Skip To Content

Использование встроенной аутентификации Windows в вашем портале

Вы можете контролировать доступ к вашему порталу при помощи встроенной аутентификации Windows (IWA). При использовании IWA учетные данные управляются с помощью Microsoft Windows Active Directory. Выполняя вход на веб-сайт портала, пользователи тем самым открывают этот веб-сайт, используя те же учетные записи, которые они использовали для входа в Windows.

Для использования интегрированной аутентификации Windows (IWA) необходим ArcGIS Web Adaptor (IIS) , развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows (IWA). Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с порталом.

Примечание:

Чтобы использовать проверку подлинности веб-уровня с интегрированным сайтом ArcGIS Server, необходимо отключить проверку подлинности веб-уровня (включая проверку подлинности клиентского сертификата) и включить анонимный доступ к ArcGIS Web Adaptor, настроенному с помощью вашего сайта ArcGIS Server, до интеграции с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Для настройки IWA с вашим порталом выполните следующие действия:

Настройка портала на использование Windows Active Directory

По умолчанию, Portal for ArcGIS активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Примечание:

При помощи хранилища удостоверений Active Directory ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки корпоративных пользователей из нескольких лесов требуется провайдер идентичности SAML.

Настройка портала на использование HTTPS для всех коммуникаций

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/home.
  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Кроме того, вы можете обновить следующий пример с информацией о пользователях, относящейся к вашей организации:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Настройка дополнительных параметров хранилища аутентификаций

При необходимости вы можете изменить дополнительные параметры конфигурации хранилища аутентификаций с помощью API администрирования каталогов ArcGIS Portal. С помощью этих параметров можно настроить, будут ли автоматически обновляться группы при входе на портал пользователя организации, установить интервал обновления участников, а также задать, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с IWA

Чтобы настроить ArcGIS Web Adaptor на использование IWA, выполните следующие действия:

  1. Откройте Internet Information Server (IIS) Manager.
  2. На панели Подключения найдите и разверните вебсайт, на котором размещен ArcGIS Web Adaptor.
  3. Щелкните на имени ArcGIS Web Adaptor. По умолчанию – arcgis.
  4. Дважды щелкните Аутентификация на панели Home.
  5. Выберите Анонимная проверка подлинности и щелкните Отключить.
  6. Выберите Аутентификация Windows и щелкните Включить.
  7. Закройте Internet Information Server (IIS) Manager.

Проверка доступности портала с помощью IWA

Чтобы проверить, используя IWA, есть ли доступ к порталу, выполните следующие действия:

  1. Откройте веб-сайт портала. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/home.
  2. Убедитесь, что у вас запросили учетные данные вашей корпоративной учетной записи либо автоматически вошли с использованием таких учетных данных. Если этого не произошло, проверьте, была ли учетная запись Windows, которую вы использовали для входа в компьютер, добавлена на портал.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.