В данном руководстве пользователя описана защита веб-сервисов ArcGIS при помощи встроенной системы аутентификации Windows. Для этого необходимо, чтобы пользователи и роли управлялись сервером Microsoft Windows Active Directory. Это может быть удобно в том случае, если вы хотите, чтобы ваши пользователи ГИС оценили преимущество своих доменных учетных записей Windows в вашей сети.
Примечание:
Если сайт ArcGIS Server интегрирован с порталом, вы должны производить безопасный доступ через портал, а не при помощи шагов, описанных в этой статье. Более подробно см. Использование встроенной аутентификации Windows в вашем портале.
Для использования интегрированной аутентификации Windows Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows.
Если ваши настройки входа в систему запрещают вход с машины, на которой размещена Active Directory, то при настройке параметров безопасности вы получите сообщение об ошибке. Настраивать для пользователя параметр групповой политики Локальный вход необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.
Для защиты веб-сервисов ArcGIS при помощи встроенной системы аутентификации Windows следуйте приведенным ниже шагам:
- Настройте ArcGIS Web Adaptor (IIS) на использование системы аутентификации Windows.
- Настройте ArcGIS Server на использование пользователей и ролей Windows Active Directory.
- Просмотрите пользователей и роли.
- Настройте права Администратора и Издателя для пользователей Active Directory.
- Задайте права доступа для сервисов.
- Выполните тестирование доступа к защищенным сервисам.
Настройка ArcGIS Web Adaptor (IIS) на использование системы аутентификации Windows
Для встроенной аутентификации Windows необходима аутентификации веб-уровня, которая может выполняться с помощью ArcGIS Web Adaptor (IIS).Web Adaptor использует IIS, чтобы проводить аутентификацию пользователей и предоставлять веб-адаптер с именем учетной записи пользователя. Получив имя учетной записи, он передает его на ArcGIS Server.
- Установите ArcGIS Web Adaptor (IIS), следуя инструкциям в разделе Установка ArcGIS Web Adaptor (IIS).
- Настройте Web Adaptor, следуя инструкциям в разделе Настройка ArcGIS Web Adaptor после установки.
Примечание:
При настройке Web Adaptor необходимо включить администрирование через него. Это позволит пользователям Windows Active Directory публиковать сервисы в ArcGIS Desktop. Когда пользователи с этими ролями подключаются к серверу в ArcGIS Desktop, они должны указывать URL-адрес Web Adaptor.
- Задайте метод аутентификации для веб-адаптера с использованием IIS Manager.
- Чтобы открыть IIS Manager, нажмите Пуск > Панель управления > Администрирование > Менеджер служб IIS.
- Раскройте левое дерево менеджера IIS под заголовком Сайты. Разверните Веб-сайт по умолчанию, чтобы найти приложение ArcGIS Web Adaptor (IIS). По умолчанию ArcGIS Web Adaptor (IIS) называется arcgis.
- Отредактируйте свойство аутентификации для Web Adaptor. Отмените выбор аутентификации Анонимная и выберите Аутентификация Windows.
- Закройте Менеджер IIS.
Настройка безопасности ArcGIS Server для использования пользователей и ролей Windows Active Directory
Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory.
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать рядом с Настройками конфигурации.
- На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
- На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
Примечание:
Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторить шаги в данном разделе каждый раз, когда пароль для учетной записи изменяется.
- На странице Уровень проверки подлинности выберите Уровень Web.
- Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.
Просмотр пользователей и ролей
После настройки домена Windows Active Directory в качестве хранилища для управления пользователями и ролями убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось. Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск .
- Нажмите Роли для просмотра ролей, полученных с сервера домена Windows. Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск .
- Убедитесь, что роли были получены, как ожидалось.
Примечание:
Начиная с версии 10.3.1, ArcGIS Web Adaptor (IIS) имеет свойства для настройки опций, связанных с аутентификацией Active Directory. Дополнительную информацию см. в разделе Настройка опций памяти кэша ArcGIS Web Adaptor справки Web Adaptor (IIS).
Кэширование пользователей и ролей
В версии ArcGIS 10.5, пользователи и роли из вашей Active Directory будут кэшироваться на сервере после запроса на пользователей или роли. Это помогает оптимизировать производительность ваших сервисов безопасности. По умолчанию, пользователи и роли будут кэшироваться на 30 минут. Вы можете изменить этот временной промежуток, задав свойству minutesToCacheUserRoles другое значение в Administrator Directory ArcGIS Server в системных свойствах. Вы также можете отключить кэширование, установив это свойство равным нулю.
Настройка прав доступа администратора и издателя для пользователей Active Directory
Стандартные настройки ArcGIS Server после установки предоставляют доступ к серверу только основному администратору сайта. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже шаги.
- В ArcGIS Server Manager щелкните вкладку Безопасность и откройте страницу Пользователи.
- С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
- Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
- Щелкните кнопку Редактировать рядом с ролью.
- Для параметра Тип роли выберите либо Издатель, либо Администратор.
- Нажмите Сохранить, чтобы применить изменения.
Установка прав доступа к веб-сервисам ArcGIS
После настройки параметров безопасности и определенных пользователей и ролей вы можете задать права доступа для сервисов с целью управления доступом к ним.
ArcGIS Server контролирует доступ к веб-сервисам ГИС, размещенным на вашем сервере, с использованием ролевой модели управления доступом. В ролевой модели управления доступом права доступа к защищенному сервису управляются путем назначения ролей для данного сервиса. Для использования защищенного сервиса пользователь должен быть членом роли, которой были назначены права доступа.
Права доступа должны быть назначены для отдельного веб-сервиса или родительской папки, содержащей группу сервисов. При назначении прав доступа папке, любой содержащийся в ней сервис наследует соответствующие права. Например, если предоставить роли доступ к папке сайта (корневой), пользователи, которые принадлежат этой роли, получают права доступа ко всем сервисам, размещенным на данном сайте. Кроме того, для перезаписи прав доступа, автоматически унаследованных сервисом от родительской папки, вы можете выполнить редактирование сервиса и явно удалить права доступа, которые были унаследованы.
Для настройки прав доступа для сервиса см. Редактирование прав доступа в Менеджере (Editing permissions in Manager).
Примечание:
При просмотре ArcGIS Server Manager с использованием встроенной аутентификации Windows, ссылка Выход больше не отображается. Это происходит потому, что для пользователя, работающего с веб-браузером, вход выполняется автоматически операционной системой. Чтобы запустить браузер под другим пользователем, вы можете использовать опцию команды Запустить от имени в Windows. Для этого найдите ярлык программы в меню Пуск и, удерживая нажатой клавишу Shift, щелкните правой кнопкой мыши программу и выберите Запуск от имени другого пользователя.
Тестирование доступа к защищенным сервисам
Для тестирования вашей настройки определите учетную запись пользователя домена Windows, которая имеет доступ к корневой папке (сайт), содержащей ваши сервисы. Войдите в систему Windows с использованием учетной записи этого пользователя, откройте веб-браузер и выполните доступ к ArcGIS Server WSDL:
http://webadaptorhost.domain.com/webadaptorname/services?wsdl
Подобным образом вы также можете просматривать Services Directory, чтобы проверить доступ к защищенным сервисам:
http://webadaptorhost.domain.com/webadaptorname/rest/services
Примечание:
При просмотре Services Directory с использованием встроенной аутентификации Windows, ссылка Завершить сеанс не будет отображаться. Это происходит потому, что для пользователя, работающего с веб-браузером, вход выполняется автоматически операционной системой. Чтобы запустить браузер под другим пользователем, вы можете использовать опцию команды Запустить от имени в Windows. Для этого найдите ярлык программы в меню Пуск и, удерживая нажатой клавишу Shift, щелкните правой кнопкой мыши программу и выберите Запуск от имени другого пользователя.
Для того чтобы определить пользователей домена Windows, которые имеют доступ к корневому каталогу, сделайте следующее:
- Войдите в Manager и щелкните Сервисы.
- Щелкните кнопку Блокировка, расположенную рядом с папкой сайта (корневой), и определите роли, которым были выданы права на доступ к данной папке. Если для ролей в данный момент доступ отсутствует, выдайте его как минимум одной роли нажатием кнопки Добавить роль .
- Нажмите Безопасность > Роли и нажмите кнопку Редактировать для роли. у которой имеется доступ к данной корневой папке.
- Просмотрите список пользователей, являющихся участниками данной роли.