Использование Windows Active Directory и PKI для безопасного доступа

Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к вашей организации с применением встроенной аутентификации Windows (Integrated Windows Authentication) для аутентификации пользователей.

Для использования интегрированной аутентификации Windows (IWA) и PKI необходим ArcGIS Web Adaptor (IIS) , развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (IIS) для своей организации.

Настройте свой портал на использование Windows Active Directory

Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет вид https://organization.example.com/<context>/home.

  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Настройка хранилища аутентификаций с использованием учетных записей и групп Active Directory

Затем обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Enterprise Manager как администратор вашей организации.

    URL-адрес имеет формат https://site.example.com/<site context>/manager.

  2. Щелкните Безопасность > Хранилище аутентификаций.

    С помощью кнопок опций Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.

  3. Выберите Windows в разделе Хранилище учетных записей.

    С помощью учетных записей Windows вы можете использовать встроенное хранилище групп или хранилище групп Windows. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.

  4. В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое текстовое окно соответствующую информацию.
    Ниже приводятся описания всех текстовых полей:

    • Имя пользователя (обязательно)
    • Пароль (обязательно)
    • Чувствительны ли имена пользователей к регистру — Да или Нет
    • Атрибут имени учетной записи (обязательно) — атрибут сервера каталогов для (первого) имени пользователя
    • Атрибут фамилии учетной записи (обязательно) — атрибут сервера каталогов для фамилии пользователя
    • Атрибут электронной учетной записи (обязательно) — атрибут сервера каталогов для электронной почты пользователя
    • Контроллер домена (обязательно)
    • Сопоставление контроллера домена

  5. Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Рекомендуется назначить хотя бы одну учетную запись организации в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установите аутентификацию Client Certificate Mapping

Инструкции по ее установке отличаются в зависимости от вашей операционной системы.

Установка с Windows Server 2016

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли Web Server и Безопасность.
  4. В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
  5. Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Установка с Windows Server 2008/R2 и 2012/R2

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2008/R2 и 2012/R2:

  1. Откройте инструменты Администрирование и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Сервисы ролей и щелкните Добавить сервисы ролей.
  4. На странице Выбрать сервисы ролейМастера добавления сервисов ролей выберите Client Certificate Mapping Authentication и щелкните Далее.
  5. Нажмите Установить.

Установка с Windows 7, 8 и 8.1

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows 7, 8 и 8.1:

  1. Откройте Панель управления и щелкните Программы и компоненты > Включение или отключение компонентов Windows.
  2. Раскройте Информационные сервисы Интернета > World Wide Web Services > Безопасность и выберите Client Certificate Mapping Authentication.
  3. Нажмите OK.

Включите аутентификацию Active Directory Client Certificate Mapping

После установки Active Directory Client Certificate Mapping включите объект, выполнив описанные ниже действия.

  1. Запустите Internet Information Server (IIS) Manager.
  2. В узле Подключения щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов

Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:

  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
  3. Дважды щелкните Авторизация в окне Просмотр возможностей.
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
  6. Дважды щелкните Настройки SSL.
  7. Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
  8. Нажмите Применить, чтобы сохранить изменения.

Убедитесь, что вы можете зайти на портал с помощью Windows Active Directory и PKI

Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал с помощью Windows Active Directory и PKI:

  1. Откройте портал ArcGIS Enterprise.

    Формат URL-адреса: https://organization.example.com/<context>/home.

  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.