При использовании Windows Active Directory для аутентификации пользователей можно использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к ArcGIS Server.
Для использования интегрированной аутентификации Windows и аутентификации сертификата клиента необходимо использовать ArcGIS Web Adaptor (IIS), развернутый на веб-сервере IIS Microsoft. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации. Дополнительную информацию о том, как установить и настроить ArcGIS Web Adaptor (IIS) на вашем сайте ArcGIS Server, см. в Руководство по установке ArcGIS Web Adaptor (IIS).
Примечание:
Если вы собираетесь интегрировать сайт ArcGIS Server с порталом и хотите использовать Active Directory и аутентификацию сертификата клиента на сервере, вам потребуется отключить аутентификацию сертификата клиента на сайте ArcGIS Server и разрешить анонимный доступ перед его интеграцией с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. В этом случае вы можете настроить Active Directory и сертификат клиента на портале.
Настройка сервера с помощью Active Directory
Для настройки сервера с использованием Active Directory изучите следующие разделы.
Настройка безопасности ArcGIS Server для использования пользователей и ролей Active Directory
Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей из сервера Windows Active Directory.
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Справка по этому шагу приведена в разделе Вход в Manager.
Необходимо использовать учетную запись основного администратора сайта
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать
рядом с Настройками конфигурации. - На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
- На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
Примечание:
Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторять шаги в данном разделе каждый раз при изменении пароля.
- На странице Уровень проверки подлинности выберите Уровень Web.
- Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.
Просмотр пользователей и ролей
После настройки домена Active Directory в качестве хранилища пользователей и ролей убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось.
Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером.
- Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск
. - Нажмите Роли для просмотра ролей, полученных с сервера домена Windows.
Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером.
- Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск .
- Убедитесь, что роли были получены, как ожидалось.
Настройка прав доступа администратора и издателя для пользователей Active Directory
Из коробки ArcGIS Server дает доступ к серверу только учетной записи первичного администратора. Если вы будете применять пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже действия.
- В ArcGIS Server Manager перейдите на вкладку Безопасность и откройте страницу Пользователи.
- С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
- Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
- Щелкните кнопку Редактировать рядом с ролью.
- Для параметра Тип роли выберите либо Издатель, либо Администратор.
- Нажмите Сохранить, чтобы применить изменения.
Установите и включите Client Certificate Mapping Authentication Active Directory
Client Certificate Mapping Authentication Active Directory недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установите аутентификацию Client Certificate Mapping
Инструкции по ее установке отличаются в зависимости от вашей операционной системы.
Установка Client Certificate Mapping Authentication Active Directory
Выполните следующие шаги, чтобы установить Client Certificate Mapping Authentication на Windows Server 2016, 2019, 2022 и 2025:
- Откройте Server Manager.
- В Server Manager Dashboard щелкните Добавить роли и компоненты.
Откроется Мастер Добавить роли и функции.
- Примите настройки по умолчанию и щелкните Далее на страницах Перед началом работы, Тип установки и Выбор сервера.
- На странице Роли сервера включите Веб сервер (IIS).
- В открывшемся диалоговом окне щелкните Добавить функции, затем Далее.
- На страницах Функции и Роль веб-сервера (IIS) щелкните Далее.
- На странице Сервисы ролей разверните раздел Безопасность, выберите Client Certificate Mapping Authentication и щелкните Далее.
- На странице Подтверждение щелкните Установить.
- Когда установка завершится, щелкните Закрыть, чтобы закрыть мастер.
Установка с Windows Server 2016
Выполните следующие действия для установки на Windows Server 2016:
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Разверните роли Web Server и Безопасность.
- В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
- Нажимайте Далее на вкладке Выбор объектов и щелкните Установить.
Установка на Windows Server 2008/R2 и 2012/R2
Выполните следующие действия, чтобы установить на Windows Server 2008 R2 и 2012/R2:
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
- На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
- Нажмите Установить.
Установка с Windows 7, 8 и 8.1
Выполните следующие шаги для загрузки Windows 7, 8 и 8.1:
- Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
- Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
- Нажмите OK.
Включите Client Certificate Mapping Authentication Active Directory
После установки Client Certificate Mapping Authentication Active Directory включите объект, выполнив описанные ниже действия.
- Запустите Internet Information Services (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.
Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Client Certificate Mapping Authentication Active Directory.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Client Certificate Mapping Authentication Active Directory. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов
Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите свой Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Убедитесь, что вы можете получить доступ к сайту с помощью Active Directory и Client Certificate Mapping Authentication
Выполните следующие действия, чтобы убедиться, что у вас есть доступ к сайту:
- Откройте директорию сервисов.
URL-адрес имеет формат https://webadaptorhost.example.com/webadaptorname/rest/services.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.