Skip To Content

Utilizar Autenticação Integrada do Windows com seu portal

Você pode garantir o acesso ao seu portal utilizando Autenticação Integrada do Windows (IWA). Quando você utilizar IWA, os logins são gerenciados pelo Microsoft Windows Active Directory. Os usuários não entram e saem do site da web do portal; pelo contrário, quando eles abrem o site da web, são registrados com as mesmas contas que utilizaram para entrar no Windows.

Para utilizar Autenticação Integrada do Windows, você deve utilizar o ArcGIS Web Adaptor (IIS) implantado no servidor da web IIS da Microsoft. Você não pode utilizar ArcGIS Web Adaptor (Java Platform) para executar uma Autenticação Integrada do Windows. Se você ainda não finalizou, instale e configure o ArcGIS Web Adaptor (IIS) com seu portal.

Anotação:

Para utilizar autenticação em série da web com um site federado ArcGIS Server, você deve desativar a autenticação em série da web (incluindo autenticação de certificado do cliente) e habilitar acesso anônimo no ArcGIS Web Adaptor configurado com seu site do ArcGIS Server antes de federá-lo com o portal. Embora pareça anti-intuitivo, isto é necessário de forma que seu site esteja livre para federar com o portal e ler os papéis e usuários do portal. Se o seu site do ArcGIS Server ainda não estiver utilizando autenticação em série da web, nenhuma ação é exigida. Para instruções sobre como adicionar um servidor no seu portal, consulte Federar um site do ArcGIS Server com seu portal.

Siga estas etapas para configurar IWA com seu portal:

Configurar seu portal para utilizar Diretório Ativo do Windows

Por padrão, o Portal for ArcGIS aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambos a comunicação de HTTP e HTTPS, você precisará reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo.

Anotação:

A utilização de um armazenamento de identidade do Diretório Ativo, o ArcGIS Enterprise suporta autenticação de múltiplos domínios com uma única floresta, mas não fornece autenticação de floresta cruzada. Para oferecer suporte a usuários corporativos de várias florestas, é necessário um provedor de identidade SAML.

Configurar o portal para utilizar HTTPS para todas as comunicações

  1. Entre no site da web do portal como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
  3. Habilite Permitir acesso ao portal por HTTPS somente.

Atualizar armazenamento de identidade do seu portal

A seguir, atualize a identidade do seu armazenamento do portal para utilizar os usuários e grupos do Diretório Ativo.

  1. Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Diretório Ativo do Windows da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

    No caso raro, onde seu Diretório Ativo do Windows é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  4. Se você deseja criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo do Diretório Ativo do Windows da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

  5. Clique em Atualizar Configuração para salvar as alterações.
  6. Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.

Configurar parâmetros adicionais de armazenamento de identidade

Opcionalmente, você pode modificar parâmetros de configuração de armazenamento de identidade adicionais usando a API de administração do ArcGIS Portal Directory. Esses parâmetros incluem restringir se os grupos são atualizados automaticamente quando um usuário enterprise entra no portal, configurando o intervalo de atualização da associação e definindo se deve verificar vários formatos de nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.

Adicionar contas enterprise no seu portal

Por padrão, usuários enterprise podem acessar o site da web do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isto é devido ao fato das contas enterprise não terem sido adicionadas no portal e os privilégios de acesso também não forem concedidos.

Adicione contas no seu portal utilizando um dos seguintes métodos:

É recomendado que você designe pelo menos uma conta enterprise como um Administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas e você completar as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.

Configure ArcGIS Web Adaptor para utilizar IWA

Para configurar ArcGIS Web Adaptor para utilizar IWA, complete as etapas seguintes:

  1. Abra o Internet Information Server (IIS) Manager.
  2. No painel Conexões, localize e expanda o site da web que hospeda o ArcGIS Web Adaptor.
  3. Clique no nome do ArcGIS Web Adaptor. O padrão é arcgis.
  4. No painel Página Inicial, clique duas vezes em Autenticação.
  5. Selecione Autenticação Anônima e clique em Desabilitar.
  6. Selcione Autenticação do Windows e clique em Habilitar.
  7. Feche o Internet Information Server (IIS) Manager.

Verifique o acesso ao portal usando IWA

Para verificar se você pode acessar o portal usando IWA, conclua as seguintes etapas:

  1. Abra o site da web do portal. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Verifique se você foi solicitado para suas credenciais da conta enterprise ou entrou automaticamente utilizando sua conta enterprise. Se você não observar esse comportamento, confirme se a conta do Windows que você usou para entrar na máquina foi adicionada ao portal.

Evitar os usuários de criar seu própria conta embutida

Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recursos para usuários criarem novas contas internas nas configurações da organização.