Skip To Content

Использование Windows Active Directory и PKI для безопасного доступа к вашему порталу

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к вашему порталу с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.

Для использования интегрированной аутентификации Windows (IWA) и PKI необходим ArcGIS Web Adaptor (IIS) , развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с порталом.

Примечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сервере Windows Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Настройте свой портал на использование Windows Active Directory

Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка портала на использование HTTPS для всех коммуникаций

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/home.
  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Кроме того, вы можете обновить следующий пример с информацией о пользователях, относящейся к вашей организации:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Установка с Windows Server 2016

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли Web Server и Безопасность.
  4. В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
  5. Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Установка с Windows Server 2008/R2 и 2012/R2

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2008/R2 и 2012/R2:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
  4. На странице Выбрать сервисы ролейМастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
  5. Нажмите Установить.

Установка с Windows 7, 8 и 8.1

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows 7, 8 и 8.1:

  1. Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
  2. Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
  3. Нажмите OK.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

  1. Запустите Internet Information Server (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов

Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на портал с помощью Windows Active Directory и PKI

Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал с помощью Windows Active Directory и PKI:

  1. Откройте веб-сайт портала.

    URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/home.

  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.