Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к ArcGIS Server с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.
Для использования интегрированной аутентификации Windows и PKI ArcGIS Web Adaptor (IIS) должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с сайтом ArcGIS Server.
Примечание:
Если вы собираетесь добавить на портал сайт ArcGIS Server и хотите использовать на сервере Windows Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация с помощью клиентского сертификата на основе PKI, никаких действий выполнять не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Настройте свой сервер на использование Windows Active Directory
Настройка безопасности ArcGIS Server для использования пользователей и ролей Windows Active Directory
Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory.
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать
рядом с Настройками конфигурации. - На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
- На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
Примечание:
Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторить шаги в данном разделе каждый раз, когда пароль для учетной записи изменяется.
- На странице Уровень проверки подлинности выберите Уровень Web.
- Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.
Обзор пользователей и ролей.
После настройки домена Windows Active Directory в качестве хранилища для управления пользователями и ролями убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось. Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск
. - Нажмите Роли для просмотра ролей, полученных с сервера домена Windows. Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск .
- Убедитесь, что роли были получены, как ожидалось.
Настройка прав доступа администратора и издателя для пользователей Active Directory
Стандартные настройки ArcGIS Server предоставляют доступ к серверу только основному администратору сайта. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже шаги.
- В ArcGIS Server Manager щелкните вкладку Безопасность и откройте страницу Пользователи.
- С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
- Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
- Щелкните кнопку Редактировать рядом с ролью.
- Для параметра Тип роли выберите либо Издатель, либо Администратор.
- Нажмите Сохранить, чтобы применить изменения.
Установите и включите аутентификацию Active Directory Client Certificate Mapping
Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установите аутентификацию Client Certificate Mapping
Инструкции по ее установке отличаются в зависимости от вашей операционной системы.
Windows Server 2008/R2 и 2012/R2
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
- На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
- Нажмите Установить.
Windows 7, 8 и 8.1
- Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
- Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
- Щелкните ОК.
Включите аутентификацию Active Directory Client Certificate Mapping
После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.
- Запустите Internet Information Services (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов.
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Убедитесь, что вы можете зайти на сайт с помощью Windows Active Directory и PKI
- Откройте директорию сервисов. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.