Вы можете обеспечить безопасный доступ к вашей организации при помощи встроенной аутентификации Windows (IWA). Когда вы используете IWA, управление учетными записями происходит с помощью Microsoft Windows Active Directory. Выполняя вход в организацию, пользователи тем самым открывают веб-сайт, используя те же учетные записи, которые они использовали для входа в Windows.
Для использования интегрированной аутентификации Windows (IWA) необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если этого еще не сделано, установите и настройте ArcGIS Web Adaptor (IIS) для работы с организацией.
Настройка организации на использование Windows Active Directory
По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобится перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.
Примечание:
При помощи хранилища удостоверений Active Directory ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки пользователей, относящихся к конкретной организации, из нескольких лесов требуется провайдер аутентификации SAML.
Настройка организации для работы с HTTPS-коммуникацией
Выполните следующие шаги для настройки организации для работы с HTTPS:
- Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://organization.example.com/<context>/home.
- Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Настройка хранилища аутентификаций с использованием учетных записей и групп Active Directory
Затем обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы Windows Active Directory.
- Войдите в ArcGIS Enterprise Manager как администратор организации.
URL-адрес имеет формат https://organization.example.com/<context>/manager.
- Щелкните Безопасность и выберите Хранилище аутентификаций.
С помощью кнопок Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
- Выберите Windows в разделе Хранилище учетных записей.
С помощью учетных записей Windows вы можете использовать встроенное хранилище групп или хранилище групп Windows. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
- В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию.
Ниже приводятся описания всех текстовых полей:
- Username (Required)
- Password (Required)
- Are usernames case sensitive?- Да или Нет
- User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
- User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
- User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
- Domain controller (Required)
- Domain controller mapping
- Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.
Настройка дополнительных параметров хранилища аутентификаций
При необходимости вы можете изменить дополнительные параметры конфигурации хранилища аутентификаций с помощью API администрирования каталогов ArcGIS Enterprise. Эти параметры включают ограничение на автоматическое обновление групп при входе в организацию пользователя, относящегося к конкретной организации, установку интервала обновления участия, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.
Добавление учетных записей конкретной организации
По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Настройка ArcGIS Web Adaptor для работы с IWA
Чтобы настроить ArcGIS Web Adaptor на использование IWA, выполните следующие действия:
- Откройте Internet Information Server (IIS) Manager.
- На панели Подключения найдите и разверните вебсайт, на котором размещен ArcGIS Web Adaptor.
- Щелкните на имени ArcGIS Web Adaptor.
По умолчанию – arcgis.
- Дважды щелкните Аутентификация на панели Home.
- Выберите Анонимная проверка подлинности и щелкните Отключить.
- Выберите Аутентификация Windows и щелкните Включить.
- Закройте Internet Information Server (IIS) Manager.
Проверка доступности портала с помощью IWA
Чтобы проверить, используя IWA, есть ли доступ к порталу, выполните следующие действия:
- Откройте портал.
URL-адрес имеет формат https://organization.example.com/<context>/home.
- Убедитесь, что у вас запросили учетные данные вашей учетной записи организации либо автоматически вошли с использованием таких учетных данных. Если этого не произошло, проверьте, была ли учетная запись Windows, которую вы использовали для входа в компьютер, добавлена на портал.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.