Настройка организации для работы с HTTPS-коммуникацией
По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее изменили этот параметр, чтобы разрешить обмен данными как по протоколу HTTP, так и по протоколу HTTPS, необходимо перенастроить организацию для использования связи только по протоколу HTTPS, выполнив следующие действия:
- Войдите в ArcGIS Enterprise как администратор организации.
URL-адрес имеет формат https://organization.example.com/<context>/home.
- На странице Моя организация щелкните вкладку Настройки, затем щелкните Безопасность.
- Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS.
- Нажмите Сохранить, чтобы применить изменения.
Обновление хранилища аутентификаций вашей организации
Затем обновите хранилище аутентификаций портала, чтобы оно использовало либо протокол LDAP, либо учетные записи и группы Active Directory.
Обновление хранилища аутентификаций с помощью LDAP
Чтобы обновить хранилище аутентификаций с помощью LDAP, выполните следующие действия:
- Войдите в ArcGIS Enterprise Administrator Directory как администратор вашей организации.
URL-адрес имеет формат https://organization.example.com/context/admin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо обновите следующий пример информацией о пользователях, относящейся к вашей организации.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адресов электронной почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
- Для того, чтобы создать группы, которые будут использовать существующие группы LDAP в вашем хранилище идентификаций, вставьте информацию о конфигурации группы LDAP вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо обновите следующий пример информацией о группах, относящейся к вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP.
В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть так:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже).
Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true.
- Щелкните Обновить хранилище аутентификаций, чтобы сохранить изменения.
Обновление хранилища аутентификаций с помощью Active Directory
Чтобы обновить хранилище аутентификаций с помощью Active Directory, выполните следующие действия:
- Войдите в ArcGIS Enterprise Administrator Directory как администратор вашей организации.
URL-адрес имеет формат https://organization.example.com/context/admin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON format) информацию о пользовательской конфигурации вашей Windows Active Directory (в формате JSON). Либо обновите следующий пример информацией о пользователях, относящейся к вашей организации.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение true.
- Чтобы создать группы на портале, которые будут использовать существующие группы Active Directory в вашем хранилище идентификаций, вставьте информацию о конфигурации группы Active Directory Windows вашей организации (в формате JSON) в текстовое окно Конфигурация хранилища групп (в формате JSON), как показано ниже. Либо обновите следующий пример информацией о группах, относящейся к вашей организации. Если вы хотите использовать только встроенные группы портала, удалите все из текстового поля и пропустите этот шаг.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить хранилище аутентификаций (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.
- Щелкните Обновить хранилище аутентификаций, чтобы сохранить изменения.
Настройка дополнительных параметров хранилища аутентификаций
Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить используя ArcGIS Enterprise Administrator Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.
Настройка аутентификации веб-уровня
Когда организация будет настроена с Active Directory или хранилищем аутентификаций LDAP, необходимо включить анонимный доступ через веб-адаптер в IIS или сервер приложений JavJava.Когда пользователи открывают страницу входа в организацию, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам организации, к которым предоставлен доступ для всех.
Убедитесь в доступности портала, используя учетные данные
Для проверки доступности портала с использованием учетных данных выполните следующие шаги:
- Откройте ArcGIS Enterprise.
Формат URL-адреса: https://organization.example.com/context/home.
- Войдите под учетной записью организации (см. ниже пример синтаксиса).
При использовании аутентификации уровня портала участники вашей организации будут заходить в систему, используя следующий синтаксис:
- При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain. Независимо от того, как входит участник, имя пользователя всегда отображается как username@domain в ArcGIS Enterprise.
- При использовании LDAP синтаксис зависит от usernameAtrribute, указанного в конфигурации хранилища пользователей. ArcGIS Enterprise также отображает учетную запись в этом формате.
Добавление на портал корпоративных учетных записей
По умолчанию пользователи конкретной организации могут работать с ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- Индивидуально или пакетно (по одному, пакетно из файла .csv или из существующих групп LDAP)
- Автоматически
Рекомендуется назначить хотя бы одну учетную запись организации в качестве администратора. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Подробнее см. раздел Работа с учетной записью основного администратора.
После добавления учетных записей пользователи смогут входить в организацию и пользоваться ресурсами.