При использовании Windows Active Directory для аутентификации пользователей можно использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к вашей организации.
Для использования интегрированной аутентификации Windows (IWA) и аутентификации сертификата клиента необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (IIS) для своего портала.
Настройте портал с Windows Active Directory
Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
Настройка организации для работы с HTTPS-коммуникацией
Выполните следующие шаги для настройки организации для работы с HTTPS:
- Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
- Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Обновление хранилища аутентификаций портала
Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
- Войдите в Portal Administrator Directory в качестве администратора вашей организации.
URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON format) информацию о пользовательской конфигурации вашей Windows Active Directory (в формате JSON).
Кроме того, вы можете обновить следующий пример с информацией о пользователях, относящейся к вашей организации:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение true.
- Чтобы создать группы на портале, которые будут использовать существующие группы Active Directory в вашем хранилище идентификаций, вставьте информацию о конфигурации группы Active Directory Windows вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Чтобы использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
Либо добавьте в следующий пример информацию о группах вашей организации.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
- Щелкните Обновить конфигурацию, чтобы сохранить изменения.
- Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.
Добавление учетных записей конкретной организации
По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
- Утилита командной строки
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Установите и включите аутентификацию Active Directory Client Certificate Mapping
Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установка с Windows Server 2016
Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Разверните роли Web Server и Безопасность.
- В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
- Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.
Установка с Windows Server 2019 или 2022
Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2019 или 2022:
- Откройте инструменты Администрирование и щелкните Server Manager.
- В Server Manager Dashboard щелкните Добавить роли и компоненты.
- Примите настройки по умолчанию и щелкните Далее на страницах Перед началом работы, Тип установки и Выбор сервера.
- На странице Роли сервера включите Веб сервер (IIS) и щелкните Далее.
- На странице Компоненты щелкните Далее.
- На странице Роль веб-сервера (IIS) щелкните Далее.
- На странице Сервисы ролей разверните раздел Безопасность.
- В разделе Безопасность выберите Аутентификация IIS Client Certificate Mapping и щелкните Далее.
- На странице Подтверждение щелкните Установить.
Включите аутентификацию Active Directory Client Certificate Mapping
После того ,как вы установите Active Directory Client Certificate Mapping, выполните следующие шаги, чтобы включить компонент:
- Запустите Internet Information Server (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.
Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов
Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Примечание:
Для аутентификации клиентского сертификата для работы на Microsoft Windows Server 2022, TLS 1.3 должен быть отключен под привязками сайта HTTPS.
Убедитесь, что вы можете получить доступ к порталу, используя Windows Active Directory и аутентификацию клиентского сертификата
Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал используя Windows Active Directory или аутентификацию сертификата клиента:
- Откройте портал.
URL-адрес имеет формат https://organization.example.com/<context>/home.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.