Использование вашего портала с LDAP и аутентификация на уровне портала—Portal for ArcGIS

У вас есть защищенный доступ к порталу с помощью Облегченного протокола доступа к каталогам (LDAP). При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации. Приступать к настройке аутентификации на уровне портала можно после обновления хранилища аутентификаций портала для LDAP.

Настройка организации для работы с HTTPS-коммуникацией

По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее изменили этот параметр, чтобы разрешить обмен данными как по протоколу HTTP, так и по протоколу HTTPS, необходимо перенастроить организацию для использования связи только по протоколу HTTPS, выполнив следующие действия:

Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
На странице Моя организация щелкните вкладку Настройки, затем щелкните Безопасность.
Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
Нажмите Сохранить, чтобы применить изменения.

Обновление хранилища аутентификаций вашей организации

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.

Обновление хранилища аутентификаций с помощью LDAP

Войдите в ArcGIS Enterprise Administrator Directory как администратор вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Для того, чтобы создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Щелкните Обновить хранилище аутентификаций, чтобы сохранить изменения.

Настройка дополнительных параметров хранилища аутентификаций

Существуют дополнительные параметры конфигурации хранилища аутентификаций, которые можно изменить с помощью ArcGIS Enterprise Administrator Directory API. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Настройка аутентификации веб-уровня

Когда портал будет настроен с хранилищем аутентификаций LDAP, необходимо включить анонимный доступ через веб-адаптер сервера приложений Java. Когда пользователи открывают страницу входа в организацию, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам организации, к которым предоставлен доступ для всех.

Убедитесь в доступности портала, используя учетные данные

Откройте портал ArcGIS Enterprise. URL-адрес имеет формат: https://webadaptorhost.domain.com/webadaptorname/home.
Войдите под учетной записью организации (см. ниже пример синтаксиса).

При использовании аутентификации уровня портала участники вашей организации будут заходить в систему посредством синтаксиса, который зависит от usernameAtrribute, указанного в конфигурации хранилища пользователей. Веб-сайт портала также отображает учетную запись в этом формате.

Добавление на портал корпоративных учетных записей

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Индивидуально или пакетно (по одному, пакетно из файла CSV или из существующих групп LDAP)
Утилита командной строки
Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После добавления учетных записей пользователи смогут входить в организацию и пользоваться ресурсами.

Отзыв по этому разделу?