Использование встроенной аутентификации Windows (Integrated Windows Authentication) в вашем портале

Вы можете контролировать доступ к вашему порталу при помощи встроенной аутентификации Windows (Integrated Windows Authentication, IWA). При использовании IWA учетные данные управляются с помощью Microsoft Windows Active Directory. Пользователи не входят и не выходят с веб-сайта портала; при открытии веб-сайта вход выполняется автоматически, с использованием тех же учетных записей, которые используются для входа в Windows.

Чтобы настроить IWA для вашего портала, необходимо выполнить три важных шага, и они должны быть выполнены в следующем порядке:

  1. Настройка Portal for ArcGIS на использование пользователей Windows Active Directory
  2. Настройка ArcGIS Web Adaptor на использование аутентификации Windows
  3. Присвоение учетной записи Windows статуса администратора

Настройка Portal for ArcGIS на работу с пользователями Windows Active Directory

Прежде всего настройте ваш портал для работы исключительно с SSL. Это можно сделать на странице Безопасность (Security) веб-сайта портала.

Шаги:
  1. Войдите на веб-сайт портала от имени администратора портала.
  2. Щелкните Редактировать настройки (Edit Settings) на странице Моя организация (My Organization).
  3. Щелкните Безопасность (Security).
  4. Отметьте опцию Разрешить доступ к порталу только с использованием SSL (Allow access to the portal through SSL only).
  5. Нажмите Сохранить (Save), чтобы применить изменения.

Далее обновите хранилище учетных записей вашего портала, чтобы использовались учетные записи Windows Active Directory.

Шаги:
  1. Войдите в Portal Directory под учетной записью с правами администратора. Адрес URL имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
  2. Щелкните Безопасность (Security) > Конфигурация (Config) > Обновить хранилище учетных записей (Update Identity Store).
  3. Поместите конфигурацию JSON для IWA в текстовое поле Хранилище конфигурации пользователя (в формате JSON) (User store configuration (in JSON format)).

    Вы можете скопировать приведенный текст и изменить информацию с учетом настроек вашего сайта:

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    В большинстве случаев вам будет необходимо изменить только значения для параметров user и userPassword. Хотя вы вводите пароль в виде текста, он будет зашифрован при сохранении в директории конфигурации портала и при просмотре. Для учетной записи, которую вы используете для параметров пользователя, необходимы права доступа только для просмотра адреса электронной. почты и полного имени в учетных записях Windows в сети. Если возможно, используйте учетную запись с паролем, срок действия которого не истекает.

    В тех редких случаях, когда система Active Directory чувствительна к регистру, установите для параметра caseSensitive значение "true".

  4. После того, как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию (Update Configuration) для сохранения изменений и повторного запуска портала.

Настройка ArcGIS Web Adaptor на использование аутентификации Windows

Настройте ArcGIS Web Adaptor на использование аутентификации Windows. Установите для ArcGIS Web Adaptor (IIS) метод аутентификации и параметры SSL в IIS Manager.

ВниманиеВнимание:

Если вы в текущий момент используете Web Adaptor с ArcGIS Server, вы должны настроить отдельный Web Adaptor для ArcGIS Server. Вы не сможете настроить Web Adaptor параллельно на работу с ArcGIS Server, если вы собираетесь использовать IWA.

Шаги:
  1. Запустите IIS Manager.
  2. Найдите веб-сайт ArcGIS Web Adaptor на панели Подключения (Connections).

    Раскройте <ваш сервер> > Сайты (Sites) > Веб-сайт по умолчанию (Default Web Site) и выберите ваш Web Adaptor. Если вы использовали имя по умолчанию, то сайт называется arcgis.

  3. Дважды щелкните Проверка подлинности (Authentication) на панели Начальная страница (Home).
  4. Щелкните Анонимная проверка подлинности (Anonymous Authentication) и выберите Отключить (Disable).
  5. Щелкните Аутентификация Windows (Windows Authentication) и выберите Включить (Enable).
  6. Закройте Менеджер IIS (IIS Manager).
ПримечаниеПримечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать аутентификацию IWA на сервере, вам потребуется отключить IWA на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, это необходимо для того, чтобы ваш сайт был свободен для интеграции с порталом и мог считывать пользователей и роли из IWA. Если на сайте ArcGIS Server не используется аутентификация IWA, никаких действий не требуется.

Инструкции по отключению IWA на вашем сайте ArcGIS Server см. в разделе Настройка портала и интегрированного сервера на использование учетных записей Windows. Подробные инструкции по добавлению сайта ArcGIS Server к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Назначение учетной записи Windows администраторских прав

Способ, которым вы будете добавлять учетную запись Windows к вашему порталу, будет зависеть от того, настроен ли ваш портал на добавление учетных записей автоматически, когда пользователи входят, используя корпоративную учетную запись, или учетные записи должны быть добавлены из ArcGIS Portal Directory. Для получения информации об этой настройке см. раздел Настройка создания учетной записи.

Если вы регистрируете учетные записи для корпоративных пользователей вручную

Если ваш портал настроен на добавление учетных записей с помощью инструмента CreateUsers, следуйте инструкциям в разделе Добавление корпоративных учетных записей к порталу для добавления учетной записи Windows в качестве администратора портала. При регистрации корпоративной учетной записи убедитесь, что выбрана роль Администратор (Administrator).

Если учетные записи автоматически регистрируются для корпоративных пользователей

Если ваш портал настроен на регистрацию корпоративных учетных записей автоматически, откройте главную страницу веб-сайта; при этом вы должны войти под учетной записью Windows, которую вы хотите использовать в качестве администратора портала. В зависимости от настроек браузера вам может потребоваться указать данные учетной записи.

При первом добавлении учетной записи в портал автоматически, ей назначается роль Пользователь (User). Только администратор может изменить роль у учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить учетной записи Windows роль Администратора. Поскольку ваш Web Adaptor настроен на аутентификацию Windows, для входа с использованием первичной учетной записи администратора необходимо подключиться к порталу через порт 7443, а не через Web Adaptor.

Шаги:
  1. Подключитесь к порталу, находясь в вашем компьютере под той учетной записью Windows, которую хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
  2. После того, как учетная запись Windows была добавлена к вашему порталу, откройте браузер и подключитесь к порталу через порт 7443, например, используя https://portal.domain.com:7443/arcgis/home.
  3. Выполните вход с первичной учетной записью администратора, которую вы создали при настройке Portal for ArcGIS.
  4. Найдите учетную запись Windows, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор (Administrator). Учетная запись будет иметь вид username@domain.
  5. Выйдите из веб-сайта.

Войдя на компьютер с этой учетной записью Windows, вы можете подключаться к вашему порталу через Web Adaptor и администрировать портал.

Отмена прав или удаление начальной учетной записи администратора

Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя (User) или удалить ее. Более подробно см. в разделе О начальной учетной записи администратора.

Запрет создания собственных учетных записей для пользователей

После настройки безопасного доступа к порталу вы можете отключить кнопку Создать учетную запись (Create an account) и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все пользователи портала используют корпоративные учетные данные: создать дополнительные учетные записи будет нельзя.

Выполните следующие шаги, чтобы запретить создание пользователями собственных учетных записей:

Шаги:
  1. Перейдите в папку и откройте config.js в текстовом редакторе.
  2. Найдите параметр showSignUp и измените его значение на false.
  3. Сохраните и закройте файл.
  4. Чтобы применить изменения, перезагрузите портал.
  5. После перезапуска портала очистите кэш браузера (включая cookies), чтобы увидеть изменения на веб-сайте портала.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014