При использовании Windows Active Directory для аутентификации пользователей можно использовать аутентификацию сертификата клиента, основанную на инфраструктуре открытых ключей (PKI) для безопасного доступа к вашей организации.
Для использования интегрированной аутентификации Windows (IWA) и аутентификации сертификата клиента необходим ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (Java Platform) для выполнения встроенной аутентификации Windows. Если вы этого еще не сделали, установите и настройте ArcGIS Web Adaptor (IIS) для своей организации.
Настройте портал с Windows Active Directory
Сначала настройте портал для использования SSL для всех коммуникаций. Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
Настройка организации для работы с HTTPS-коммуникацией
Выполните следующие шаги для настройки организации для работы с HTTPS:
- Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://organization.example.com/<context>/home.
- Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Настройте хранилище аутентификаций с помощью пользователей и групп Active Directory
Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы Windows Active Directory.
- Войдите в ArcGIS Enterprise Manager как администратор вашей организации.
URL-адрес имеет формат https://site.example.com/<site context>/manager.
- Щелкните Безопасность > Хранилище аутентификаций.
С помощью кнопок опций Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
- Выберите Windows в разделе Хранилище учетных записей.
С помощью учетных записей Windows вы можете использовать встроенное хранилище групп или хранилище групп Windows. Текстовые поля в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
- В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое текстовое окно соответствующую информацию.Ниже приводятся описания всех текстовых полей:
- Имя пользователя (обязательно)
- Пароль (обязательно)
- Чувствительны ли имена пользователей к регистру — Да или Нет
- Атрибут имени учетной записи (обязательно) — атрибут сервера каталогов для (первого) имени пользователя
- Атрибут фамилии учетной записи (обязательно) — атрибут сервера каталогов для фамилии пользователя
- Атрибут электронной учетной записи (обязательно) — атрибут сервера каталогов для электронной почты пользователя
- Контроллер домена (обязательно)
- Сопоставление контроллера домена
- Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.
Добавление учетных записей конкретной организации
По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Установите и включите аутентификацию Active Directory Client Certificate Mapping
Active Directory Client Certificate Mapping недоступна в установке IIS по умолчанию. Вам необходимо установить и включить эту возможность.
Установка с Windows Server 2016
Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2016:
- Откройте инструменты Администрирование и щелкните Server Manager.
- На панели отображения иерархии Server Manager раскройте Роли и щелкните Веб-сервер (IIS).
- Разверните роли Web Server и Безопасность.
- В разделе роли Безопасность выберите аутентификацию Client Certificate Mapping Authentication и нажмите Далее.
- Нажимайте Далее, пока не появится вкладка Выбор объектов (Select Features) и щелкните Установить.
Установка с Windows Server 2019 или 2022
Выполните следующие шаги, чтобы установить аутентификацию Client Certificate Mapping с Windows Server 2019 или 2022:
- Откройте инструменты Администрирование и щелкните Server Manager.
- В Server Manager Dashboard щелкните Добавить роли и компоненты.
- Примите настройки по умолчанию и щелкните Далее на страницах Перед началом работы, Тип установки и Выбор сервера.
- На странице Роли сервера включите Веб сервер (IIS) и щелкните Далее.
- На странице Компоненты щелкните Далее.
- На странице Роль веб-сервера (IIS) щелкните Далее.
- На странице Сервисы ролей разверните раздел Безопасность.
- В разделе Безопасность выберите Аутентификация IIS Client Certificate Mapping и щелкните Далее.
- На странице Подтверждение щелкните Установить.
Включите аутентификацию Active Directory Client Certificate Mapping
После того ,как вы установите Active Directory Client Certificate Mapping, выполните следующие шаги, чтобы включить компонент:
- Запустите Internet Information Server (IIS) Manager.
- В узле Подключения щелкните имя вашего веб-сервера.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping.
Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
- Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить в окне Действия.
Появляется сообщение, утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.
Настройка ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов
Выполните следующие шаги для настройки ArcGIS Web Adaptor для работы с аутентификацией SSL и сертификатами клиентов:
- Запустите Internet Information Services (IIS) Manager.
- Раскройте узел Подключения и выберите ваш сайт ArcGIS Web Adaptor.
- Дважды щелкните Авторизация в окне Просмотр возможностей.
- Отключите все формы аутентификации.
- Снова выберите ваш ArcGIS Web Adaptor в списке Подключения.
- Дважды щелкните Настройки SSL.
- Включите опцию Требовать SSL и выберите опцию Требовать под Сертификаты клиентов.
- Нажмите Применить, чтобы сохранить изменения.
Примечание:
Для аутентификации клиентского сертификата для работы на Microsoft Windows Server 2022, TLS 1.3 должен быть отключен под привязками сайта HTTPS.
Убедитесь, что вы можете получить доступ к порталу, используя Windows Active Directory и аутентификацию клиентского сертификата
Выполните следующие шаги, чтобы убедиться, что вы можете зайти на портал используя Windows Active Directory или аутентификацию сертификата клиента:
- Откройте портал.
URL-адрес имеет формат https://organization.example.com/<context>/home.
- Убедитесь, что вас попросили ввести безопасные учетные данные, и вы можете войти на веб-сайт.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.