Skip To Content

Utilizar seu portal com LDAP e autenticação na camada do portal

Você pode acessar com segurança seu portal utilizando Lightweight Directory Access Protocol (LDAP). Quando você utiliza LDAP, os logins são gerenciados por seu servidor LDAP da organização. Após atualizar o armazenamento de identidade do seu portal para LDAP, você poderá configurar a autenticação na camada do portal.

Configurar o portal para utilizar HTTPS para todas as comunicações

Por padrão, o Portal for ArcGIS aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambas a comunicação de HTTP e HTTPS, você deverá reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo:

  1. Entre no site da web do portal como um administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Na página Organização , clique na guia Configurações, então clique em Segurança.
  3. Marque Permitir acesso ao portal por HTTPS somente.
  4. Clique em Salvar para aplicar suas alterações.

Atualizar armazenamento de identidade do seu portal

Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos LDAP.

Atualizar armazenamento de identidade do seu portal utilizando LDAP

  1. Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  4. Se você deseja criar grupos no portal que utilizam os grupos enterprise existentes no seu armazenamento de identidade, cole suas informações da configuração do grupo LDAP da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  5. Clique em Atualizar Configuração para salvar as alterações.

Configurar parâmetros do armazenamento de identidade adicionais (Opcional)

Há parâmetros de configuração do armazenamento de identidade adicionais que podem ser modificados utilizando API de administração do ArcGIS Portal Directory. Esses parâmetros incluem opções como restringir se os grupos são atualizados automaticamente quando um usuário específico da organização entra no portal, definindo o intervalo de atualização da associação e definindo se deve verificar vários formatos de nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.

Configurar autenticação em série do portal

Após configurar o portal com seu armazenamento de identidade do LDAP, você precisará habilitar o acesso anônimo pelo web adaptor no seu servidor de aplicativo Java. Quando um usuário acessa a página de entrada do portal, ele pode efetuar o login usando credenciais específicas da organização ou credenciais internas. Os usuários específicos da organização deverão inserir suas credenciais de conta cada vez que efetuarem o login no portal; o login automático ou único não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.

Verifique se você pode acessar o portal utilizando credenciais

  1. Abra o site da web do portal. A URL está no formato: https://webadaptorhost.domain.com/webadaptorname/home.
  2. Entre usando suas credenciais de conta específicas da organização (sintaxe de exemplo abaixo).

Ao usar a autenticação de nível de portal, os membros farão login usando a seguinte sintaxe:

  • Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.

Adicione contas específicas da organização ao seu portal

Por padrão, usuários específicos da organização podem acessar o site do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas ao portal e não receberam privilégios de acesso.

Adicione contas no seu portal utilizando um dos seguintes métodos:

É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas, os usuários poderão entrar na organização e acessar o conteúdo.