Você pode acessar com segurança seu portal utilizando Lightweight Directory Access Protocol (LDAP) ou Windows Active Directory. Quando você utiliza LDAP, os logins são gerenciados por seu servidor LDAP da organização. Quando você utiliza o Windows Active Directory, logins são gerenciados pelo Microsoft Windows Active Directory. Após atualizar o armazenamento de identidade do seu portal para LDAP ou Diretório Ativo, você poderá configurar a autenticação na camada do portal.
Configurar o portal para utilizar HTTPS para todas as comunicações
Por padrão, o Portal for ArcGIS aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambas a comunicação de HTTP e HTTPS, você deverá reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo:
- Entre no site da web do portal como um administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Na página Organização , clique na guia Configurações, então clique em Segurança.
- Marque Permitir acesso ao portal por HTTPS somente.
- Clique em Salvar para aplicar suas alterações.
Atualizar armazenamento de identidade do seu portal
Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos do LDAP ou Diretório Ativo.
Atualizar armazenamento de identidade do seu portal utilizando LDAP
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Se você deseja criar grupos no portal que utilizam os grupos enterprise existentes no seu armazenamento de identidade, cole suas informações da configuração do grupo LDAP da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword e ldapURLForUsers. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Clique em Atualizar Configuração para salvar as alterações.
Atualizar o armazenamento de identidade do seu portal utilizando Diretório Ativo
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Windows Active Directory da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
No caso raro onde seu Windows Active Directory é configurado para diferenciar letra maiúscula e minúscula, configure o parâmetro caseSensitive para true.
- Se você deseja criar grupos no portal que utilizam os grupos enterprise existentes no seu armazenamento de identidade , cole suas informações da configuração de grupo do Windows Active Directory da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
- Clique em Atualizar Configuração para salvar as alterações.
Configurar parâmetros do armazenamento de identidade adicionais (Opcional)
Há parâmetros de configuração do armazenamento de identidade adicionais que podem ser modificados utilizando API de administração do ArcGIS Portal Directory. Esses parâmetros incluem opções como restringir se os grupos são atualizados automaticamente quando um usuário específico da organização entra no portal, definindo o intervalo de atualização da associação e definindo se deve verificar vários formatos de nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.
Configurar autenticação em série do portal
Após configurar o portal com seu armazenamento de identidade do Diretório Ativo ou LDAP, você precisará habilitar o acesso anônimo pelo web adaptor no IIS ou no seu servidor de aplicativo Java. Quando um usuário acessa a página de entrada do portal, ele pode efetuar o login usando credenciais específicas da organização ou credenciais internas. Os usuários específicos da organização deverão inserir suas credenciais de conta cada vez que efetuarem o login no portal; o login automático ou único não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.
Verifique se você pode acessar o portal utilizando credenciais
- Abra o site da web do portal. A URL está no formato: https://webadaptorhost.domain.com/webadaptorname/home.
- Entre usando suas credenciais de conta específicas da organização (sintaxe de exemplo abaixo).
Ao usar a autenticação de nível de portal, os membros farão login usando a seguinte sintaxe:
- Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
- Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.
Adicione contas específicas da organização ao seu portal
Por padrão, usuários específicos da organização podem acessar o site do portal. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas ao portal e não receberam privilégios de acesso.
Adicione contas no seu portal utilizando um dos seguintes métodos:
- Site da web do Portal for ArcGIS (um de cada vez, em massa a partir do arquivo CSV ou de grupos enterprise existentes)
- Script de Python
- Utilitário da linha de comando
- Automaticamente
É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas, os usuários poderão entrar na organização e acessar o conteúdo.