Сайты ArcGIS Server, которые не интегрированы с порталом ArcGIS Enterprise, можно настроить для управления пользователями и ролями с помощью внешнего хранилища учетных записей. Аутентификация на веб-уровне позволяет объединить интерфейс входа ArcGIS Server и управление пользователями с внешним хранилищем учетных записей организации.
Вы можете выбрать, чтобы ваше внешнее хранилище учетных записей управляло и пользователями, и ролями на вашем сайте ArcGIS Server, либо чтобы внешнее хранилище управляло только пользователями, в то время как встроенное хранилище учетных записей ArcGIS Server управляло ролями. Внешнее хранилище не может управлять только ролями, в то время как встроенное хранилище управляет пользователями.
Примечание:
В более ранних версиях, чем 10.8, администраторы ArcGIS Server могли настраивать пользовательские хранилища учетных данных с помощью ASP.Net или Java. Такой возможности больше нет.
Директории упрощенного протокола доступа к каталогам (LDAP)
ArcGIS Server может использовать такую информацию о пользователе и роли, хранящуюся в директории LDAP, как Apache Directory Server или OpenLDAP. ArcGIS Server считает эту директорию LDAP как источник информации о пользователе/роли с атрибутом "только чтение". Т.е. если настроена директория LDAP, вы не можете использовать ArcGIS Server Manager для добавления или удаления пользователей и ролей или редактирования их атрибутов. Если для управления пользователями настроена только директория LDAP, для управления ролями можно использовать ArcGIS Server Manager.
Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например, Apache Tomcat, IBM WebSphere или Oracle WebLogic. Вы не можете применять версию IIS ArcGIS Web Adaptor, чтобы выполнять аутентификацию на веб-уровне с помощью LDAP.
Пошаговые инструкции см. в Настройка аутентификации на веб-уровне с директорией LDAP.
Встроенная аутентификация Windows с помощью Active Directory
Если у вас есть Windows Active Directory, то вы можете использовать Интегрированную аутентификацию Windows для подключения к ArcGIS Server. Это обеспечит автоматическую аутентификации или запуск системы единого входа для пользователей сайта посредством аутентификации веб-уровня. Для использования интегрированной аутентификации Windows Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows.
Примечание:
Если настройки входа в систему запрещают вход с машины, на которой размещена Active Directory, то при настройке параметров безопасности для использования Windows в качестве хранилища аутентификаций появится сообщение об ошибке. О том, как обойти эту ошибку, см. Расширенные сценарии конфигурации.
Из-за того что Active Directory основана на протоколе LDAP, вы не можете использовать её с версией IIS ArcGIS Web Adaptor.
Пошаговые инструкции см. в разделе Настройка аутентификации на веб-уровне с интегрированной аутентификацией Windows.
Инфраструктура открытых ключей
Если ваша организация работает с PKI, можно использовать сертификаты для аутентификации подключений к серверу, используя протокол защищенных сокетов (SSL). При аутентификации пользователей вы можете использовать Windows Active Directory или Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol (LDAP). Для использования аутентификации, встроенной в Windows, Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например – Apache Tomcat, IBM WebSphere или Oracle WebLogic. При использовании PKI анонимный доступ на сайт невозможен.
Примечание:
При настройке Web Adaptor необходимо включить администрирование через него. Это позволит пользователям из корпоративного хранилища идентификаций публиковать сервисы из ArcMap. Когда пользователи с этими ролями подключаются к серверу в ArcMap, они должны указывать URL-адрес Web Adaptor.
Для подробных инструкций см. Настройка аутентификации на веб-уровне с интегрированной аутентификацией Windows и PKI.