Использование встроенной аутентификации Windows в вашем портале
В этом разделе
- Настройка портала на использование Windows Active Directory
- Добавление пользователей из корпоративной системы на портал
- Настройка ArcGIS Web Adaptor для работы с IWA.
- Проверка доступности портала по протоколу IWA
- Запрет создания собственных учетных записей для пользователей
Вы можете контролировать доступ к вашему порталу при помощи встроенной аутентификации Windows (IWA). При использовании IWA учетные данные управляются с помощью Microsoft Windows Active Directory. Пользователи не входят и не выходят с веб-сайта портала; при открытии веб-сайта вход выполняется автоматически, с использованием тех же учетных записей, которые используются для входа в Windows.
Для использования интегрированной аутентификации Windows Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим порталом, если вы этого еще не сделали.
Примечание:
Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сайте аутентификацию веб-уровня, вам потребуется отключить аутентификацию на веб-уровне (basic или digest) и разрешить анонимный доступ на ArcGIS Web Adaptor, настроенному на сайт, перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Настройка портала на использование Windows Active Directory
Сначала настройте портал для работы с HTTPS-коммуникацией. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
Настройка портала на использование HTTPS для всех коммуникаций
- Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- На странице Моя организация щелкните Редактирование настроек, затем выберите Безопасность.
- Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
- Нажмите Сохранить, чтобы применить изменения.
Обновление хранилища аутентификаций портала
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени в учетных записях Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".
- Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
- Щелкните Обновить конфигурацию, чтобы сохранить изменения.
- Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.
Настройка дополнительных параметров хранилища аутентификаций
Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить с помощью API администрирования ArcGIS Portal Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.
Добавление пользователей из корпоративной системы на портал
По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи на портал одним из следующих методов:
- Веб-сайт Portal for ArcGIS (однократно, в пакетном режиме с использованием файла CSV или из существующих корпоративных групп)
- Скрипт Python
- Утилита командной строки
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Настройка ArcGIS Web Adaptor для работы с IWA.
- Откройте Internet Information Services (IIS) Manager.
- На панели Подключения укажите и разверните веб-сайт с ArcGIS Web Adaptor.
- Щелкните имя Web Adaptor для ArcGIS. По умолчанию – arcgis.
- Дважды щелкните Аутентификация на панели Home.
- Выберите Анонимная проверка подлинности и щелкните Отключить.
- Выберите Аутентификация Windows и щелкните Включить.
- Закройте Internet Information Services (IIS) Manager.
Проверка доступности портала по протоколу IWA
- Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- Убедитесь, что у вас запросили учетные данные вашей корпоративной учетной записи либо автоматически вошли с использованием таких учетных данных. Если вы этого не увидели, проверьте, что для входа в систему вы использовали учетную запись Windows, добавленную на портал.
Запрет создания собственных учетных записей для пользователей
Чтобы запретить пользователям создавать собственные учетные записи, отключите кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала. Это означает, что все участники портала, используют корпоративные учетные данные, и создать дополнительные учетные записи участников будет нельзя. Подробные инструкции см. в разделе Отключение пользователям возможности создавать встроенные учетные записи портала.