Ao usar o Lightweight Directory Access Protocol (LDAP) para autenticar usuários, você pode usar a autenticação de certificado de cliente baseada em infraestrutura de chave pública (PKI) para proteger o acesso à sua organização do ArcGIS Enterprise.
Para usar LDAP e PKI, você deve configurar a autenticação de certificado de cliente usando ArcGIS Web Adaptor (Java Platform) implantado em um servidor de aplicação do Java. Você não pode usar o ArcGIS Web Adaptor (IIS) para executar a autenticação de certificado de cliente com LDAP. Se você ainda não fez isto, instale e configure ArcGIS Web Adaptor (Java Platform) com seu portal.
Configurar sua organização com LDAP
Por padrão, a organização do ArcGIS Enterprise aplica HTTPS para todas as comunicações. Se você tiver alterado esta opção anteriormente para permitir ambos a comunicação de HTTP e HTTPS, você deverá reconfigurar o portal para utilizar somente comunicação de HTTPS seguindo as etapas abaixo.
Configure a organização para usar HTTPS para todas as comunicações
Conclua as seguintes etapas para configurar a organização para usar HTTPS:
- Entre no site da organização como administrador.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.
- Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
- Habilite Permitir acesso ao portal por HTTPS somente.
Atualizar armazenamento de identidade do seu portal
Em seguida, atualize o armazenamento de identidade do seu portal para utilizar os usuários e grupos LDAP.
- Entre no ArcGIS Portal Directory como administrador da sua organização.
A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidades.
- Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário LDAP da organização (no formato JSON). Como alternativa, atualize o exemplo a seguir com informações de usuário específicas da sua organização:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers, e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se sua organização usar outro atributo no certificado PKI, como email, você deverá atualizar o parâmetro userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro de usuário precisa das permissões para visualizar o endereço de e-mail e nomes de usuários na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar maiúsculas de minúsculas, defina o parâmetro caseSensitive para true.
- Se você deseja criar grupos no portal que aproveitam os grupos LDAP existentes em seu armazenamento de identidade, cole as informações de configuração do grupo LDAP de sua organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) conforme mostrado abaixo. Como alternativa, atualize o exemplo a seguir com informações de grupo específicas da sua organização. Se você deseja somente utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers, ldapURLForGroups e userSearchAttribute. O userSearchAttribute é o valor do parâmetro Subject do certificado PKI. Se a sua organização utilizar outro atributo no certificado PKI, como e-mail, você deverá atualizar o parâmetro userSearchAttribute para corresponder ao parâmetro Subject no certificado PKI. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere a usuários em um OU (ou=users) determinado. Se existir usuários em múltiplos OUs, a URL de LDAP poderá apontar para um nível mais alto OU ou até o nível raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro do usuário precisa de permissões para procurar os nomes de grupos na sua organização. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo).
Se o seu LDAP estiver configurado para diferenciar maiúsculas de minúsculas, defina o parâmetro caseSensitive para true.
- Clique em Atualizar Configuração para salvar as alterações.
- Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.
Adicionar contas específicas da organização
Por padrão, usuários específicos da organização podem acessar a organização do ArcGIS Enterprise. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas e não receberam privilégios de acesso.
Adicione contas à sua organização usando um dos seguintes métodos:
- Individualmente ou em lote (um de cada vez, em lote a partir de um arquivo .csv ou de grupos existentes do Active Directory)
- Utilitário da linha de comando
- Automaticamente
É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Após as contas serem adicionadas e você concluir as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.
Configure o ArcGIS Web Adaptor usar autenticação de certificado de cliente
Após instalar e configurar o ArcGIS Web Adaptor (Java Platform) com sua organização, configure um campo LDAP no seu servidor de aplicativo Java e configure a autenticação de certificado de cliente baseado em PKI doArcGIS Web Adaptor. Para instruções, consulte o administrador do sistema ou a documentação do produto para o servidor de aplicativos Java.
Anotação:
Para que a autenticação de certificado de cliente funcione, o TLS 1.3 deve estar desabilitado no servidor de aplicativos Java.
Verifique o acesso da organização usando LDAP e autenticação de certificado de cliente
Para verificar se você pode acessar o portal usando LDAP e autenticação de certificado de cliente, conclua as etapas a seguir:
- Abra o portl do ArcGIS Enterprise. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.A URL está no formato https://organization.example.com/<context>/home.
- Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.
Evitar os usuários de criar seu própria conta embutida
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recurso para que usuários criem novas contas internas nas configurações da organização.