Наверх

Используйте LDAP и аутентификацию на веб-уровне

В этом разделе

  1. Настройте свою организацию с помощью LDAP
  2. Добавление учетных записей конкретной организации
  3. Настройка ArcGIS Web Adaptor для использования аутентификации веб-уровня
  4. Убедиться в доступности портала по протоколу LDAP
  5. Запрет создания собственных учетных записей пользователями

У вас есть возможность безопасного входа в вашу организацию с использованием Облегченного протокола доступа к каталогам (LDAP). При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации.

Для использования LDAP можно настроить аутентификацию на уровне портала или аутентификацию веб-уровня с помощью ArcGIS Web Adaptor (Java Platform), размещенного на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации веб-уровня с LDAP.

Настройте свою организацию с помощью LDAP

По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобится перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.

Настройка организации для работы с HTTPS-коммуникацией

Выполните следующие шаги для настройки организации для работы с HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет вид https://organization.example.com/<context>/home.

  2. Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
  3. Включите опцию Разрешить доступ к порталу только с использованием HTTPS.

Настройка хранилища аутентификаций с помощью пользователей и групп LDAP

Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы LDAP.

  1. Войдите в ArcGIS Enterprise Manager как администратор вашей организации. URL-адрес имеет формат https://organization.example.com/<context>/manager.
  2. Щелкните Безопасность > Хранилище сущностей.
  3. С помощью опций Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
  4. Выберите LDAP в разделе Хранилище учетных записей. Для учетных записей LDAP вы можете использовать встроенное хранилище групп или хранилище групп LDAP. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
  5. В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию. Ниже приводятся описания всех текстовых полей:

    • Type—LDAP или LDAPS
    • Hostname (Required)—Имя размещающего компьютера, на котором работает каталог LDAP.
    • Port (Required)—Номер порта на размещающем компьютере, с которого каталог LDAP считывает входящие подключения.
      Примечание:

      Для безопасных подключений обычно это 636.

    • User Base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация, например, ou=users,dc=example,dc=com.
    • Group base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается информация о группе, например, ou=groups,dc=example,dc=com.
    • Username (Required)—Отличительное имя (DN) учетной записи LDAP, которая имеет доступ к узлу, содержащему информацию пользователя. Административный доступ для этой учетной записи не обязателен.
    • Password (Required)—Пароль учетной записи пользователя LDAP, который используется для доступа к серверу директорий.
    • LDAP URL for users— LDAP URL для пользователей, который используется для подключения к директории LDAP.
      Примечание:
      Он создается автоматически, но может быть изменен при необходимости.
    • LDAP URL for groups— LDAP URL для групп, который используется для подключения к директории LDAP.
      Примечание:
      Он создается автоматически, но может быть изменен при необходимости.
    • Are usernames case sensitive?- Да или Нет
    • User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
    • User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
    • User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
    • Username attribute (Required)—Атрибут сервера каталогов для имени пользователя.
    • User search attribute—Это дополнительное поле, которое нужно только при настройке Enterprise для использования аутентификации веб-уровня на веб-адаптере Java. В некоторых сценариях веб-адаптер Java может вернуть авторизованное имя пользователя в формате, отличном от ожидаемого имени пользователя, которое указано выше. Примером может быть случай, когда веб-адаптор Java настраивается для использования аутентификации клиентского сертификата, а с веб-сервера возвращается полное отличительное имя вместо имени пользователя. В этом примере Атрибут поиска пользователя должен быть задан как distinguishedName.
    • Member attribute (Required)— Атрибут сервера каталогов для списка пользователей, которые являются участниками конкретной группы.
    • Group name attribute (Required)— Атрибут сервера каталогов для имени группы.

  6. Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.

Добавление учетных записей конкретной организации

По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.

Добавьте учетные записи в свою организацию, используя один из следующих способов:

  • По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
  • Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.

Настройка ArcGIS Web Adaptor для использования аутентификации веб-уровня

После установки и настройки ArcGIS Web Adaptor (Java Platform) в вашей организации необходимо, в соответствии с нужным руководством по установке, настроить сервер приложений Java с двумя основными задачами:

  1. Интеграция с вашим хранилищем идентификации LDAP. Это позволит вашему серверу приложений Java аутентифицировать пользователей, управляемых в этом хранилище LDAP.
  2. Включите механизм аутентификации на основе браузера, такой как аутентификация на основе форм или диалогов, для контекста ArcGIS Web Adaptor организации.

Для получения инструкций обратитесь к документации по серверу приложений Java, странице Профессиональные сервисы Esri или проконсультируйтесь со своим системным администратором.

Убедиться в доступности портала по протоколу LDAP

  1. Откройте портал.

    URL-адрес имеет вид https://organization.example.com/<context>/home.

  2. Убедитесь, что вас попросили ввести свои учетные данные LDAP. Если вы этого не увидели, проверьте, что для входа в LDAP вы использовали учетную запись, добавленную на портал.

Запрет создания собственных учетных записей пользователями

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Отзыв по этому разделу?

В этом разделе
  1. Настройте свою организацию с помощью LDAP
  2. Добавление учетных записей конкретной организации
  3. Настройка ArcGIS Web Adaptor для использования аутентификации веб-уровня
  4. Убедиться в доступности портала по протоколу LDAP
  5. Запрет создания собственных учетных записей пользователями