Использование LDAP и PKI для безопасного доступа к порталу
Вы можете использовать публичную инфраструктуру ключей (PKI) для обеспечения безопасности доступа к вашему порталу с применением упрощенного протокола доступа к каталогам, Lightweight Directory Access Protocol (LDAP), для аутентификации пользователей.
В следующих разделах описывается установка Portal for ArcGIS и ArcGIS Web Adaptor (Java Platform) для использования PKI. Вам следует выполнить все шаги с точным соблюдением приведенного порядка.
В этих шагах подразумевается, что вы уже установили ArcGIS Web Adaptor (Java Platform) и Portal for ArcGIS и настроили Web Adaptor на вашем портале.
Настройка Portal for ArcGIS для использования пользователями LDAP
Прежде всего настройте ваш портал для работы исключительно с SSL. Это можно сделать на странице Безопасность (Security) веб-сайта портала.
- Войдите на веб-сайт портала от имени администратора портала.
- Щелкните Редактировать настройки (Edit Settings) на странице Моя организация (My Organization).
- Щелкните Безопасность (Security).
- Отметьте опцию Разрешить доступ к порталу только с использованием SSL (Allow access to the portal through SSL only).
- Нажмите Сохранить (Save), чтобы применить изменения.
Примечание:Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сайте аутентификацию веб-уровня, вам потребуется отключить аутентификацию на веб-уровне (basic или digest) и разрешить анонимный доступ на ArcGIS Web Adaptor, настроенному на сайт, перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Далее обновите хранилище аутентификаций вашего портала, чтобы использовался LDAP организации.
- Войдите в ArcGIS Portal Directory под учетной записью с правами администратора. Адрес URL имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
- Щелкните Безопасность (Security) > Конфигурация (Config) > Обновить хранилище аутентификаций (Update Identity Store).
- Поместите конфигурацию JSON для LDAP в текстовое поле Хранилище конфигурации пользователя (в формате JSON) (User store configuration (in JSON format)).
Вы можете скопировать приведенный текст и изменить информацию с учетом настроек вашего сайта:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "userEmailAttribute": "email", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "dn" } }В большинстве случаев, вам будет необходимо изменить только значения для параметров userSearchAttribute, user, userPassword и ldapURLForUsers. userSearchAttribute является значением параметра Предмет (Subject) сертификата PKI. Если ваша организация использует другой атрибут в сертификате PKI, например, электронную почту, то вам необходимо обновить userSearchAttribute для соответствия параметру Предмет (Subject) в сертификате PKI.
URL для вашего LDAP должен предоставляться администратором LDAP. Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде текста, он будет зашифрован при сохранении в директории конфигурации портала и при просмотре.
- После того как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию (Update Configuration) для сохранения изменений.
Когда вы нажмете Обновить конфигурацию (Update Configuration), ваш портал перезагрузится автоматически. Это может занять несколько минут.
Установка аутентификации PKI на веб-адаптере вашего портала
LDAP требует аутентификацию на уровне веб-сервера, и она должна выполняться на ArcGIS Web Adaptor (Java Platform). Web Adaptor использует сервер приложений Java, чтобы проводить аутентификацию пользователей и предоставлять Web Adaptor имя пользователя учетной записи. Получив имя учетной записи, он передает его порталу.
По окончанию установки и настройки Web Adaptor (Java Platform) для работы с вашим порталом, вам потребуется настроить область LDAP на вашем сервере приложений Java, а также настроить аутентификацию для Web Adaptor на базе PKI и сертификатов пользователей. Для инструкций обратитесь к документации по серверу приложений Java или проконсультируйтесь с системным администратором.
Если вы собираетесь добавить на ваш портал сайт ArcGIS Server и хотите использовать на сервере аутентификацию PKI, такую как LDAP, вам потребуется отключить аутентификацию на веб-уровне на вашем сайте ArcGIS Server и разрешить анонимный доступ перед добавлением его на портал. Хотя это может показаться нелогичным, но это необходимо, чтобы сайт был свободен для интеграции с порталом и мог считать пользователей и роли из портала. Если на сайте ArcGIS Server не используется аутентификация на веб-уровне, никаких действий не требуется. Подробные инструкции по добавлению сервера к вашему порталу см. в разделе Интеграция сайта ArcGIS Server с порталом.
Назначение учетной записи LDAP администраторских прав
Способ, которым вы будете добавлять учетную запись LDAP к вашему порталу, будет зависеть от того, настроен ли ваш портал на добавление корпоративных учетных записей автоматически, когда пользователи входят, или учетные записи должны добавляться из ArcGIS Portal Directory. Для получения информации об этой настройке см. раздел Настройка создания учетной записи.
Если ваш портал настроен на добавление корпоративных учетных записей автоматически, откройте главную страницу веб-сайта; при этом вы должны войти под учетной записью LDAP, которую вы хотите использовать в качестве администратора портала. В зависимости от настроек браузера вам может потребоваться указать данные учетной записи.
Если вы регистрируете учетные записи для корпоративных пользователей вручную
Если ваш портал настроен на добавление учетных записей с помощью инструмента CreateUsers, следуйте инструкциям в разделе Добавление пользователей портала для добавления учетной записи LDAP в качестве администратора портала. При регистрации корпоративной учетной записи убедитесь, что выбрана роль Администратор (Administrator).
Если учетные записи автоматически регистрируются для корпоративных пользователей
Если ваш портал настроен так, чтобы корпоративные учетные записи регистрировались в портале при первом входе пользователя на портал, то вам понадобится войти в портал под учетной записью LDAP, чтобы одновременно её зарегистрировать, и затем войти на портал под первичной учетной записью администратора и назначить пользователю LDAP роль администратора.
При первом добавлении учетной записи в портал, ей назначается роль Пользователя. Только администратор может изменить роль учетной записи; следовательно, вы должны войти на портал, используя начальную учетную запись администратора, и назначить учетной записи LDAP роль Администратора. После установки для вашего Web Adaptor аутентификации LDAP, вы должны подключиться к порталу через порт 7443, а не использовать URL для Web Adaptor, чтобы войти под начальной учетной записью администратора.
- Подключитесь к веб-сайту портала, войдя с использованием учетной записи LDAP. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, и эта учетная запись будет зарегистрирована на портале.
- После того как учетная запись LDAP была добавлена к вашему порталу, откройте браузер и подключитесь к веб-сайту портала через порт 7443, например, используя https://portal.domain.com:7443/arcgis/home.
- Войдите, используя начальную учетную запись администратора, которую вы создали при установке портала.
- Для учетной записи LDAP, которую вы будете использовать для администрирования портала, измените роль на Администратор (Administrator).
- Выйдите из веб-сайта.
Когда вы зашли в систему под учетной записью LDAP, вы сможете теперь подключиться к вашему порталу через URL для Web Adaptor и администрировать портал.
Отмена прав или удаление начальной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя (User) или удалить ее. Более подробно см. в разделе О начальной учетной записи администратора.
Запрет создания собственных учетных записей для пользователей
После настройки безопасного доступа к порталу вы можете отключить кнопку Создать учетную запись (Create an account) и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все пользователи портала используют корпоративные учетные данные: создать дополнительные учетные записи будет нельзя.
Выполните следующие шаги, чтобы запретить создание пользователями собственных учетных записей:
- Перейдите в папку <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline и откройте config.js в текстовом редакторе.
- Найдите параметр showSignUp и измените его значение на false.
- Сохраните и закройте файл.
- Чтобы применить изменения, перезагрузите портал.
- После перезапуска портала очистите кэш браузера (включая cookies), чтобы увидеть изменения на веб-сайте портала.