У вас есть возможность безопасного входа в вашу организацию с использованием Облегченного протокола доступа к каталогам (LDAP). При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации.
Для использования LDAP можно настроить аутентификацию на уровне портала или аутентификацию веб-уровня с помощью ArcGIS Web Adaptor (Java Platform), размещенного на сервере приложений Java. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации веб-уровня с LDAP.
Настройте свою организацию с помощью LDAP
По умолчанию, ArcGIS Enterprise активирует HTTPS для всех подключений. Если вы ранее меняли эту опцию, чтобы активировать подключения как по HTTP, так и по HTTPS, вам понадобится перенастроить портал для использования подключения только по HTTPS, выполнив описанные ниже шаги.
Настройка организации для работы с HTTPS-коммуникацией
Выполните следующие шаги для настройки организации для работы с HTTPS:
- Войдите на веб-сайт организации в качестве администратора.
URL-адрес имеет вид https://organization.example.com/<context>/home.
- Щелкните Организация и перейдите на вкладку Настройки, а затем нажмите Безопасность на левой стороне страницы.
- Включите опцию Разрешить доступ к порталу только с использованием HTTPS.
Настройка хранилища аутентификаций с помощью пользователей и групп LDAP
Далее обновите хранилище аутентификаций вашей организации, чтобы использовались учетные записи и группы LDAP.
- Войдите в ArcGIS Enterprise Manager как администратор вашей организации. URL-адрес имеет формат https://organization.example.com/<context>/manager.
- Щелкните Безопасность > Хранилище сущностей.
- С помощью опций Хранилище учетных записей и Хранилище групп можно выбрать способ управления учетными записями и группами для вашей организации.
- Выберите LDAP в разделе Хранилище учетных записей. Для учетных записей LDAP вы можете использовать встроенное хранилище групп или хранилище групп LDAP. Поля для ввода в разделе Конфигурация хранилища учетных записей и хранилища групп изменяются в зависимости от выбранного типа хранилища групп.
- В разделе Конфигурация хранилища учетных записей и хранилища групп введите в каждое поле соответствующую информацию. Ниже приводятся описания всех текстовых полей:
- Type—LDAP или LDAPS
- Hostname (Required)—Имя размещающего компьютера, на котором работает каталог LDAP.
- Port (Required)—Номер порта на размещающем компьютере, с которого каталог LDAP считывает входящие подключения.
Примечание:
Для безопасных подключений обычно это 636.
- User Base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация, например, ou=users,dc=example,dc=com.
- Group base DN (Required)—Отличительное имя (DN) узла в директории сервера, под которым поддерживается информация о группе, например, ou=groups,dc=example,dc=com.
- Username (Required)—Отличительное имя (DN) учетной записи LDAP, которая имеет доступ к узлу, содержащему информацию пользователя. Административный доступ для этой учетной записи не обязателен.
- Password (Required)—Пароль учетной записи пользователя LDAP, который используется для доступа к серверу директорий.
- LDAP URL for users— LDAP URL для пользователей, который используется для подключения к директории LDAP.
Примечание:
Он создается автоматически, но может быть изменен при необходимости. - LDAP URL for groups— LDAP URL для групп, который используется для подключения к директории LDAP.
Примечание:
Он создается автоматически, но может быть изменен при необходимости. - Are usernames case sensitive?- Да или Нет
- User first name attribute (Required)- Атрибут сервера каталогов для (первого) имени пользователя
- User last name attribute (Required)- Атрибут сервера каталогов для фамилии пользователя.
- User email attribute (Required)- Атрибут сервера каталогов для адреса электронной почты пользователя.
- Username attribute (Required)—Атрибут сервера каталогов для имени пользователя.
- User search attribute—Это дополнительное поле, которое нужно только при настройке Enterprise для использования аутентификации веб-уровня на веб-адаптере Java. В некоторых сценариях веб-адаптер Java может вернуть авторизованное имя пользователя в формате, отличном от ожидаемого имени пользователя, которое указано выше. Примером может быть случай, когда веб-адаптор Java настраивается для использования аутентификации клиентского сертификата, а с веб-сервера возвращается полное отличительное имя вместо имени пользователя. В этом примере Атрибут поиска пользователя должен быть задан как distinguishedName.
- Member attribute (Required)— Атрибут сервера каталогов для списка пользователей, которые являются участниками конкретной группы.
- Group name attribute (Required)— Атрибут сервера каталогов для имени группы.
- Нажмите Сохранить, когда закончите ввод информации для конфигурации хранилища аутентификаций.
Добавление учетных записей конкретной организации
По умолчанию пользователи конкретной организации могут работать с веб-сайтом организации ArcGIS Enterprise. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что учетные записи конкретной организации не были добавлены, и им не были выданы права доступа.
Добавьте учетные записи в свою организацию, используя один из следующих способов:
- По отдельности или пакетно (однократно, в пакетном режиме с использованием файла .csv или из существующих групп Active Directory)
- Автоматически
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Настройка ArcGIS Web Adaptor для использования аутентификации веб-уровня
После установки и настройки ArcGIS Web Adaptor (Java Platform) в вашей организации необходимо, в соответствии с нужным руководством по установке, настроить сервер приложений Java с двумя основными задачами:
- Интеграция с вашим хранилищем идентификации LDAP. Это позволит вашему серверу приложений Java аутентифицировать пользователей, управляемых в этом хранилище LDAP.
- Включите механизм аутентификации на основе браузера, такой как аутентификация на основе форм или диалогов, для контекста ArcGIS Web Adaptor организации.
Для получения инструкций обратитесь к документации по серверу приложений Java, странице Профессиональные сервисы Esri или проконсультируйтесь со своим системным администратором.
Убедиться в доступности портала по протоколу LDAP
- Откройте портал.
URL-адрес имеет вид https://organization.example.com/<context>/home.
- Убедитесь, что вас попросили ввести свои учетные данные LDAP. Если вы этого не увидели, проверьте, что для входа в LDAP вы использовали учетную запись, добавленную на портал.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.