Skip To Content

Использование встроенной аутентификации Windows в вашем портале

В этом разделе

Вы можете контролировать доступ к вашему порталу при помощи встроенной аутентификации Windows (IWA). При использовании IWA учетные данные управляются с помощью Microsoft Windows Active Directory. Пользователи не входят и не выходят с веб-сайта портала; при открытии веб-сайта вход выполняется автоматически, с использованием тех же учетных записей, которые используются для входа в Windows.

Просмотреть видео

Для использования интегрированной аутентификации Windows Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим порталом, если вы этого еще не сделали.

Примечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сайте аутентификацию веб-уровня, вам потребуется отключить аутентификацию на веб-уровне (basic или digest) и разрешить анонимный доступ на ArcGIS Web Adaptor, настроенному на сайт, перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Настройка портала на использование Windows Active Directory

Сначала настройте портал для работы с HTTPS-коммуникацией. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка портала на использование HTTPS для всех коммуникаций

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. На странице Моя организация щелкните Редактирование настроек, затем выберите Безопасность.
  3. Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
  4. Нажмите Сохранить, чтобы применить изменения.

Обновление хранилища аутентификаций портала

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени в учетных записях Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Настройка дополнительных параметров хранилища аутентификаций

Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить с помощью API администрирования ArcGIS Portal Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с IWA.

  1. Откройте Internet Information Services (IIS) Manager.
  2. На панели Подключения укажите и разверните веб-сайт с ArcGIS Web Adaptor.
  3. Щелкните имя Web Adaptor для ArcGIS. По умолчанию – arcgis.
  4. Дважды щелкните Аутентификация на панели Home.
  5. Выберите Анонимная проверка подлинности и щелкните Отключить.
  6. Выберите Аутентификация Windows и щелкните Включить.
  7. Закройте Internet Information Services (IIS) Manager.

Проверка доступности портала по протоколу IWA

  1. Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. Убедитесь, что у вас запросили учетные данные вашей корпоративной учетной записи либо автоматически вошли с использованием таких учетных данных. Если вы этого не увидели, проверьте, что для входа в систему вы использовали учетную запись Windows, добавленную на портал.

Запрет создания собственных учетных записей для пользователей

Чтобы запретить пользователям создавать собственные учетные записи, отключите кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала. Это означает, что все участники портала, используют корпоративные учетные данные, и создать дополнительные учетные записи участников будет нельзя. Подробные инструкции см. в разделе Отключение пользователям возможности создавать встроенные учетные записи портала.