Skip To Content

Использование Windows Active Directory и аутентификации сертификата клиента для безопасного доступа

При использовании Windows Active Directory для аутентификации пользователей можно использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к вашей организации.

Для использования интегрированной аутентификации Windows (IWA) и аутентификации сертификата клиента необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (IIS) для своего портала.

Настройте портал с Windows Active Directory

Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.

  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в Portal Administrator Directory в качестве администратора вашей организации.

    URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON format) информацию о пользовательской конфигурации вашей Windows Active Directory (в формате JSON).

    Кроме того, вы можете обновить следующий пример с информацией о пользователях, относящейся к вашей организации:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение true.

  4. Чтобы создать группы на портале, которые будут использовать существующие группы Active Directory в вашем хранилище идентификаций, вставьте информацию о конфигурации группы Active Directory Windows вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Чтобы использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    Либо добавьте в следующий пример информацию о группах вашей организации.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установка с Windows Server 2016

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли Web Server и Безопасность.
  4. В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
  5. Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Установка с Windows Server 2019 или 2022

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2019 или 2022:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. В Server Manager Dashboard щелкните Добавить роли и компоненты.
  3. Примите настройки по умолчанию и щелкните Далее на страницах Перед началом работы, Тип установки и Выбор сервера.
  4. На странице Роли сервера включите Веб сервер (IIS) и щелкните Далее.
  5. На странице Компоненты щелкните Далее.
  6. На странице Роль веб-сервера (IIS) щелкните Далее.
  7. На странице Сервисы ролей разверните раздел Безопасность.
  8. В разделе Безопасность выберите Аутентификация IIS Client Certificate Mapping и щелкните Далее.
  9. На странице Подтверждение щелкните Установить.

Включите аутентификацию Active Directory Client Certificate Mapping

После того ,как вы установите Active Directory Client Certificate Mapping, выполните следующие шаги, чтобы включить компонент:

  1. Запустите Internet Information Server (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.

    Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.

  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов

Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.
Примечание:

Для аутентификации клиентского сертификата для работы на Microsoft Windows Server 2022, TLS 1.3 должен быть отключен под привязками сайта HTTPS.

Убедитесь, что вы можете получить доступ к порталу, используя Windows Active Directory и аутентификацию клиентского сертификата

Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал используя Windows Active Directory или аутентификацию сертификата клиента:

  1. Откройте портал.

    URL-адрес имеет формат https://organization.example.com/<context>/home.

  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.