Skip To Content

Utilizar LDAP e PKI para acesso seguro

Ao utilizar Lightweight Directory Access Protocol (LDAP) para autenticar usuários, você pode utilizar uma infraestrutura de chave pública (PKI) para acesso seguro a sua organização do ArcGIS Enterprise.

Para utilizar LDAP e PKI, você deve instalar a autenticação de certificado de cliente baseado em PKI utilizando o ArcGIS Web Adaptor (Java Platform) implantado em um servidor de aplicativo Java. Você não pode utilizar o ArcGIS Web Adaptor (IIS) para executar a autenticação do certificado de cliente baseado em PKI com LDAP. Se você ainda não fez isto, instale e configure ArcGIS Web Adaptor (Java Platform) com seu portal.

Configurar sua organização com LDAP

Por padrão, a organização do ArcGIS Enterprise aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambos a comunicação de HTTP e HTTPS, você precisará reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo.

Configure a organização para usar HTTPS para todas as comunicações

Conclua as seguintes etapas para configurar a organização para usar HTTPS:

  1. Entre no site da organização como administrador.

    A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.

  2. Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
  3. Habilite Permitir acesso ao portal por HTTPS somente.

Atualizar armazenamento de identidade do seu portal

Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos LDAP.

  1. Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers, e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se a sua organização utilizar outro atributo no certificado PKI, como e-mail, você deverá atualizar o parâmetro userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  4. Se você deseja criar grupos no portal que aproveitam os grupos LDAP existentes em seu armazenamento de identidade, cole as informações de configuração do grupo LDAP de sua organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) conforme mostrado abaixo. Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers, ldapURLForGroups e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se a sua organização utilizar outro atributo no certificado PKI, como e-mail, você deverá atualizar o parâmetro userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.

    No exemplo acima, a URL LDAP se refere a usuários em um OU (ou=users) determinado. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    A conta que você utiliza para o parâmetro do usuário precisa de permissões para procurar os nomes de grupos na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).

    Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  5. Clique em Atualizar Configuração para salvar as alterações.
  6. Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.

Adicionar contas específicas da organização

Por padrão, usuários específicos da organização podem acessar a organização do ArcGIS Enterprise. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas e não receberam privilégios de acesso.

Adicione contas à sua organização usando um dos seguintes métodos:

É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas e você concluir as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.

Configure ArcGIS Web Adaptor para utilizar autenticação PKI

Após instalar e configurar o ArcGIS Web Adaptor (Java Platform) com sua organização, configure um campo LDAP no seu servidor de aplicativo Java e configure a autenticação de certificado de cliente baseado em PKI do ArcGIS Web Adaptor. Para instruções, consulte o administrador do sistema ou a documentação do produto para o servidor de aplicativos Java.

Anotação:

Para que a autenticação do certificado de cliente (PKI) funcione, o TLS 1.3 deve ser desativado no servidor de aplicativos Java.

Verifique o acesso à organização usando LDAP e PKI

Para verificar se você pode acessar o portal usando LDAP e PKI, execute as seguintes etapas:

  1. Abra o portl do ArcGIS Enterprise. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.A URL está no formato https://organization.example.com/<context>/home.
  2. Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.

Evitar os usuários de criar seu própria conta embutida

Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recurso para que usuários criem novas contas internas nas configurações da organização.