Skip To Content

Использование Windows Active Directory и PKI для защищенного доступа к ArcGIS Server

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к ArcGIS Server с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.

Для использования интегрированной аутентификации Windows и PKI ArcGIS Web Adaptor (IIS) должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с сайтом ArcGIS Server.

Примечание:

Если вы собираетесь добавить на портал сайт ArcGIS Server и хотите использовать на сервере Windows Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Настройте свой сервер на использование Windows Active Directory

Настройка безопасности ArcGIS Server для использования пользователей и ролей Windows Active Directory

Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory.

  1. Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
  2. Нажмите Безопасность > Настройки.
  3. Щелкните кнопку РедактироватьРедактировать рядом с Настройками конфигурации.
  4. На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
  5. На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
  6. На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
    Примечание:

    Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторить шаги в данном разделе каждый раз, когда пароль для учетной записи изменяется.

  7. На странице Уровень проверки подлинности выберите Уровень Web.
  8. Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.

Обзор пользователей и ролей.

После настройки домена Windows Active Directory в качестве хранилища для управления пользователями и ролями убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.

  1. В Manager нажмите Безопасность > Пользователи.
  2. Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось. Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск Поиск.
  3. Нажмите Роли для просмотра ролей, полученных с сервера домена Windows. Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск Поиск.
  4. Убедитесь, что роли были получены, как ожидалось.

Настройка прав доступа администратора и издателя для пользователей Active Directory

Стандартные настройки ArcGIS Server предоставляют доступ к серверу только основному администратору сайта. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже шаги.

  1. В ArcGIS Server Manager щелкните вкладку Безопасность и откройте страницу Пользователи.
  2. С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
  3. Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
  4. Щелкните кнопку Редактировать Редактировать рядом с ролью.
  5. Для параметра Тип роли выберите либо Издатель, либо Администратор.
  6. Нажмите Сохранить, чтобы применить изменения.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Windows Server 2008/R2 и 2012/R2

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
  4. На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
  5. Нажмите Установить.

Windows 7, 8 и 8.1

  1. Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
  2. Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
  3. Щелкните ОК.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

  1. Запустите Internet Information Services (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов.

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на сайт с помощью Windows Active Directory и PKI

  1. Откройте директорию сервисов. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/rest/services.
  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.