Использование LDAP и аутентификации на веб-сервере в вашем портале

Вы можете настроить ваш портал, чтобы использовать тот же Упрощенный протокол доступа к каталогам (LDAP), что применяется в вашей организации для аутентификации пользователей. Чтобы использовать LDAP в вашем портале, выполните по порядку следующие шаги:

Чтобы начать, выполните следующие шаги.

Прежние версииПрежние версии:

В старой версии: В 10.2 было необходимо отредактировать файл свойств на диске, чтобы настроить параметры безопасности портала. В 10.2.1 и более новых версиях этого более не требуется. Следующие инструкции применимы только к версии 10.2.1 и более поздним. Эти инструкции для версии 10.2 находятся в документации к 10.2.

Настройте ваш портал на работу с LDAP

Прежде всего настройте ваш портал для работы исключительно с SSL. Это можно сделать на странице Безопасность (Security) веб-сайта портала.

Шаги:
  1. Войдите на веб-сайт портала от имени администратора портала.
  2. Щелкните Редактировать настройки (Edit Settings) на странице Моя организация (My Organization).
  3. Щелкните Безопасность (Security).
  4. Отметьте опцию Разрешить доступ к порталу только с использованием SSL (Allow access to the portal through SSL only).
  5. Нажмите Сохранить (Save), чтобы применить изменения.

Далее обновите хранилище аутентификаций вашего портала, чтобы использовался LDAP организации.

Шаги:
  1. Войдите в ArcGIS Portal Directory под учетной записью с правами администратора. Адрес URL имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
  2. Щелкните Безопасность (Security) > Конфигурация (Config) > Обновить хранилище аутентификаций (Update Identity Store).
  3. Поместите конфигурацию JSON для LDAP в текстовое поле Хранилище конфигурации пользователя (в формате JSON) (User store configuration (in JSON format)).

    Вы можете скопировать приведенный текст и изменить информацию с учетом настроек вашего сайта:

    {
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin\,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
    "userEmailAttribute": "email",
    "usernameAttribute": "cn",
    "caseSensitive": "false",
    "userSearchAttribute": "cn"
  }
}

    В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP. Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Несмотря на то, что вы вводите пароль в виде текста, он будет зашифрован при сохранении в директорию конфигурации портала и при просмотре.

    Если ваш LDAP не чувствителен к регистру, установите для параметра caseSensitive значение "false".

  4. После того как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию (Update Configuration) для сохранения изменений.

    Когда вы нажмете Обновить конфигурацию (Update Configuration), ваш портал перезагрузится автоматически. Это может занять несколько минут.

Установка аутентификации на веб-сервере на веб-адаптере вашего портала

LDAP требует аутентификацию на уровне веб-сервера, и она должна выполняться на ArcGIS Web Adaptor (Java Platform). Web Adaptor использует сервер приложений Java, чтобы проводить аутентификацию пользователей и предоставлять Web Adaptor имя пользователя учетной записи. Получив имя учетной записи, он передает его порталу.

По окончанию установки и настройки Web Adaptor (Java Platform) для работы с вашим порталом, вам потребуется настроить область LDAP на вашем сервере приложений Java, а также настроить метод аутентификации для Web Adaptor. Для инструкций обратитесь к документации по серверу приложений Java или проконсультируйтесь с системным администратором.

ПримечаниеПримечание:

Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сайте аутентификацию веб-уровня, вам потребуется отключить аутентификацию на веб-уровне (basic или digest) и разрешить анонимный доступ на ArcGIS Web Adaptor, настроенному на сайт, перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.

Назначение учетной записи LDAP администраторских прав

Способ, которым вы будете добавлять учетную запись LDAP к вашему порталу, будет зависеть от того, настроен ли ваш портал на добавление корпоративных учетных записей автоматически, когда пользователи входят, или учетные записи должны добавляться из ArcGIS Portal Directory. Для получения информации об этой настройке см. раздел Настройка создания учетной записи.

Если ваш портал настроен на добавление корпоративных учетных записей автоматически, откройте главную страницу веб-сайта; при этом вы должны войти под учетной записью LDAP, которую вы хотите использовать в качестве администратора портала. В зависимости от настроек браузера вам может потребоваться указать данные учетной записи.

Если вы регистрируете учетные записи для корпоративных пользователей вручную

Если ваш портал настроен на добавление учетных записей с помощью инструмента CreateUsers, следуйте инструкциям в разделе Добавление пользователей портала для добавления учетной записи LDAP в качестве администратора портала. При регистрации корпоративной учетной записи убедитесь, что выбрана роль Администратор (Administrator).

Если учетные записи автоматически регистрируются для корпоративных пользователей

Если ваш портал настроен так, чтобы корпоративные учетные записи регистрировались в портале при первом входе пользователя на портал, то вам понадобится войти в портал под учетной записью LDAP, чтобы одновременно её зарегистрировать, и затем войти на портал под первичной учетной записью администратора и назначить пользователю LDAP роль администратора.

При первом добавлении учетной записи в портал, ей назначается роль Пользователя. Только администратор может изменить роль учетной записи; следовательно, вы должны войти на портал, используя начальную учетную запись администратора, и назначить учетной записи LDAP роль Администратора. После установки для вашего Web Adaptor аутентификации LDAP, вы должны подключиться к порталу через порт 7443, а не использовать URL для Web Adaptor, чтобы войти под начальной учетной записью администратора.

Шаги:
  1. Подключитесь к веб-сайту портала, войдя с использованием учетной записи LDAP. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, и эта учетная запись будет зарегистрирована на портале.
  2. После того как учетная запись LDAP была добавлена к вашему порталу, откройте браузер и подключитесь к веб-сайту портала через порт 7443, например, используя https://portal.domain.com:7443/arcgis/home.
  3. Войдите, используя начальную учетную запись администратора, которую вы создали при установке портала.
  4. Для учетной записи LDAP, которую вы будете использовать для администрирования портала, измените роль на Администратор (Administrator).
  5. Выйдите из веб-сайта.

Когда вы зашли в систему под учетной записью LDAP, вы сможете теперь подключиться к вашему порталу через URL для Web Adaptor и администрировать портал.

Отмена прав или удаление начальной учетной записи администратора

Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя (User) или удалить ее. Более подробно см. в разделе О начальной учетной записи администратора.

Запрет создания собственных учетных записей для пользователей

После настройки безопасного доступа к порталу вы можете отключить кнопку Создать учетную запись (Create an account) и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все пользователи портала используют корпоративные учетные данные: создать дополнительные учетные записи будет нельзя.

Выполните следующие шаги, чтобы запретить создание пользователями собственных учетных записей:

Шаги:
  1. Перейдите в папку <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline и откройте config.js в текстовом редакторе.
  2. Найдите параметр showSignUp и измените его значение на false.
  3. Сохраните и закройте файл.
  4. Чтобы применить изменения, перезагрузите портал.
  5. После перезапуска портала очистите кэш браузера (включая cookies), чтобы увидеть изменения на веб-сайте портала.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014