Использование Windows Active Directory и PKI для безопасного доступа к вашему порталу
В этом разделе
- Настройте свой портал на использование Windows Active Directory
- Добавление пользователей из корпоративной системы на портал
- Установите и включите аутентификацию Active Directory Client Certificate Mapping
- Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов
- Убедитесь, что вы можете зайти на портал с помощью Windows Active Directory и PKI
- Запрет создания собственных учетных записей для пользователей
Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к вашему порталу с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.
Для использования интегрированной аутентификации Windows и PKI ArcGIS Web Adaptor (IIS) должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим порталом, если вы этого еще не сделали.
Примечание:
Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сервере Windows Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Настройте свой портал на использование Windows Active Directory
Сначала настройте портал для работы с SSL-коммуникацией. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
Настройка портала на использование HTTPS для всех коммуникаций
- Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- На странице Моя организация щелкните Редактирование настроек, затем выберите Безопасность.
- Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
- Нажмите Сохранить, чтобы применить изменения.
Обновление хранилища аутентификаций портала
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени в учетных записях Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".
- Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
- Щелкните Обновить конфигурацию, чтобы сохранить изменения.
- Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.
Добавление пользователей из корпоративной системы на портал
По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи на портал одним из следующих методов:
- Веб-сайт Portal for ArcGIS (однократно, в пакетном режиме с использованием файла CSV или из существующих корпоративных групп)
- Скрипт Python
- Утилита командной строки
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Установите и включите аутентификацию Active Directory Client Certificate Mapping
Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установите аутентификацию Client Certificate Mapping
Инструкции по ее установке отличаются в зависимости от вашей операционной системы.
Windows Server 2008/R2 и 2012/R2
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
- На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
- Нажмите Установить.
Windows 7, 8 и 8.1
- Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
- Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
- Щелкните ОК.
Включите аутентификацию Active Directory Client Certificate Mapping
После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.
- Запустите Internet Information Services (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Убедитесь, что вы можете зайти на портал с помощью Windows Active Directory и PKI
- Откройте веб-сайт портала. Адрес URL имеет вид https://webadaptor.domain.com/arcgis/home.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.
Запрет создания собственных учетных записей для пользователей
Чтобы запретить пользователям создавать собственные учетные записи, отключите кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала. Это означает, что все участники портала, используют корпоративные учетные данные, и создать дополнительные учетные записи участников будет нельзя. Подробные инструкции см. в разделе Отключение пользователям возможности создавать встроенные учетные записи портала.