Использование Windows Active Directory и аутентификации сертификата клиента для безопасного доступа—ArcGIS Enterprise on Kubernetes

При использовании Windows Active Directory для аутентификации пользователей можно использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к вашей организации.

Для использования интегрированной аутентификации Windows (IWA) и аутентификации сертификата клиента необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (IIS) для своей организации.

Настройте портал с Windows Active Directory

Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://organization.example.com/<context>/home.
Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Настройте хранилище аутентификаций с помощью пользователей и групп Active Directory

Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы Windows Active Directory.

Войдите в ArcGIS Enterprise Manager как администратор вашей организации.
URL-адрес имеет формат https://site.example.com/<site context>/manager.
Щелкните Безопасность > Хранилище аутентификаций.
С помощью кнопок опций Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
Выберите Windows в разделе Хранилище учетных записей.
С помощью учетных записей Windows вы можете использовать встроенное хранилище групп или хранилище групп Windows. Текстовые поля в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое текстовое окно соответствующую информацию.
Ниже приводятся описания всех текстовых полей:
- Имя пользователя (обязательно)
- Пароль (обязательно)
- Чувствительны ли имена пользователей к регистру — Да или Нет
- Атрибут имени учетной записи (обязательно) — атрибут сервера каталогов для (первого) имени пользователя
- Атрибут фамилии учетной записи (обязательно) — атрибут сервера каталогов для фамилии пользователя
- Атрибут электронной учетной записи (обязательно) — атрибут сервера каталогов для электронной почты пользователя
- Контроллер домена (обязательно)
- Сопоставление контроллера домена
Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.

Установка с Windows Server 2016

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:

Откройте инструменты Администрирование и щелкните Server Manager.
На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
Разверните роли Web Server и Безопасность.
В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.

Установка с Windows Server 2019 или 2022

Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2019 или 2022:

Откройте инструменты Администрирование и щелкните Server Manager.
В Server Manager Dashboard щелкните Добавить роли и компоненты.
Примите настройки по умолчанию и щелкните Далее на страницах Перед началом работы, Тип установки и Выбор сервера.
На странице Роли сервера включите Веб сервер (IIS) и щелкните Далее.
На странице Компоненты щелкните Далее.
На странице Роль веб-сервера (IIS) щелкните Далее.
На странице Сервисы ролей разверните раздел Безопасность.
В разделе Безопасность выберите Аутентификация IIS Client Certificate Mapping и щелкните Далее.
На странице Подтверждение щелкните Установить.

Включите аутентификацию Active Directory Client Certificate Mapping

После того ,как вы установите Active Directory Client Certificate Mapping, выполните следующие шаги, чтобы включить компонент:

Запустите Internet Information Server (IIS) Manager.
В узле Подключения щелкните имя вашего веб-сервера.
Дважды щелкните Авторизация в окне Просмотр возможностей.
Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.
Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.

Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов

Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:

Запустите Internet Information Services (IIS) Manager.
Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
Дважды щелкните Авторизация в окне Просмотр возможностей.
Отключите все формы аутентификации.
Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
Дважды щелкните Настройки SSL.
Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
Нажмите Применить, чтобы сохранить изменения.

Примечание:

Для аутентификации клиентского сертификата для работы на Microsoft Windows Server 2022, TLS 1.3 должен быть отключен под привязками сайта HTTPS.

Убедитесь, что вы можете получить доступ к порталу, используя Windows Active Directory и аутентификацию клиентского сертификата

Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал используя Windows Active Directory или аутентификацию сертификата клиента:

Откройте портал.
URL-адрес имеет формат https://organization.example.com/<context>/home.
Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Отзыв по этому разделу?