a feição não for exibido ou não estiver disponível, pode ser necessário reiniciar o servidor da web para concluir a instalação do recurso Autenticação de Certificado Cliente do Diretório Ativo.
- Clique duas vezes em Autenticação do Certificado Cliente no Diretório Ativo e selecione Habilitar na janela Ações.
Uma mensagem é exibida indicando que SSL deve ser habilitado para utilizar Autenticação do Certificado de Cliente no Diretório Ativo. Você tratará disto na próxima seção.
Configurar ArcGIS Web Adaptor para exigir SSL e certificados cliente
Complete as seguintes etapas para configurar ArcGIS Web Adaptor para exigir SSL e certificados cliente:
- Inicie o Manager do Internet Information Services (IIS).
- Expanda o nó de Conexões e selecione seu site do ArcGIS Web Adaptor.
- Clique duas vezes em Autenticação na janela Visualizar Recursos.
- Desabilite todos os formulários de autenticação.
- Selecione seu ArcGIS Web Adaptor da lista Conexões novamente.
- Clique duas vezes em Configurações do SSL.
- Habilite a opçãoExigir SSL e escolha a opção Exigir nos Certificados Cliente.
- Clique em Aplicar para salvar suas alterações.
Verifique se você pode acessar o portal utilizando o Diretório Ativo do Windows e PKI
Complete as seguintes etapas para verificar se você pode acessar o portal usando o Diretório Ativo do Windows e PKI:
- Abra o portl do ArcGIS Enterprise.
A URL está no formato: https://organization.example.com/<context>/home.
- Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.
Evitar os usuários de criar seu própria conta embutida
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recursos para usuários criarem novas contas internas nas configurações da organização.