Защита веб-сервисов при помощи встроенной системы проверки подлинности Windows

В данном руководстве пользователя описана защита веб-сервисов ArcGIS при помощи встроенной системы проверки подлинности Windows. Встроенная система проверки подлинности Windows требует управления пользователями и ролями на сервере Microsoft Windows Active Directory. Это может быть удобно в том случае, если вы хотите, чтобы ваши пользователи ГИС оценили преимущество своих учетных записей в вашей сети.

Вы можете использовать встроенную систему проверки подлинности Windows, когда у пользователей есть учетные записи домена Windows, и они выполняют доступ к сервисам через локальную сеть.

ПримечаниеПримечание:

Встроенная система проверки подлинности Windows не поддерживается через интернет и требует установки и настройки ArcGIS Web Adaptor (IIS). Дополнительные сведения см. в разделе Об ArcGIS Web Adaptor. Web Adaptor выполняет проверку подлинности, в то время как ArcGIS for Server авторизует доступ к веб-сервисам.

Для защиты веб-сервисов ArcGIS при помощи встроенной системы проверки подлинности Windows следуйте приведенным ниже шагам:

  1. Настройте ArcGIS for Server на использование пользователей и ролей Windows Active Directory.
  2. Обзор пользователей и ролей.
  3. Задание прав доступа для сервисов.
  4. Настройте ArcGIS Web Adaptor (IIS) на использование системы проверки подлинности Windows.
  5. Выполните тестирование доступа к защищенным сервисам.

Настройка безопасности ArcGIS for Server на использование пользователей и ролей Windows Active Directory.

Для поддержки встроенной системы проверки подлинности Windows настройте ArcGIS for Server на получение пользователей и ролей из сервера Microsoft Windows Active Directory:

Шаги:
  1. Откройте Менеджер (Manager) и войдите в систему как основной администратор сайта или как пользователь с правами администратора. Справка по этому шагу приведена в разделе Вход в Менеджер.
  2. Нажмите Безопасность (Security) > Настройки (Settings).
  3. Нажмите кнопку Правка Редактировать (Edit) перейдите в Настройки конфигурации (Configuration Settings).
  4. На странице Управление пользователями и ролями (User and Role Management) выберите параметр Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain) (Users and roles in an existing enterprise system (LDAP or Windows Domain)), затем нажмите Далее (Next).
  5. На странице Тип корпоративного хранилища (Enterprise Store Type) выберите параметр Windows Domain и нажмите Далее (Next).
  6. На странице Учетные данные домена Windows (Windows Domain Credentials) введите учетные данные пользователя с правом доступа "чтение" к домену, затем нажмите Далее (Next).
  7. На странице Уровень проверки подлинности (Authentication Tier) выберите Уровень веб-сервера (Web Tier).
  8. Просмотрите итоговую информацию ваших выборок. Для применения и сохранения конфигурации безопасности нажмите Готово (Finish).

Просмотр пользователей и ролей

После настройки домена Windows Active Directory в качестве хранилища для управления пользователями и ролями убедитесь в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты, доступные на сервере Active Directory.

Шаги:
  1. В Manager нажмите Безопасность (Security) > Пользователи (Users).
  2. Убедитесь, что пользователи были получены из сервера домена Windows как ожидалось.
  3. Нажмите Роли (Roles) для просмотра ролей, полученных с сервера домена Windows.
  4. Убедитесь, что роли были получены, как ожидалось. Нажмите кнопку Редактировать (Edit) рядом с ролью для проверки ее членства. При необходимости измените значение Тип роли (Role Type). Дополнительные сведения о типах ролей см. в разделе Принципы безопасности сервера ArcGIS for Server.

Установка прав доступа к веб-сервисам ArcGIS

После настройки параметров безопасности и определенных пользователей и ролей вы можете задать права доступа для сервисов с целью управления доступом к ним.

ArcGIS Server контролирует доступ к веб-сервисам ГИС, размещенным на вашем сервере, с использованием ролевой модели управления доступом. В ролевой модели управления доступом права доступа к защищенному сервису управляются путем назначения ролей для данного сервиса. Для использования защищенного сервиса пользователь должен быть членом роли, которой были назначены права доступа.

Права доступа должны быть назначены для отдельного веб-сервиса или родительской папки, содержащей группу сервисов. При назначении прав доступа папке, любой содержащийся в ней сервис наследует соответствующие права. Например, если предоставить роли доступ к папке сайта (корневой), пользователи, которые принадлежат этой роли, получают права доступа ко всем сервисам, размещенным на данном сайте. Кроме того, для перезаписи прав доступа, автоматически унаследованных сервисом от родительской папки, вы можете выполнить редактирование сервиса и явно удалить права доступа, которые были унаследованы.

Для настройки прав доступа для сервиса см. Редактирование прав доступа в Менеджере (Editing permissions in Manager).

Настройка ArcGIS Web Adaptor (IIS) на использование системы проверки подлинности Windows.

После настройки ваших сервисов на использование пользователей и ролей на сервере Windows Active Directory вам потребуется установить и настроить ArcGIS Web Adaptor (IIS), а также настроить IIS на использование системы проверки подлинности Windows в качестве способа проверки подлинности.

Шаги:
  1. Установите Web Adaptor, следуя инструкциям, приведенным в Установка ArcGIS Web Adaptor (IIS).
  2. Настройте Web Adaptor, следуя инструкциям, приведенным в Настройка Web Adaptor после установки.
  3. Задайте метод проверки подлинности для Web Adaptor с использованием IIS Manager.
    1. Чтобы открыть IIS Manager, нажмите Пуск (Start) > Панель управления (Control Panel) > Администрирование (Administrative Tools) > Менеджер служб IIS (Internet Information Services Manager).
    2. Раскройте левое дерево менеджера IIS под заголовком Сайты (Sites). Растяните Веб-сайт по умолчанию (Default Web Site) чтобы найти приложение ArcGIS Web Adaptor (IIS). По умолчанию ArcGIS Web Adaptor (IIS) имеет имя arcgis.
    3. Отредактируйте свойство проверки подлинности для Web Adaptor. Отмените выбор проверки подлинности Анонимная (Anonymous) и выберите Проверка подлинности Windows (Windows Authentication).
    4. Закройте Менеджер IIS (IIS Manager).

Тестирование доступа к защищенным сервисам

Для тестирования вашей настройки определите учетную запись пользователя домена Windows, которая имеет доступ к корневой папке (сайт), содержащей ваши сервисы. Войдите в систему Windows с использованием этой учетной записи, откройте браузер и выполните доступ к ArcGIS for Server WSDL:

http://<webadaptor host>/arcgis/services?wsdl

Для того чтобы определить пользователей домена Windows, которые имеют доступ к корневому каталогу, сделайте следующее:

Шаги:
  1. Выполните вход в ArcGIS Server Manager и щелкните Сервисы (Services).
  2. Нажмите кнопку Заблокировать (Lock), Заблокировать расположенную за папкой сайта (корневой) и определите роли, которым были выданы права доступа к данной папке. Если для ролей в данный момент доступ отсутствует, выдайте его как минимум одной роли нажатием кнопки Добавить роль (Add Role) Добавить роль.
  3. Нажмите Безопасность (Security) > Роли (Roles) и Редактировать (Edit) для роли, у которой имеется доступ к данной корневой папке.
  4. Просмотрите список пользователей, являющихся членами данной роли.
Информация об авторском праве © Esri, 1995-2013. Все права защищены.
9/12/2013