Skip To Content

Использование встроенной аутентификации Windows в вашем портале

Вы можете контролировать доступ к вашему порталу при помощи встроенной аутентификации Windows (IWA). При использовании IWA учетные данные управляются с помощью Microsoft Windows Active Directory. Пользователи не входят и не выходят с веб-сайта портала; при открытии веб-сайта вход выполняется автоматически, с использованием тех же учетных записей, которые используются для входа в Windows.

Просмотреть видео

Для использования интегрированной аутентификации Windows (IWA) необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения интегрированной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с порталом.

Примечание:

Чтобы использовать проверку подлинности веб-уровня с интегрированным сайтом ArcGIS Server, необходимо отключить проверку подлинности веб-уровня (включая проверку подлинности клиентского сертификата) и включить анонимный доступ к ArcGIS Web Adaptor, настроенному с помощью вашего сайта ArcGIS Server, до интеграции с порталом. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Для настройки IWA с вашим порталом выполните следующие действия:

Настройка портала на использование Windows Active Directory

По умолчанию, Portal for ArcGIS активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Примечание:

При помощи хранилища удостоверений Active Directory ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки корпоративных пользователей из нескольких лесов требуется провайдер идентичности SAML.

Настройка портала на использование HTTPS для всех коммуникаций

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. На странице Организации щелкните вкладку Настройки, затем Безопасность в левой части страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Обновление хранилища аутентификаций портала

Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

    В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. Если вы хотите на портале создать группы, которые будут использовать существующие корпоративные группы в вашем хранилище идентификаций, вставьте информацию о конфигурации группы вашей организации Windows Active Directory (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо добавьте в следующий пример информацию о группах вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили портал высокой доступности, перезапустите все компьютеры портала. Подробные инструкции см. в разделе Остановка и запуск портала.

Настройка дополнительных параметров хранилища аутентификаций

Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить с помощью API администрирования ArcGIS Portal Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с IWA.

  1. Откройте Internet Information Server (IIS) Manager.
  2. На панели Подключения укажите и разверните веб-сайт с ArcGIS Web Adaptor.
  3. Щелкните имя Web Adaptor для ArcGIS. По умолчанию – arcgis.
  4. Дважды щелкните Аутентификация на панели Home.
  5. Выберите Анонимная проверка подлинности и щелкните Отключить.
  6. Выберите Аутентификация Windows и щелкните Включить.
  7. Закройте окно Internet Information Server (IIS) Manager.

Проверка доступности портала по протоколу IWA

  1. Откройте веб-сайт портала. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home.
  2. Убедитесь, что у вас запросили учетные данные вашей корпоративной учетной записи либо автоматически вошли с использованием таких учетных данных. Если вы этого не увидели, проверьте, что для входа в систему вы использовали учетную запись Windows, добавленную на портал.

Запрет создания собственных учетных записей для пользователей

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.