Сайты ArcGIS Server, которые не интегрированы с порталом ArcGIS Enterprise, можно настроить для управления пользователями и ролями с помощью внешнего хранилища учетных записей. Аутентификация на веб-уровне позволяет объединить интерфейс входа ArcGIS Server и управление пользователями с внешним хранилищем учетных записей организации.
Вы можете выбрать, чтобы ваше внешнее хранилище учетных записей управляло и пользователями, и ролями на вашем сайте ArcGIS Server, либо чтобы внешнее хранилище управляло только пользователями, в то время как встроенное хранилище учетных записей ArcGIS Server управляло ролями. Внешнее хранилище не может управлять только ролями, в то время как встроенное хранилище управляет пользователями.
Примечание:
В более ранних версиях, чем 10.8, администраторы ArcGIS Server могли настраивать пользовательские хранилища учетных данных с помощью ASP.Net или Java. Такой возможности больше нет.
Директории упрощенного протокола доступа к каталогам (LDAP)
ArcGIS Server может использовать информацию о пользователе и роли, которая хранится в директории LDAP, например, Apache Directory Server или OpenLDAP.ArcGIS Server считает эту директорию LDAP как источник информации о пользователе/роли с атрибутом "только чтение". Т.е. если настроена директория LDAP, вы не сможете использовать ArcGIS Server Manager для добавления или удаления пользователей и ролей или редактирования их атрибутов. Если для управления пользователями настроена только директория LDAP, для управления ролями можно использовать Server Manager.
Для использования протокола LDAP необходимо, чтобы ваш Web Adaptor был развернут на сервере приложений Java, например, Apache Tomcat, IBM WebSphere или Oracle WebLogic. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации веб-уровня с LDAP.
Пошаговые инструкции см. в Настройка аутентификации на веб-уровне с директорией LDAP.
Встроенная аутентификация Windows с Active Directory
Если у вас есть Windows Active Directory, то вы можете использовать Интегрированную аутентификацию Windows для подключения к ArcGIS Server. Это обеспечит автоматическую аутентификации или запуск системы единого входа (SSO) для пользователей сайта посредством аутентификации веб-уровня. Для использования интегрированной аутентификации Windows необходим ArcGIS Web Adaptor (IIS), развернутый на Microsoft Internet Information Server (IIS). Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows.
Примечание:
Если настройки входа в систему запрещают вход с машины, на которой размещена Active Directory, то при настройке параметров безопасности для использования Windows в качестве хранилища аутентификаций появится сообщение об ошибке. О том, как обойти эту ошибку, изучите Расширенные сценарии конфигурации.
Пошаговые инструкции см. в разделе Настройка аутентификации на веб-уровне с интегрированной аутентификацией Windows.
Инфраструктура открытых ключей
Если ваша организация работает с аутентификацией сертификата клиента, основанной на инфраструктуре открытых ключей, можно использовать сертификаты для аутентификации подключений к серверу по протоколу Secure Sockets Layer (SSL). При аутентификации пользователей вы можете использовать Windows Active Directory или LDAP. Для использования аутентификации Windows ваш Web Adaptor должен быть развернут на Microsoft Internet Information Server (IIS). Для использования протокола LDAP необходимо, чтобы ваш Web Adaptor был развернут на сервере приложений Java, например, Apache Tomcat, IBM WebSphere или Oracle WebLogic. При использовании аутентификации сертификата клиента анонимный доступ на сайт невозможен.
Примечание:
При настройке ArcGIS Web Adaptor необходимо включить администрирование через ArcGIS Web Adaptor. Это позволит пользователям из корпоративного хранилища идентификаций публиковать сервисы из ArcGIS Pro. Когда пользователи подключаются к серверу в ArcGIS Pro, они должны указывать URL-адрес Web Adaptor.
См. раздел Настройка проверки подлинности веб-уровня при помощи встроенной аутентификации и аутентификации сертификата клиента для получения полного списка действий.