Использование LDAP и PKI для безопасного доступа к порталу—Portal for ArcGIS

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасного доступа к вашему порталу с применением упрощенного протокола доступа к каталогам, Lightweight Directory Access Protocol (LDAP), для аутентификации пользователей.

Для использования LDAP и PKI нужно настроить аутентификацию с помощью клиентского сертификата на основе PKI через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации с помощью клиентского сертификата на основе PKI с LDAP. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (Java Platform) для своего портала.

Примечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать аутентификацию LDAP и PKI на сервере, вам потребуется отключить аутентификацию с помощью клиентского сертификата на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Настройте ваш портал на работу с LDAP

По умолчанию, Portal for ArcGIS активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Настройка портала на использование HTTPS для всех коммуникаций

Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
На странице Организации щелкните вкладку Настройки, затем Безопасность в левой части страницы.
Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.

Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers и userSearchAttribute userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значениеtrue.
Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers, ldapURLForUsers и userSearchAttribute. userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значениеtrue.
Щелкните Обновить конфигурацию, чтобы сохранить изменения.
Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Веб-сайт Portal for ArcGIS (однократно, в пакетном режиме с использованием файла CSV или из существующих корпоративных групп)
Скрипт Python
Утилита командной строки
Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с аутентификацией PKI.

По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашим порталом, задайте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию для ArcGIS Web Adaptor на базе PKI и сертификатов пользователей. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.

Убедиться в доступности портала с использованием LDAP и PKI

Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей для пользователей

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Отзыв по этому разделу?