При использовании Упрощенного протокола доступа к каталогам (LDAP) для аутентификации пользователей вы можете использовать инфраструктуру открытых ключей (PKI) для защиты доступа к вашей организации ArcGIS Enterprise.
Для использования LDAP и PKI нужно настроить аутентификацию с помощью клиентского сертификата на основе PKI через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации с помощью клиентского сертификата на основе PKI с LDAP.
Настройте свою организацию с помощью LDAP
По умолчанию, организация ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.
Настройка организации для работы с HTTPS-коммуникацией
Выполните следующие шаги для настройки организации для работы с HTTPS:
- Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://organization.example.com/<context>/home.
- Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Настройка хранилища аутентификаций с помощью пользователей и групп LDAP
Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы LDAP.
- Войдите в ArcGIS Enterprise Manager как администратор организации. URL-адрес имеет формат https://organization.example.com/<context>/manager.
- Щелкните Безопасность и выберите Хранилище сущностей.
- С помощью кнопок Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
- Выберите LDAP в разделе Хранилище учетных записей. Для учетных записей LDAP вы можете использовать встроенное хранилище групп или хранилище групп LDAP. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
- В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию. Ниже приводятся описания всех текстовых полей:
- Type—LDAP или LDAPS
- Hostname (Required)Имя размещающего компьютера, на котором работает каталог LDAP.
- Port (Required)—Номер порта на размещающем компьютере, с которого каталог LDAP считывает входящие подключения.
Примечание:
Для безопасных подключений обычно это 636.
- User Base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация, например, ou=users,dc=example,dc=com.
- Group base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается информация о группе, например, ou=groups,dc=example,dc=com.
- Username (Required)—Отличительное имя (DN) учетной записи LDAP, которая имеет доступ к узлу, содержащему информацию пользователя. Административный доступ для этой учетной записи не обязателен.
- Password (Required)—Пароль учетной записи пользователя LDAP, который используется для доступа к серверу директорий.
- LDAP URL for users— LDAP URL для пользователей, который используется для подключения к директории LDAP.
Примечание:
Он создается автоматически, но может быть изменен при необходимости. - LDAP URL for groups— LDAP URL для групп, который используется для подключения к директории LDAP.
Примечание:
Он создается автоматически, но может быть изменен при необходимости. - Are usernames case sensitive?- Да или Нет
- User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
- User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
- User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
- Username attribute (Required)—Атрибут сервера каталогов для имени пользователя.
- User search attribute—Это дополнительное поле, которое нужно только при настройке Enterprise для использования аутентификации веб-уровня на веб-адаптере Java. В некоторых сценариях веб-адаптер Java может вернуть авторизованное имя пользователя в формате, отличном от ожидаемого имени пользователя, которое указано выше. Примером может быть случай, когда веб-адаптор Java настраивается для использования аутентификации клиентского сертификата, а с веб-сервера возвращается полное отличительное имя вместо имени пользователя. В этом примере Атрибут поиска пользователя должен быть задан как distinguishedName.
- Member attribute (Required)— Атрибут сервера каталогов для списка пользователей, которые являются участниками конкретной группы.
- Group name attribute (Required)— Атрибут сервера каталогов для имени группы.
- Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.
Добавление учетных записей конкретной организации
По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Настройка ArcGIS Web Adaptor для работы с аутентификацией PKI.
По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашей организацией, настройте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию для ArcGIS Web Adaptor на базе PKI и сертификатов пользователей. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.
Примечание:
Для работы с аутентификацией с помощью клиентского сертификата (PKI), TLS 1.3 должен быть отключен на сервере приложений Java.
Проверка доступа к организации с использованием LDAP и PKI
Для проверки доступности портала с использованием LDAP и PKI выполните следующие шаги:
- Откройте портал ArcGIS Enterprise.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.