Você pode proteger o acesso à sua organização usando a Autenticação Integrada do Windows (IWA). Quando você utiliza IWA, logins são gerenciados pelo Microsoft Windows Active Directory. Os usuários não entram e saem da organização; em vez disso, quando eles abrem o site, eles são conectados usando as mesmas contas que usaram para efetuar o login no Windows.
Para utilizar Autenticação Integrada do Windows, você deve utilizar o ArcGIS Web Adaptor (IIS) implantado no servidor da web da MicrosoftIIS. Você não pode utilizar ArcGIS Web Adaptor (Java Platform) para executar uma Autenticação Integrada do Windows. Se você ainda não finalizou, instale e configure o ArcGIS Web Adaptor (IIS) com seu portal.
Configure sua organização para usar Windows Active Directory
Por padrão, o ArcGIS Enterprise aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambos a comunicação de HTTP e HTTPS, você deverá reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo.
Anotação:
Usando um armazenamento de identidade do Active Directory, oArcGIS Enterprise suporta autenticação de múltiplos domínios com uma única floresta, mas não fornece autenticação de floresta cruzada. Para suportar usuários especificos da organização a partir de múltiplas florestas, um provedor de identidade SAML é exigido.
Configure a organização para usar HTTPS para todas as comunicações
Conclua as seguintes etapas para configurar a organização para usar HTTPS:
- Entre no site da organização como administrador.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
- Habilite Permitir acesso ao portal por HTTPS somente.
Atualizar armazenamento de identidade do seu portal
A seguir, atualize a identidade do seu armazenamento do portal para utilizar os usuários e grupos do Diretório Ativo.
- Entre no Diretório do Administrador do Portal como um administrador de sua organização.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Windows Active Directory da organização (no formato JSON).
Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
Em caso raro, onde seu Windows Active Directory é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.
- Para criar grupos no portal que utilizam os grupos do Active Directory existentes no seu armazenamento de identidade, cole suas informações da configuração de grupo do Windows Active Directory da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Para utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Configurar parâmetros adicionais de armazenamento de identidade
Opcionalmente, você pode modificar parâmetros adicionais de configuração do armazenamento de identidade usando o Portal Administrator Directory. Esses parâmetros incluem restringir se os grupos são atualizados automaticamente quando um usuário específico da organização entra na organização, configurando o intervalo de atualização da associação e definindo se deve verificar vários formatos de nome de usuário. Consulte Atualizar Armazenamento de Identidade para detalhes.
Adicionar contas específicas da organização
Por padrão, usuários específicos da organização podem acessar a organização do ArcGIS Enterprise. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas e não receberam privilégios de acesso.
Adicione contas à sua organização usando um dos seguintes métodos:
- Individualmente ou em lote (um de cada vez, em lote a partir de um arquivo .csv ou de grupos existentes do Active Directory)
- Utilitário da linha de comando
- Automaticamente
É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas e você concluir as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.
Configurar ArcGIS Web Adaptor para utilizar IWA
To configurar ArcGIS Web Adaptor para usar IWA, complete as seguintes etapas:
- Abra o Internet Information Server (IIS) Manager.
- No painel Conexões, localize e expanda o site da web que hospeda o ArcGIS Web Adaptor.
- Clique no nome do ArcGIS Web Adaptor.
O padrão é arcgis.
- No painel Página Inicial, clique duas vezes em Autenticação.
- Selecione Autenticação Anônima e clique em Desabilitar.
- Selcione Autenticação do Windows e clique em Habilitar.
- Feche o Internet Information Server (IIS) Manager.
Verificar acesso ao portal usando IWA
Para verificar se você pode acessar o portal usando IWA, conclua as seguintes etapas:
- Abra o portal.
A URL está no formato https://organization.example.com/<context>/home.
- Verifique se você foi solicitado a fornecer suas credenciais de conta específicas da organização ou entrou automaticamente usando sua conta específica da organização. Se você não observar esse comportamento, confirme se a conta do Windows que você usou para entrar na máquina foi adicionada ao portal.
Evitar os usuários de criar seu própria conta embutida
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recurso para que usuários criem novas contas internas nas configurações da organização.