Использование вашего портала с LDAP и аутентификация на уровне портала—Portal for ArcGIS

У вас есть защищенный доступ к порталу с помощью Облегченного протокола доступа к каталогам (LDAP). При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации. Приступать к настройке аутентификации на уровне портала можно после обновления хранилища аутентификаций портала для LDAP.

Настройка организации для работы с HTTPS-коммуникацией

По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее изменили этот параметр, чтобы разрешить обмен данными как по протоколу HTTP, так и по протоколу HTTPS, необходимо перенастроить организацию для использования связи только по протоколу HTTPS, выполнив следующие действия:

Войдите в ArcGIS Enterprise как администратор организации.
URL-адрес имеет формат https://organization.example.com/<context>/home.
На странице Моя организация щелкните вкладку Настройки, затем щелкните Безопасность.
Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
Нажмите Сохранить, чтобы применить изменения.

Обновление хранилища аутентификаций вашей организации

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы LDAP или Active Directory.

Обновление хранилища аутентификаций с помощью LDAP

Чтобы обновить хранилище аутентификаций с помощью LDAP, выполните следующие действия:

Войдите в Portal Administrator Directory в качестве администратора вашей организации.
URL-адрес имеет формат https://organization.example.com/context/portaladmin.
Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо обновите следующий пример информацией о пользователях, относящейся к вашей организации.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адресов электронной почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Для того, чтобы создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо обновите следующий пример информацией о группах, относящейся к вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
Щелкните Обновить хранилище аутентификаций, чтобы сохранить изменения.

Настройка дополнительных параметров хранилища аутентификаций

Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить используя Portal Administrator Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Настройка аутентификации веб-уровня

Когда портал будет настроен с хранилищем аутентификаций LDAP, необходимо включить анонимный доступ через веб-адаптер сервера приложений Java. Когда пользователи открывают страницу входа в организацию, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам организации, к которым предоставлен доступ для всех.

Убедитесь в доступности портала, используя учетные данные

Для проверки доступности портала с использованием учетных данных выполните следующие шаги:

Откройте ArcGIS Enterprise.
Формат URL-адреса: https://organization.example.com/context/home.
Войдите под учетной записью организации (см. ниже пример синтаксиса).

При использовании аутентификации уровня портала участники вашей организации будут заходить в систему посредством синтаксиса, который зависит от usernameAtrribute, указанного в конфигурации хранилища пользователей. Веб-сайт портала также отображает учетную запись в этом формате.

Добавление на портал корпоративных учетных записей

По умолчанию пользователи конкретной организации могут работать с ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Индивидуально или пакетно (по одному, пакетно из файла .csv или из существующих групп LDAP)
Утилита командной строки
Автоматически

Рекомендуется назначить хотя бы одну учетную запись организации в качестве администратора. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Подробнее см. раздел Работа с учетной записью основного администратора.

После добавления учетных записей пользователи смогут входить в организацию и пользоваться ресурсами.

Отзыв по этому разделу?