Skip To Content

Настройка аутентификации веб-уровня с помощью встроенной аутентификации Windows и PKI

При использовании Active Directory для аутентификации пользователей вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасного доступа в ArcGIS Server.

Для использования интегрированной аутентификации Windows и PKI необходимо использовать ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим сайтом ArcGIS Server, если вы этого еще не сделали.

Примечание:

Если вы собираетесь объединить сайт ArcGIS Server с порталом и хотели бы использовать на сервере Active Directory и PKI, то вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед его объединением с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Затем вы можете настроить Active Directory и PKI для работы с порталом.

Настройка сервера для работы с Active Directory

Настройка безопасности ArcGIS Server для использования пользователей и ролей Active Directory

Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory.

  1. Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
  2. Нажмите Безопасность > Настройки.
  3. Щелкните кнопку РедактироватьРедактировать рядом с Настройками конфигурации.
  4. На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
  5. На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
  6. На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
    Примечание:

    Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторять шаги в данном разделе каждый раз при изменении пароля.

  7. На странице Уровень проверки подлинности выберите Уровень Web.
  8. Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.

Просмотр пользователей и ролей

После настройки домена Active Directory в качестве хранилища пользователей и ролей проверьте и убедитесь, что все пользователи и роли были извлечены корректно. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.

  1. В Manager нажмите Безопасность > Пользователи.
  2. Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось. Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск Поиск.
  3. Нажмите Роли для просмотра ролей, полученных с сервера домена Windows. Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск Поиск.
  4. Убедитесь, что роли были получены, как ожидалось.

Настройка прав доступа администратора и издателя для пользователей Active Directory

Стандартные настройки ArcGIS Server предоставляют доступ к серверу только основному администратору сайта. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже шаги.

  1. В ArcGIS Server Manager перейдите на вкладку Безопасность и откройте страницу Пользователи.
  2. С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
  3. Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
  4. Щелкните кнопку Редактировать Редактировать рядом с ролью.
  5. Для параметра Тип роли выберите либо Издатель, либо Администратор.
  6. Нажмите Сохранить, чтобы применить изменения.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Windows Server 2016

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли Web Server и Безопасность.
  4. В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
  5. Нажимайте Далее, пока не появится вкладка Выбор объектов и щелкните Установить.

Windows Server 2008R2 и 2012/R2

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
  4. На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
  5. Нажмите Установить.

Windows 7, 8 и 8.1

  1. Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
  2. Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
  3. Щелкните OK.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

  1. Запустите Internet Information Services (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов.

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на сайт с помощью Active Directory и PKI

  1. Откройте директорию сервисов. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/rest/services.
  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.