Настройка проверки подлинности веб-уровня при помощи встроенной аутентификации Windows и PKI—ArcGIS Server

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к ArcGIS Server при использовании Active Directory для аутентификации пользователей.

Для использования интегрированной аутентификации Windows и PKI вы должны использовать ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации . Дополнительную информацию о том, как установить и настроить ArcGIS Web Adaptor (IIS) на вашем сайте ArcGIS Server, см. в Руководство по установке ArcGIS Web Adaptor (IIS).

Примечание:

Если вы собираетесь интегрировать сайт ArcGIS Server с порталом и хотите использовать на сервере Active Directory и PKI, вам потребуется отключить аутентификацию с использованием сертификата клиента на основе PKI на вашем сайте ArcGIS Server и разрешить анонимный доступ перед его интеграцией с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. В этом случае вы можете настроить на портале Active Directory и PKI.

Настройка сервера на использование Active Directory

Для настройки сервера на использование Active Directory изучите следующие разделы.

Настройка безопасности ArcGIS Server для использования пользователей и ролей Active Directory

Для поддержки встроенной системы аутентификации Windows настройте ArcGIS Server на получение пользователей и ролей с сервера Windows Active Directory.

Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Справка по этому шагу приведена в разделе Вход в Manager.
Необходимо использовать учетную запись основного администратора сайта
Нажмите Безопасность > Настройки.
Щелкните кнопку Редактировать рядом с Настройками конфигурации.
На странице Управление пользователями и ролями выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain), затем нажмите Далее.
На странице Тип корпоративного хранилища выберите параметр Домен Windows и нажмите Далее.
На странице Учетные данные домена Windows введите учетные данные для записи, имеющей права для определения, в каких группах находится пользователь. Щелкните Далее.
Примечание:
Рекомендуется выбрать учетную запись с паролем, срок действия которого не будет истекать. Если это невозможно, вам будет необходимо повторять шаги в данном разделе каждый раз при изменении пароля.
На странице Уровень проверки подлинности выберите Уровень Web.
Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово.

Просмотр пользователей и ролей

После настройки домена Active Directory в качестве хранилища для управления пользователями и ролями убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.

В Manager нажмите Безопасность > Пользователи.
Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось.
Если активная директория Active Directory имеет множество доменов, будут отображены пользователи того домена, к которому принадлежит компьютер с ГИС-сервером.
Для просмотра пользователей других доменов введите поисковую строку [domain name]\ в поле Найти пользователя и нажмите кнопку Поиск .
Нажмите Роли для просмотра ролей, полученных с сервера домена Windows.
Если активная директория Active Directory имеет множество доменов, будут отображены роли того домена, к которому принадлежит компьютер с ГИС-сервером.
Для просмотра ролей в других доменах введите поисковую строку [domain name]\ в поле Найти роль и нажмите кнопку Поиск .
Убедитесь, что роли были получены, как ожидалось.

Настройка прав доступа администратора и издателя для пользователей Active Directory

Из коробки ArcGIS Server дает доступ к серверу только учетной записи первичного администратора. Если вы будете использовать пользователей Active Directory для администрирования ArcGIS Server или для публикации сервисов, необходимо выполнить указанные ниже действия.

В ArcGIS Server Manager перейдите на вкладку Безопасность и откройте страницу Пользователи.
С помощью инструмента Найти пользователя найдите пользователя, которому вы хотите предоставить права администратора или издателя. Изучите роли, в которых участвует этот пользователь, и выберите ту роль, которой будут предоставлены права администратора или издателя.
Откройте страницу Роли и используйте инструмент Найти роль, чтобы найти роль, выбранную в предыдущем шаге.
Щелкните кнопку Редактировать рядом с ролью.
Для параметра Тип роли выберите либо Издатель, либо Администратор.
Нажмите Сохранить, чтобы применить изменения.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Установка с Windows Server 2016

Выполните следующие действия для установки на Windows Server 2016:

Откройте инструменты Администрирование и щелкните Server Manager.
На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
Разверните роли Web Server и Безопасность.
В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Установка на Windows Server 2008/R2 и 2012/R2

Выполните следующие действия, чтобы установить на Windows Server 2008 R2 и 2012/R2:

Откройте инструменты Администрирование и щелкните Server Manager.
На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
На странице Выбрать сервисы ролей Мастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
Нажмите Установить.

Установка с Windows 7, 8 и 8.1

Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
Нажмите OK.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

Запустите Internet Information Services (IIS) Manager.
В узле Подключения щелкните имя вашего веб-сервера.
Дважды щелкните Авторизация в окне Просмотр возможностей.
Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.
Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов

Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:

Запустите Internet Information Services (IIS) Manager.
Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
Дважды щелкните Авторизация в окне Просмотр возможностей.
Отключите все формы аутентификации.
Снова выберите свой Web Adaptor в списке Подключения.
Дважды щелкните Настройки SSL.
Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на сайт с помощью Active Directory и PKI

Выполните следующие действия, чтобы убедиться, что у вас есть доступ к сайту:

Откройте директорию сервисов.
URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/rest/services.
Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Отзыв по этому разделу?