Использование Windows Active Directory и PKI для безопасного доступа к вашему порталу

Вы можете использовать инфраструктуру открытых ключей (PKI) для безопасного доступа к вашему порталу при управлении учетными записями пользователей с помощью Windows Active Directory.

В следующих разделах описывается настройка Portal for ArcGIS и ArcGIS Web Adaptor (IIS) для работы с PKI. Вам следует выполнить все шаги с точным соблюдением приведенного порядка. Если вам требуется помощь в настройке других веб-серверов для использования PKI вместе с ArcGIS Web Adaptor, обратитесь к Esri Professional Services.

В этих шагах подразумевается, что вы уже установили ArcGIS Web Adaptor (IIS) и Portal for ArcGIS и зарегистрировали ваш портал в Web Adaptor.

Прежние версииПрежние версии:

В старой версии: В 10.2 было необходимо отредактировать файл свойств на диске, чтобы настроить параметры безопасности портала. В 10.2.1 и более новых версиях этого более не требуется. Следующие инструкции применимы только к версии 10.2.1 и более поздним. Эти инструкции для версии 10.2 находятся в документации к 10.2.

Настройка Portal for ArcGIS на работу с пользователями Windows Active Directory

Прежде всего настройте ваш портал для работы исключительно с SSL. Это можно сделать на странице Безопасность (Security) веб-сайта портала.

Шаги:
  1. Войдите на веб-сайт портала от имени администратора портала.
  2. Щелкните Редактировать настройки (Edit Settings) на странице Моя организация (My Organization).
  3. Щелкните Безопасность (Security).
  4. Отметьте опцию Разрешить доступ к порталу только с использованием SSL (Allow access to the portal through SSL only).
  5. Нажмите Сохранить (Save), чтобы применить изменения.
ПримечаниеПримечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сайте аутентификацию веб-уровня, вам потребуется отключить аутентификацию на веб-уровне (basic или digest) и разрешить анонимный доступ на ArcGIS Web Adaptor, настроенному на сайт, перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Далее обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи Windows Active Directory.

Шаги:
  1. Войдите в Portal Directory под учетной записью с правами администратора. Адрес URL имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
  2. Щелкните Безопасность (Security) > Конфигурация (Config) > Обновить хранилище аутентификаций (Update Identity Store).
  3. Поместите конфигурацию JSON для Windows Active Directory в текстовое поле Хранилище конфигурации пользователя (в формате JSON) (User store configuration (in JSON format)).

    Вы можете скопировать приведенный текст и изменить информацию с учетом настроек вашего сайта:

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    В большинстве случаев вам будет необходимо изменить только значения для параметров user и userPassword. Хотя вы вводите пароль в виде текста, он будет зашифрован при сохранении в директории конфигурации портала и при просмотре. Для учетной записи, которую вы используете для параметров пользователя, необходимы права доступа только для просмотра адреса электронной. почты и полного имени в учетных записях Windows в сети. Если возможно, используйте учетную запись с паролем, срок действия которого не истекает.

  4. После того как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию (Update Configuration) для сохранения изменений.

Установите и включите аутентификацию Active Directory Client Certificate Mapping

Вам следует установить и включить аутентификацию Active Directory Client Certificate Mapping в IIS.

Установите аутентификацию Client Certificate Mapping

Active Directory Client Certificate Mapping не доступна в установке IIS по умолчанию. Инструкции по её установке отличаются в зависимости от вашей операционной системы.

Windows Server 2008/R2, и 2012/R2

Шаги:
  1. Откройте инструменты Администрирование (Administrative Tools) и щелкните Server Manager.
  2. На панели отображения иерархии Server Manager раскройте Роли (Roles) и щелкните Веб-сервер (IIS) (Web Server (IIS)).
  3. Перейдите к разделу Службы ролей (Role Services) и щёлкните Добавить службы ролей (Add Role Services).
  4. На странице Выбрать сервисы ролей (Select Role Services) Мастера добавления сервисов ролей (Add Role Services Wizard) выберите Client Certificate Mapping Authentication и щёлкните Далее (Next).
  5. Нажмите Установить (Install).

Windows 7, 8 и 8.1

Шаги:
  1. Откройте Панель управления (Control Panel) и щелкните Программы и компоненты (Programs and Features) > Включение или отключение компонентов Windows (Turn Windows Features on or off).
  2. Раскройте Информационные службы Интернета (Internet Information Services) > World Wide Web Services > Безопасность (Security) и выберите Client Certificate Mapping Authentication.
  3. Нажмите ОК.

Включите аутентификацию Active Directory Client Certificate Mapping

Active Directory Client Certificate Mapping не включается автоматически после установки компонента на Windows. Вам потребуется её включить в IIS с помощью следующих шагов.

Шаги:
  1. Запустите Internet Information Services (IIS) Manager.
  2. В узле Подключения (Connections) щелкните имя вашего веб-сервера.
  3. Дважды щелкните Авторизация (Authentication) в окне Просмотр возможностей (Features View).
  4. Убедитесь, что отображается Аутентификация Active Directory Client Certificate Mapping. Если компонент не отображается или недоступен, то перезагрузите веб-сервер, чтобы завершить установку компонента Аутентификация Active Directory Client Certificate.
  5. Щелкните дважды Active Directory Client Certificate Authentication и выберите Включить (Enable) в Действия (Actions).

Появляется сообщение утверждающее, что SSL должен быть включен для использования Active Directory Client Certificate Authentication. В следующем разделе вы будете над этим работать.

Настройте Web Adaptor на обязательное использование SSL

Измените настройки аутентификации и SSL для вашего Web Adaptor.

Шаги:
  1. Запустите Internet Information Services (IIS) Manager.
  2. Раскройте узел Подключения (Connections) и выберите ваш сайт Web Adaptor.
  3. Дважды щелкните Авторизация (Authentication) в окне Просмотр возможностей (Features View).
  4. Отключите все формы аутентификации.
  5. Снова выберите ваш Web Adaptor в списке Подключения (Connections).
  6. Дважды щелкните Настройки SSL (SSL Settings).
  7. Включите опцию Требовать SSL (Require SSL) и выберите опцию Требовать (Require) под Сертификаты клиентов (Client certificates).
  8. Нажмите Применить (Apply), чтобы сохранить изменения.

Назначение учетной записи Active Directory администраторских прав

Способ, которым вы будете добавлять учетную запись Active Directory к вашему порталу, будет зависеть от того, настроен ли ваш портал на добавление учетных записей автоматически, когда пользователи входят, используя корпоративную учетную запись, или учетные записи должны быть добавлены из ArcGIS Portal Directory. Для получения информации об этой настройке см. раздел Настройка создания учетной записи.

Если вы регистрируете учетные записи для корпоративных пользователей вручную

Если ваш портал настроен на добавление учетных записей с помощью инструмента CreateUsers, следуйте инструкциям в разделе Добавление пользователей портала для добавления учетной записи Active Directory в качестве администратора портала. При регистрации корпоративной учетной записи убедитесь, что выбрана роль Администратор (Administrator).

Если учетные записи автоматически регистрируются для корпоративных пользователей

Если ваш портал настроен на добавление корпоративных учетных записей автоматически, откройте главную страницу веб-сайта; при этом вы должны войти под учетной записью Active Directory, которую вы хотите использовать в качестве администратора портала. В зависимости от настроек браузера вам может потребоваться указать данные учетной записи.

При первом добавлении учетной записи в портал автоматически, ей назначается роль Пользователь (User). Только администратор может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить учетной записи Active Directory роль Администратора. Поскольку ваш Web Adaptor настроен на аутентификацию Windows, для входа с использованием первичной учетной записи администратора необходимо подключиться к порталу через порт 7443, а не через Web Adaptor.

Шаги:
  1. Подключитесь к порталу под корпоративной учетной записью, которую хотите использовать в качестве администраторской. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, и эта учетная запись будет зарегистрирована на портале.
  2. После того, как учетная запись была добавлена к вашему порталу, откройте браузер и подключитесь к порталу через порт 7443, например, используя https://portal.domain.com:7443/arcgis/home.
  3. Выполните вход с первичной учетной записью администратора, которую вы создали при настройке Portal for ArcGIS.
  4. Найдите учетную запись Active Directory, которую вы будете использовать при администрировании вашего портала и измените роль на Администратор (Administrator). Учетная запись будет иметь вид username@domain.
  5. Выйдите из веб-сайта.

Войдя на компьютер с этой учетной записью Active Directory, вы можете подключаться к вашему порталу через Web Adaptor и администрировать портал.

Отмена прав или удаление начальной учетной записи администратора

Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя (User) или удалить ее. Более подробно см. в разделе О начальной учетной записи администратора.

Запрет создания собственных учетных записей для пользователей

После настройки безопасного доступа к порталу вы можете отключить кнопку Создать учетную запись (Create an account) и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все пользователи портала используют корпоративные учетные данные: создать дополнительные учетные записи будет нельзя.

Выполните следующие шаги, чтобы запретить создание пользователями собственных учетных записей:

Шаги:
  1. Перейдите в папку <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline и откройте config.js в текстовом редакторе.
  2. Найдите параметр showSignUp и измените его значение на false.
  3. Сохраните и закройте файл.
  4. Чтобы применить изменения, перезагрузите портал.
  5. После перезапуска портала очистите кэш браузера (включая cookies), чтобы увидеть изменения на веб-сайте портала.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014