У вас есть защищенный доступ к порталу с помощью Облегченного протокола доступа к каталогам (LDAP). При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации. Приступать к настройке аутентификации на уровне портала можно после обновления хранилища аутентификаций портала для LDAP.
Настройка организации для работы с HTTPS-коммуникацией
По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее изменили этот параметр, чтобы разрешить обмен данными как по протоколу HTTP, так и по протоколу HTTPS, необходимо перенастроить организацию для использования связи только по протоколу HTTPS, выполнив следующие действия:
- Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- На странице Моя организация щелкните вкладку Настройки, затем щелкните Безопасность.
- Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
- Нажмите Сохранить, чтобы применить изменения.
Обновление хранилища аутентификаций вашей организации
Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.
Обновление хранилища аутентификаций с помощью LDAP
- Войдите в Portal Administrator Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
- Для того, чтобы создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
- Щелкните Обновить хранилище аутентификаций, чтобы сохранить изменения.
Настройка дополнительных параметров хранилища аутентификаций
Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить используя Portal Administrator Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.
Настройка аутентификации веб-уровня
Когда портал будет настроен с хранилищем аутентификаций LDAP, необходимо включить анонимный доступ через веб-адаптер сервера приложений Java. Когда пользователи открывают страницу входа в организацию, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам организации, к которым предоставлен доступ для всех.
Убедитесь в доступности портала, используя учетные данные
- Откройте портал ArcGIS Enterprise. URL-адрес имеет формат: https://webadaptorhost.domain.com/webadaptorname/home.
- Войдите под учетной записью организации (см. ниже пример синтаксиса).
При использовании аутентификации уровня портала участники вашей организации будут заходить в систему посредством синтаксиса, который зависит от usernameAtrribute, указанного в конфигурации хранилища пользователей. Веб-сайт портала также отображает учетную запись в этом формате.
Добавление на портал корпоративных учетных записей
По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- Индивидуально или пакетно (по одному, пакетно из файла CSV или из существующих групп LDAP)
- Утилита командной строки
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После добавления учетных записей пользователи смогут входить в организацию и пользоваться ресурсами.