Skip To Content

Использование Windows Active Directory и PKI для безопасного доступа к вашему порталу

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к вашему порталу с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.

Для использования интегрированной аутентификации Windows и PKI ArcGIS Web Adaptor (IIS) должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим порталом, если вы этого еще не сделали.

Примечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сервере Windows Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Настройте свой портал на использование Windows Active Directory

Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка портала на использование HTTPS для всех коммуникаций

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. На странице Организации щелкните вкладку Настройки, затем Безопасность в левой части страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Windows Server 2016

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли Web Server и Безопасность.
  4. В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
  5. Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Windows Server 2008/R2 и 2012/R2

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
  4. На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
  5. Нажмите Установить.

Windows 7, 8 и 8.1

  1. Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
  2. Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
  3. Нажмите OK.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

  1. Запустите Internet Information Server (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов.

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на портал с помощью Windows Active Directory и PKI

  1. Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей для пользователей

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.