Использование LDAP и аутентификации сертификата клиента для безопасного доступа—Portal for ArcGIS

При использовании Упрощенного протокола доступа к каталогам (LDAP) для аутентификации пользователей вы можете использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к вашей организации ArcGIS Enterprise.

Для использования LDAP и PKI нужно настроить аутентификацию сертификата клиента через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации сертификата клиента с LDAP. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (Java Platform) для своего портала.

Настройте свою организацию с помощью LDAP

По умолчанию, организация ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобится перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.

Войдите в ArcGIS Portal Directory как администратор вашей организации.
URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Щелкните Безопасность > > Конфигурация > > Обновить хранилище аутентификаций.
Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо обновите следующий пример информацией о пользователях, относящейся к вашей организации:
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers и userSearchAttribute. userSearchAttribute является значением параметра Subject сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Subject в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адресов электронной почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Если вы хотите на портале создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо обновите следующий пример информацией о группах, относящейся к вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "dn",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers, ldapURLForGroups и userSearchAttribute. userSearchAttribute является значением параметра Subject сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить параметр userSearchAttribute для соответствия параметру Subject в сертификате PKI. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Щелкните Обновить конфигурацию, чтобы сохранить изменения.
Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
Утилита командной строки
Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для использования аутентификации сертификата клиента

По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашей организацией, настройте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию сертификата клиента для на базе PKI для ArcGIS Web Adaptor. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.

Примечание:

Для аутентификации сертификата клиента, TLS 1.3 должен быть отключен на сервере приложений Java.

Проверьте доступ к организации с использованием LDAP и аутентификации сертификата клиента

Для проверки доступности портала с использованием LDAP и аутентификации сертификата клиента выполните следующие шаги:

Откройте портал ArcGIS Enterprise. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.URL-адрес имеет вид https://organization.example.com/<context>/home.
Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Отзыв по этому разделу?