Вход в личный кабинет Добавление на портал корпоративных учетных записей
По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.
Добавьте учетные записи на портал одним из следующих методов:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
После того как вы добавите учетные записи и выполните перечисленные ниже шаги, пользователи смогут входить в организацию и работать с ее ресурсами.
Запрет создания собственных учетных записей пользователями
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.
Настройка arcgis web adaptor для работы с iwa
Чтобы настроить ArcGIS Web Adaptor на использование IWA, выполните следующие действия:
Настройка дополнительных параметров хранилища аутентификаций
При необходимости вы можете изменить дополнительные параметры конфигурации хранилища аутентификаций с помощью API администрирования каталогов ArcGIS Portal. Эти параметры включают ограничение на автоматическое обновление групп при входе на портал пользователя, относящегося к конкретной организации, установку интервала обновления участия, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.
Настройка сквозной авторизации при использовании веб-фермы
Перед прочтением данной статьи необходимо ознакомиться с инструкциями по настройке веб-фермы и по настройке сквозной авторизации (про настройку для ELMA3 читайте в справке по ELMA3, по настройке для ELMA4 версии 4.1.0 и выше читайте в справке по ELMA4, по настройке для ELMA4 ниже версии 4.1.0 читайте в Базе знаний).
Для примеров настройки будем считать, что у нас есть:
Предварительные действия:
Для настройки необходимо сделать следующее:
1. Настроить ферму веб-серверов в соответствии с инструкцией (https://www.vhod-v-lichnyj-kabinet.ru/kb/article-694.html) и убедиться в ее работоспособности.
2. Настроить сквозную авторизацию в соответствии с инструкцией. При этом необходимо изменить следующие настройки, чтобы обеспечить сквозную авторизацию на ферме серверов:
- в диалоге выбора поставщиков Windows-авторизации поставить на 1-е место Negotiate и нажать ОК:
- перейдите по ссылке Дополнительные параметры в правом меню и в открывшемся диалоговом окне установите флаг в поле Включить проверку подлинности в режиме ядра и нажмите Ок:
- далее перейти в раздел «Редактор конфигураций» добавленного приложения SSPI;
- затем в выпадающем списке выбрать раздел «system.webServer -> security -> authentication -> windowsAuthentication»;
- в настройках для параметров authPersistNonNTLM, authPersistSingleRequest, enabled, useAppPoolCredentials и useKernelMode установить значение «True»;
3. В дополнительных настройках пулов приложений указать запуск от имени mycompanyelma_user:
- для серверов ELMA («elma1» и «elma2») – у пула сайта ELMA (для Корпоративной редакции по умолчанию «ELMA3-Enterprise»).
4. Для веб-сайта по умолчанию («Default Web Site») на стороне контроллера (сервер «elma») нужно включить анонимную авторизацию (остальные типы авторизации выключить). Для этого необходимо перейти в раздел «Проверка подлинности» данного сайта и оставить включенным только пункт «Анонимная проверка подлинности».
5. Следующим шагом является настройка пула приложений IIS. В дополнительных настройках пулов приложений укажем запуск от имени mycompanyelma_user:
- для контроллера (сервер «elma») – у пула по умолчанию (DefaultAppPool);
6. Установить SPN для каждого сервера ELMA и контроллера (привязать их адреса к пользователю, под учетной записью которого будут работать пулы приложений). Сделать это можно либо через команду SETSPN (выполнять в командной строке), либо через консоль управления «Редактирование ADSI» (adsiedit.msc).
Пример использования командной строки:
SETSPN -S HTTP/elma.mycompany.com mycompanyelma_user
SETSPN -S HTTP/elma1.mycompany.com mycompanyelma_user
SETSPN -S HTTP/elma2.mycompany.com mycompanyelma_user
Пример использования консоли управления «Редактирование ADSI»:
Находим в дереве «CN=Users» пользователя elma_user и в контекстном меню нажимаем «Свойства».
В появившемся окне на вкладке «Редактор атрибутов» необходимо найти атрибут «servicePrincipalName», нажать «Изменить» и добавить туда имена всех серверов ELMA, а также имя контроллера.
7. Проверить работу сквозной авторизации сначала на каждом из серверов, а затем через сервер контроллера.
На следующем шаге необходимо настроить делегирование Kerberos в AD. Для этого для контроллера необходимо добавить тип службы http и указать имена серверов фермы, а на серверах фермы – добавить тип службы http и указать имя контроллера:
Поэтому необходимо убедиться, что в домене нет повторяющихся имен. Для этого можно запустить cmd.exe и выполнить команду: setspn /x
Если дубликаты будут найдены, их необходимо будет удалить.
После этого производится настройка файла подключения к базе. Для этого следует открыть файл Configuration.config и добавить в него строку:
Также изменения необходимо внести в файл Web.config.xslt. В файл добавим строку:
Данную настройку не требуется производить для версий системы ELMA, начиная с 3.11 и выше!
Для работы программы ELMA Agent с Kerberos, необходимо первый раз запустить его с параметром USINGKERBEROSONWFBALANCE=True.
Настройки для работы с Kerberos произведены. Далее следовать п. 7.
Обновление хранилища аутентификаций портала
Затем обновите хранилище аутентификаций вашего портала, чтобы использовались учетные записи и группы Windows Active Directory.
Проверка доступности портала с помощью iwa
Чтобы проверить, используя IWA, есть ли доступ к порталу, выполните следующие действия: