При использовании Active Directory для аутентификации пользователей вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасного доступа в ArcGIS Server.
Для использования интегрированной аутентификации Windows и PKI необходимо использовать ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Установите и настройте ArcGIS Web Adaptor (IIS) для работы со своим сайтом ArcGIS Server, если вы этого еще не сделали.
Примечание:
Если вы собираетесь объединить сайт ArcGIS Server с порталом и хотели бы использовать на сервере Active Directory и PKI, то вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед его объединением с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Затем вы можете настроить Active Directory и PKI для работы с порталом.
Настройка сервера для работы с Active Directory
Настройка безопасности ArcGIS Server для использования пользователей и ролей Active Directory
Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory.
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать рядом с Настройками конфигурации.
- На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
- На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
Примечание:
Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторять шаги в данном разделе каждый раз при изменении пароля.
- На странице Уровень проверки подлинности выберите Уровень Web.
- Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.
Просмотр пользователей и ролей
После настройки домена Active Directory в качестве хранилища пользователей и ролей проверьте и убедитесь, что все пользователи и роли были извлечены корректно. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось. Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск .
- Нажмите Роли для просмотра ролей, полученных с сервера домена Windows. Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером. Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск .
- Убедитесь, что роли были получены, как ожидалось.
Настройка прав доступа администратора и издателя для пользователей Active Directory
Стандартные настройки ArcGIS Server предоставляют доступ к серверу только основному администратору сайта. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже шаги.
- В ArcGIS Server Manager перейдите на вкладку Безопасность и откройте страницу Пользователи.
- С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
- Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
- Щелкните кнопку Редактировать рядом с ролью.
- Для параметра Тип роли выберите либо Издатель, либо Администратор.
- Нажмите Сохранить, чтобы применить изменения.
Установите и включите аутентификацию Active Directory Client Certificate Mapping
Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установите аутентификацию Client Certificate Mapping
Инструкции по ее установке отличаются в зависимости от вашей операционной системы.
Windows Server 2016
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Разверните роли Web Server и Безопасность.
- В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
- Нажимайте Далее, пока не появится вкладка Выбор объектов и щелкните Установить.
Windows Server 2008R2 и 2012/R2
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
- На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
- Нажмите Установить.
Windows 7, 8 и 8.1
- Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
- Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
- Щелкните OK.
Включите аутентификацию Active Directory Client Certificate Mapping
После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.
- Запустите Internet Information Services (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов.
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Убедитесь, что вы можете зайти на сайт с помощью Active Directory и PKI
- Откройте директорию сервисов. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.