Windows autentizace a Portal for ArcGIS

Standardní možnosti přihlašování do Portal for ArcGIS jsou sice uživatelsky přívětivé, nicméně se jedná o další účet, který musí administrátor organizace spravovat, a z hlediska uživatele je dalším účtem, pro který je nutné pamatovat si jméno a heslo. Pro mnoho organizací a uživatelů je tak jednodušší spojit uživatelské jméno z Portal for ArcGIS se jménem a heslem, kterým se uživatel přihlašuje do prostředí Windows. Navíc při použití Integrované Windows autentizace (zkráceně IWA) odpadne nutnost manuálního přihlašování. Uživatel je totiž přihlášen automaticky, neboť přihlašování je záležitostí služby Active Directory, která přihlášení na pozadí předá Portálu bez nutnosti zásahu uživatele.

Úvodem je potřeba upozornit na problém, který může v některých konfiguracích nastat. V případě, kdy prohlížeč bude stále vyžadovat přihlášení i přes IWA autentizaci, je potřeba adresu webového serveru přidat do seznamu důvěryhodných serverů.

Pro použití IWA je nutné používat ArcGIS Web Adaptor na IIS. Samotné nastavení lze rozfázovat do čtyř kroků, které si dále rozebereme.

Nastavení HTTPS pro veškerou komunikaci s Portal for ArcGIS

• Pomocí našeho místního administrátorského účtu se přihlásíme do portálu na adrese https://<jméno počítače>.doména.cz/<web adaptor>/home.
• Přejdeme na kartu Moje Organizace – Upravit nastavení – Zabezpečení.
• Zde zaškrtneme položku Povolit přístup do Portálu pouze prostřednictvím HTTPS a nastavení Portálu uložíme.

Nastavení skladu uživatelů pro Portal for ArcGIS

• Pomocí našeho místního administrátorského účtu se přihlásíme do portálu na adrese https://<jméno počítače>.doména.cz/<web adaptor>/portaladmin.
• Přejdeme na kartu Security – Config – Update Identity Store.
• Do pole pro User store configuration (in JSON format) vložíme níže uvedený JSON blok, který nastavuje připojení k Active Directory. Hodnoty upravíme podle konkrétního portálu:

{
"type": "WINDOWS",
"properties": {
"userPassword": "heslo k mému účtu",
"isPasswordEncrypted": "false",
"user": "moje doména\\můj účet",
"userFullnameAttribute": "cn",
"userEmailAttribute": "mail",
"caseSensitive": "false"
}
}

Poznámka: Pokud chceme přebírat atributy Jméno a Příjmení uživatele z jiného atributu Active Directory, je nutné změnit hodnotu „cn“ na požadovaný atribut. Stejně tak pokud chceme přebírat hodnotu e-mailu, je nutné změnit hodnotu „email“. E-mail je v případě portálu použit jako vazební atribut mezi Active Directory a skladem uživatelů portálu.

• Po dokončení nastavení stiskneme tlačítko Update Configuration.
• V některých situacích můžeme chtít vytvořit skupiny uživatelů Portálu na základě existujících skupin v Active Directory. Potom tedy do pole Group store configuration (in JSON format) vložíme níže uvedený JSON, upravený podle konkrétního Portálu:

{
"type": "WINDOWS",
"properties": {
"isPasswordEncrypted": "false",
"userPassword": "moje heslo",
"user": "doména\\účet který má přístup k náhledu jmen skupin systému Windows"
}
}

• Po dokončení nastavení stiskneme tlačítko Update Configuration.
• Je-li vše nastaveno podle našich potřeb, stiskneme tlačítko Update Configuration na hlavní stránce nastavení.

Portál se nyní restartuje. Pokud však provozujeme Portál v módu vysoké dostupnosti, je třeba restartovat oba počítače na ArcGIS Server Site manuálně.

Přidání uživatelů v Portal for ArcGIS

• Otevřeme stránku https://<jméno počítače>.doména.cz/<web adaptor>/home, přihlásíme se pomocí našeho místního administrátorského účtu a přejdeme na kartu Moje Organizace.
• Zde klikneme na položku Přidat členy – Přidávat členy na základě existujících podnikových uživatelů.
• Do položky Uživatelské jméno můžeme zadat celé přesné jméno nebo alespoň jeho část. Kliknutím na ikonu lupy se provede vyhledávání. Z nabídky dostupných účtu vybereme ten požadovaný a stiskneme tlačítko Vybrat uživatele.
• V dalším kroku vybereme roli uživatele a stiskneme tlačítko Zkontrolovat přidané.
• Po kontrole údajů stiskneme tlačítko Přidat uživatele.

Konfigurace Web Adaptoru

Proces Windows autentizace neprovádí portál, ale server Internet Information Services, který je proto nutné nastavit, aby ověření uživatele provedl.

• Spustíme si Správce Internetové informační služby (příkazem inetmgr.exe v příkazové řádce Windows).
• V záložce Připojení projdeme přes <jméno počítače> – Weby – Default Web Site – <jméno našeho web adaptoru>.
• Klikneme na něj a v pravém okně se nám objeví nabídka možností.
• Dvakrát klikneme na položku Ověřování.

• Označíme položku Anonymní přístup a v pravém sloupci klikneme na možnost Zakázat.
• Označíme položku Ověřování systému Windows a v pravém sloupci klikneme na možnost Povolit.

Nyní máme vše nastaveno a zbývá jen ověřit funkčnost. Nejprve odhlásíme z portálu našeho lokálního uživatele a pro jistotu smažeme cache prohlížeče. V nové kartě prohlížeče zadáme URL adresu našeho portálu https://<jméno stroje>.doména.cz/<web adaptor>/home. Pokud máme vše správně, budeme nyní ihned přesměrování na uvítací stránku portálu, kde v její pravé horní části uvidíme své uživatelské jméno.

Nyní máme vše nastaveno a zbývá již jen ověřit funkčnost. Nejprve odhlásíme z portálu našeho místního uživatele a pro jistotu smažeme cache prohlížeče. V nové kartě prohlížeče zadáme URL adresu našeho portálu (https://<jméno počítače>.doména.cz/<web adaptor>/home). Pokud máme vše správně, budeme ihned přesměrování na úvodní stránku portálu, kde v její pravé horní části uvidíme své uživatelské jméno.

Celý postup je také možné sledovat na výukovém videu Esri: Configuring Portal for ArcGIS with Integrated Windows Authentication,nebo v dokumentaci zde: https://enterprise.arcgis.com/en/portal/latest/administer/windows/use-integrated-windows-authenticat...