Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасного доступа к вашему порталу с применением упрощенного протокола доступа к каталогам, Lightweight Directory Access Protocol (LDAP), для аутентификации пользователей.
Для использования LDAP и PKI нужно настроить аутентификацию с помощью клиентского сертификата на основе PKI через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации с помощью клиентского сертификата на основе PKI с LDAP. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (Java Platform) для своего портала.
Примечание:
Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать аутентификацию LDAP и PKI на сервере, вам потребуется отключить аутентификацию с помощью клиентского сертификата на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Настройте ваш портал на работу с LDAP
По умолчанию, Portal for ArcGIS активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.
Настройка портала на использование HTTPS для всех коммуникаций
- Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- На странице Организации щелкните вкладку Настройки, затем Безопасность в левой части страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Обновление хранилища аутентификаций портала
Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers и userSearchAttribute userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значениеtrue.
- Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers, ldapURLForUsers и userSearchAttribute. userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значениеtrue.
- Щелкните Обновить конфигурацию, чтобы сохранить изменения.
- Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.
Добавление пользователей из корпоративной системы на портал
По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи на портал одним из следующих методов:
- Веб-сайт Portal for ArcGIS (однократно, в пакетном режиме с использованием файла CSV или из существующих корпоративных групп)
- Скрипт Python
- Утилита командной строки
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Настройка ArcGIS Web Adaptor для работы с аутентификацией PKI.
По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашим порталом, задайте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию для ArcGIS Web Adaptor на базе PKI и сертификатов пользователей. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.
Убедиться в доступности портала с использованием LDAP и PKI
- Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.
Запрет создания собственных учетных записей для пользователей
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.