Использование LDAP и PKI для безопасного доступа

При использовании Упрощенного протокола доступа к каталогам (LDAP) для аутентификации пользователей вы можете использовать инфраструктуру открытых ключей (PKI) для защиты доступа к вашей организации ArcGIS Enterprise.

Для использования LDAP и PKI нужно настроить аутентификацию с помощью клиентского сертификата на основе PKI через ArcGIS Web Adaptor (Java Platform), развернутый на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации с помощью клиентского сертификата на основе PKI с LDAP.

Настройте свою организацию с помощью LDAP

По умолчанию, организация ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобиться перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет вид https://organization.example.com/<context>/home.

  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Настройка хранилища аутентификаций с помощью пользователей и групп LDAP

Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы LDAP.

  1. Войдите в ArcGIS Enterprise Manager как администратор организации. URL-адрес имеет формат https://organization.example.com/<context>/manager.
  2. Щелкните Безопасность и выберите Хранилище сущностей.
  3. С помощью кнопок Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
  4. Выберите LDAP в разделе Хранилище учетных записей. Для учетных записей LDAP вы можете использовать встроенное хранилище групп или хранилище групп LDAP. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
  5. В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию. Ниже приводятся описания всех текстовых полей:

    • Type—LDAP или LDAPS
    • Hostname (Required)Имя размещающего компьютера, на котором работает каталог LDAP.
    • Port (Required)—Номер порта на размещающем компьютере, с которого каталог LDAP считывает входящие подключения.
      Примечание:

      Для безопасных подключений обычно это 636.

    • User Base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация, например, ou=users,dc=example,dc=com.
    • Group base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается информация о группе, например, ou=groups,dc=example,dc=com.
    • Username (Required)—Отличительное имя (DN) учетной записи LDAP, которая имеет доступ к узлу, содержащему информацию пользователя. Административный доступ для этой учетной записи не обязателен.
    • Password (Required)—Пароль учетной записи пользователя LDAP, который используется для доступа к серверу директорий.
    • LDAP URL for users— LDAP URL для пользователей, который используется для подключения к директории LDAP.
      Примечание:
      Он создается автоматически, но может быть изменен при необходимости.
    • LDAP URL for groups— LDAP URL для групп, который используется для подключения к директории LDAP.
      Примечание:
      Он создается автоматически, но может быть изменен при необходимости.
    • Are usernames case sensitive?- Да или Нет
    • User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
    • User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
    • User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
    • Username attribute (Required)—Атрибут сервера каталогов для имени пользователя.
    • User search attribute—Это дополнительное поле, которое нужно только при настройке Enterprise для использования аутентификации веб-уровня на веб-адаптере Java. В некоторых сценариях веб-адаптер Java может вернуть авторизованное имя пользователя в формате, отличном от ожидаемого имени пользователя, которое указано выше. Примером может быть случай, когда веб-адаптор Java настраивается для использования аутентификации клиентского сертификата, а с веб-сервера возвращается полное отличительное имя вместо имени пользователя. В этом примере Атрибут поиска пользователя должен быть задан как distinguishedName.
    • Member attribute (Required)— Атрибут сервера каталогов для списка пользователей, которые являются участниками конкретной группы.
    • Group name attribute (Required)— Атрибут сервера каталогов для имени группы.

  6. Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с аутентификацией PKI.

По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашей организацией, настройте область LDAP на вашем сервере приложений Java, а также настройте аутентификацию для ArcGIS Web Adaptor на базе PKI и сертификатов пользователей. Для получения инструкций обратитесь к своему системному администратору или ознакомьтесь с документацией по этому продукту для сервера приложений Java.

Примечание:

Для работы с аутентификацией с помощью клиентского сертификата (PKI), TLS 1.3 должен быть отключен на сервере приложений Java.

Проверка доступа к организации с использованием LDAP и PKI

Для проверки доступности портала с использованием LDAP и PKI выполните следующие шаги:

  1. Откройте портал ArcGIS Enterprise.
  2. Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.