Использование встроенной аутентификации Windows

Вы можете обеспечить безопасный доступ к вашей организации при помощи встроенной аутентификации Windows (IWA). Когда вы используете IWA, управление учетными записями происходит с помощью Microsoft Windows Active Directory. Выполняя вход в организацию, пользователи тем самым открывают веб-сайт, используя те же учетные записи, которые они использовали для входа в Windows.

Для использования интегрированной аутентификации Windows (IWA) необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с организацией.

Настройка организации на использование Windows Active Directory

По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобится перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Примечание:

При помощи хранилища удостоверений Active Directory ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки пользователей, относящихся к конкретной организации, из нескольких лесов требуется провайдер аутентификации SAML.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет вид https://organization.example.com/<context>/home.

  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Настройка хранилища аутентификаций с использованием учетных записей и групп Active Directory

Затем обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы Windows Active Directory.

  1. Войдите в ArcGIS Enterprise Manager как администратор организации.

    URL-адрес имеет формат https://organization.example.com/<context>/manager.

  2. Щелкните Безопасность и выберите Хранилище аутентификаций.

    С помощью кнопок Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.

  3. Выберите Windows в разделе Хранилище учетных записей.

    С помощью учетных записей Windows вы можете использовать встроенное хранилище групп или хранилище групп Windows. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.

  4. В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию.

    Ниже приводятся описания всех текстовых полей:

    • Username (Required)
    • Password (Required)
    • Are usernames case sensitive?- Да или Нет
    • User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
    • User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
    • User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
    • Domain controller (Required)
    • Domain controller mapping

  5. Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.

Настройка дополнительных параметров хранилища аутентификаций

При необходимости вы можете изменить дополнительные параметры конфигурации хранилища аутентификаций с помощью API администрирования каталогов ArcGIS Enterprise. Эти параметры включают ограничение на автоматическое обновление групп при входе в организацию пользователя, относящегося к конкретной организации, установку интервала обновления участия, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для работы с IWA

Чтобы настроить ArcGIS Web Adaptor на использование IWA, выполните следующие действия:

  1. Откройте Internet Information Server (IIS) Manager.
  2. На панели Подключения найдите и разверните вебсайт, на котором размещен ArcGIS Web Adaptor.
  3. Щелкните на имени ArcGIS Web Adaptor.

    По умолчанию – arcgis.

  4. Дважды щелкните Аутентификация на панели Home.
  5. Выберите Анонимная проверка подлинности и щелкните Отключить.
  6. Выберите Аутентификация Windows и щелкните Включить.
  7. Закройте Internet Information Server (IIS) Manager.

Проверка доступности портала с помощью IWA

Чтобы проверить, используя IWA, есть ли доступ к порталу, выполните следующие действия:

  1. Откройте портал.

    URL-адрес имеет формат https://organization.example.com/<context>/home.

  2. Убедитесь, что у вас запросили учетные данные вашей учетной записи организации либо автоматически вошли с использованием таких учетных данных. Если этого не произошло, проверьте, была ли учетная запись Windows, которую вы использовали для входа в компьютер, добавлена на портал.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.