Использование LDAP и PKI для безопасного доступа—Portal for ArcGIS

При использовании Упрощенного протокола доступа к каталогам (LDAP) для аутентификации пользователей вы можете использовать инфраструктуру открытых ключей (PKI) для защиты доступа к вашей организации ArcGIS Enterprise.

Для использования LDAP и PKI нужно настроить аутентификацию с помощью клиентского сертификата на основе PKI через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации с помощью клиентского сертификата на основе PKI с LDAP. Если вы этого еще не сделали, установите и настройтеArcGIS Web Adaptor (Java Platform) для своего портала.

Настройте свою организацию с помощью LDAP

По умолчанию, организация ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.

Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Кроме того, вы можете обновить следующий пример с информацией о пользователях, относящейся к вашей организации:
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers и userSearchAttribute. userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить параметр userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Если вы хотите на портале создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers, ldapURLForGroups и userSearchAttribute. userSearchAttribute является значением параметра Предмет сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить параметр userSearchAttribute для соответствия параметру Предмет в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Щелкните Обновить конфигурацию, чтобы сохранить изменения.
Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
Утилита командной строки
Автоматически

Рекомендуется назначить хотя бы одну учетную запись организации в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с аутентификацией PKI.

По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашей организацией, настройте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию для ArcGIS Web Adaptor на базе PKI и сертификатов пользователей. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.

Проверка доступа к организации с использованием LDAP и PKI

Для проверки доступности портала с использованием LDAP и PKI выполните следующие шаги:

Откройте портал ArcGIS Enterprise. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.URL-адрес имеет вид https://organization.example.com/<context>/home.
Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Отзыв по этому разделу?