Skip To Content

Use Windows Active Directory e autenticação de certificado cliente para acesso seguro

Ao usar Windows Active Directory para autenticar usuários, é possível usar a autenticação de certificado cliente baseada em infraestrutura de chave pública (PKI) para proteger o acesso à sua organização.

Para usar a Autenticação Integrada do Windows e a autenticação de certificado cliente, você deve usar o ArcGIS Web Adaptor (IIS) implantado no servidor da web Microsoft IIS. Você não pode utilizar ArcGIS Web Adaptor (Java Platform) para executar uma Autenticação Integrada do Windows. Se você ainda não fez isto, instale e configureArcGIS Web Adaptor (IIS) com seu portal.

Configurar seu portal com Windows Active Directory

Primeiramente, configure o portal para utilizar SSL para todas as comunicações. Então atualize seu armazenamento de identidade do portal para utilizar em usuários e grupos do Windows Active Directory.

Configure a organização para usar HTTPS para todas as comunicações

Conclua as seguintes etapas para configurar a organização para usar HTTPS:

  1. Entre no site da organização como administrador.

    A URL está no formato https://webadaptorhost.domain.com/webadaptorname/home.

  2. Clique em Organização e clique na guia Configurações, então clique em Segurança no lado esquerdo da página.
  3. Habilite Permitir acesso ao portal por HTTPS somente.

Atualizar armazenamento de identidade do seu portal

A seguir, atualize a identidade do seu armazenamento do portal para utilizar os usuários e grupos do Diretório Ativo.

  1. Entre no Diretório do Administrador do Portal como um administrador de sua organização.

    A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
  3. Na caixa de texto Configuração do armazenamento de usuário (no formato JSON), cole suas informações da configuração de usuário do Windows Active Directory da organização (no formato JSON).

    Alternativamente, você pode atualizar a seguinte amostra com informações de usuário específicas para sua organização:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar o endereço de e-mail e nome completo das contas do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

    Em caso raro, onde seu Windows Active Directory é configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para verdadeiro.

  4. Para criar grupos no portal que utilizam os grupos do Active Directory existentes no seu armazenamento de identidade, cole suas informações da configuração de grupo do Windows Active Directory da organização (no formato JSON) na caixa de texto Configuração do armazenamento de grupo (no formato JSON) como mostrado abaixo. Para utilizar os grupos embutidos do portal, exclua quaisquer informações da caixa de texto e pule esta etapa.

    Alternativamente, você pode atualizar a seguinte amostra com informações de grupo específicas para sua organização.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Na maioria dos casos, você somente precisará alterar os valores dos parâmetros userPassword e user. Embora você digite a senha em texto claro, ela será codificada quando você clicar em Atualizar Configuração (abaixo). A conta que você especifica para o parâmetro de usuário precisa de permissões somente para visualizar os nomes de grupos do Windows na rede. Se possível, especifique uma conta cuja senha não expire.

  5. Clique em Atualizar Configuração para salvar as alterações.
  6. Se você configurou um portal altamente disponível, reinicie cada máquina do portal. Consulte Parando e iniciando o portal para instruções completas.

Adicionar contas específicas da organização

Por padrão, usuários específicos da organização podem acessar a organização do ArcGIS Enterprise. Entretanto, eles podem somente visualizar itens que foram compartilhados com todos na organização. Isso ocorre porque as contas específicas da organização não foram adicionadas e não receberam privilégios de acesso.

Adicione contas à sua organização usando um dos seguintes métodos:

É recomendável que você designe pelo menos uma conta específica da organização como administrador do seu portal. Você pode fazer isto escolhendo o papel de Administrador ao adicionar a conta. Quando você tiver uma conta de administrador do portal alternativa, você poderá atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.

Após as contas serem adicionadas e você concluir as etapas abaixo, os usuários poderão entrar na organização e acessar o conteúdo.

Instalar e habilitar a Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo

O Mapeamento do Certificado Cliente no Diretório Ativo não está disponível na instalação padrão do IIS. Você deve instalar e habilitar o recurso.

Instalar com Windows Server 2016

Complete as seguines etapas para instalar a Autenticação de Mapeamento do Certificado Cliente com Windows Server 2016:

  1. Abra Ferramentas Administrativas e clique em Gerenciador do Servidor.
  2. No painel de hierarquia Gerenciador do Servidor, expanda Papéis e clique em Servidor da Web (IIS).
  3. Expanda os papéis Web Server e Segurança .
  4. Na seção do papel Segurança , selecione Autenticação de Mapeamento do Certificado de Cliente e clique em Avançar.
  5. Clique em Avançar na guia Selecionar Feições e clique em Instalar.

Instalar com Windows Server 2019 ou 2022

Complete as seguintes etapas para instalar a Autenticação de Mapeamento do Certificado Cliente com Windows Server 2019 ou 2022:

  1. Abra Ferramentas Administrativas e clique em Gerenciador do Servidor.
  2. No Painel de Gerenciador do Servidor, clique em Adicionar papéis e feições.
  3. Aceite as configurações padrão e clique em Avançar nas páginas Antes de Começar, Tipo de Instalação e Seleção do Servidor.
  4. Na página Papéis do Servidor, habilite Servidor da Web (IIS) e clique em Avançar.
  5. Na página Feições, clique em Avançar.
  6. Na página Papel do Servidor da Web (IIS), clique em Avançar.
  7. Na página Serviços do Papel, expanda a seção Segurança.
  8. Na seção Segurança, selecione Autenticação de Mapeamento do Certificado de Cliente IIS e clique em Avançar.
  9. Na página de Confirmação, clique em Instalar.

Habilitar Autenticação de Mapeamento do Certificado Cliente no Diretório Ativo

Após instalar o Mapeamento do Certificado de Cliente do Active Directory, complete as etapas a seguir para habilitar o recurso:

  1. Iniciar Internet Information Server (IIS) Manager
  2. Sobre o nó Conexões, clique no nome do seu servidor da web.
  3. Clique duas vezes em Autenticação na janela Visualizar Recursos.
  4. Verifique se Autenticação do Certificado de Cliente no Diretório Ativo é exibido.

    Se a feição não for exibido ou não estiver disponível, pode ser necessário reiniciar o servidor da web para concluir a instalação do recurso Autenticação de Certificado Cliente do Diretório Ativo.

  5. Clique duas vezes em Autenticação do Certificado Cliente no Diretório Ativo e selecione Habilitar na janela Ações.

Uma mensagem aparece indicando que SSL deve ser habilitado para utilizar Autenticação do Certificado de Cliente no Diretório Ativo. Você tratará disto na próxima seção.

Configurar ArcGIS Web Adaptor para exigir SSL e certificados cliente

Complete as seguintes etapas para configurar ArcGIS Web Adaptor para exigir SSL e certificados cliente:

  1. Inicie o Manager do Internet Information Services (IIS).
  2. Expanda o nó de Conexões e selecione seu site do ArcGIS Web Adaptor.
  3. Clique duas vezes em Autenticação na janela Visualizar Recursos.
  4. Desabilite todos os formulários de autenticação.
  5. Selecione seu ArcGIS Web Adaptor da lista Conexões novamente.
  6. Clique duas vezes em Configurações do SSL.
  7. Habilite a opçãoExigir SSL e escolha a opção Exigir nos Certificados Cliente.
  8. Clique em Aplicar para salvar suas alterações.
Anotação:

Para que a autenticação do certificado de cliente funcione no Microsoft Windows Server 2022, o TLS 1.3 deve estar desabilitado nas ligações do site HTTPS.

Verifique se você pode acessar o portal utilizando Windows Active Directory e autenticação de certificado cliente

Complete as etapas a seguir para verificar se você pode acessar o portal usando Windows Active Directory e autenticação de certificado de cliente:

  1. Abra o portal.

    A URL está no formato https://organization.example.com/<context>/home.

  2. Verifique se as suas credenciais de segurança foram solicitadas e se você pode acessar o site da web.

Evitar os usuários de criar seu própria conta embutida

Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recurso para que usuários criem novas contas internas nas configurações da organização.