ArcGIS Enterprise için Active Directory Entegrasyonu (Portal for ArcGIS)

ArcGIS Enterprise ile ilgili “ArcGIS Enterprise için Active Directory Entegrasyonu” başlıklı yazımızda, ArcGIS Server ile entegre edebileceğiniz kullanıcı deposu seçeneklerinden biri olan Active Directory (AD) yapısından bahsetmiştik. Bu yazımızda da Portal for ArcGIS ile LDAP ve Active Directory entegrasyonundan bahsedeceğiz.

ArcGIS Enterprise güvenlik yapılandırmasında göz önünde bulundurmanız gereken birincil faktör, portal kullanıcılarınızın ve gruplarının kaynağını belirlemek olacaktır. Kimlik deposu olarak adlandırılan bu kaynak için dilerseniz Portal for ArcGIS ile birlikte gelen yerleşik kimlik deposunu ya da kuruluşunuzun kimlik deposunu kullanabilirsiniz. Kuruluşunuzdaki veya kuruluşunuz dışındaki kullanıcılar ve gruplar, kimlik deposu aracılığıyla yönetilmektedir. Portalınız için kullanacağınız kimlik deposu; portal kullanıcılarına ait hesapların kimlik bilgilerinin nerede saklanacağını, kimlik doğrulama işleminin nasıl gerçekleşeceğini ve grup üyeliklerinin nasıl yönetileceğini ifade etmektedir. Portal for ArcGIS; yerleşik veya kurumsal olmak üzere iki tür kimlik deposunu desteklemektedir.

Yerleşik Kimlik Deposu

Portal for ArcGIS’e öntanımlı olarak gelen kullanıcı deposudur. ArcGIS Enterprise kurulumunu ve yapılandırmasını tamamladıktan sonra portalınıza kolaylıkla kullanıcı ekleyebilir, gruplar oluşturabilir, kullanıcılarınızı bu gruplara atayabilirsiniz. Bunun için portal anasayfanızdaki Hesap Oluştur bağlantısını kullanabilirsiniz. Eğer hesap oluşturma bağlantısı kuruluşunuzun güvenlik politikaları gereği portal yöneticisi tarafından devre dışı bırakılmış ise, üye ekleme işlemi yöneticiler tarafından yapılmalıdır. Bunun için, yönetici olarak portala giriş yaptıktan sonra, “Kuruluş>Üye Ekle” (Organization>Add Members) bağlantısını izleyerek, karşınıza gelen ekrandaki seçeneklerden “Yerleşik portal üyeleri ekleyin” (Add built-in portal members) seçeneğini seçerek ilerleyebilirsiniz. Eklemek istediğiniz kullanıcıya ait gerekli bilgileri doldurarak, yerleşik hesap ekleme işlemini tamamlayabilirsiniz.

ArcGIS Enterprise yapılandırmanız içerisinde, Portal for ArcGIS kurulumunu tamamladıktan sonra, ilk yönetici hesabını oluşturmak için yerleşik kimlik deposunun kullanılması gerekmektedir. Yerleşik kimlik deposu, portalın çalışır duruma gelebilmesi için gerekli olmasının yanı sıra, yazılım geliştirme ve test ortamları için kullanışlı bir seçenektir.

Kurumsal Kimlik Deposu

Kurumsal hesapları ve grupları kullanabilmeniz için tasarlanan Portal for ArcGIS sayesinde, kuruluşunuzun CBS altyapısına erişimi kolaylıkla kontrol altında tutabilirsiniz. Örneğin, LDAP yada Active Directory sunucunuzdaki kimlik bilgilerini kullanarak, portalınıza erişimi denetleyebilirsiniz. Bu sayede Portal for ArcGIS içerisinde kullanıcılarınız için hesap oluşturmanıza gerek kalmayacaktır. Kullanıcılarınız, kurumsal kimlik deponuzdaki hali hazırdaki giriş bilgilerini kullanacaklardır. Ayrıca Portal for ArcGIS; kullanıcılarınıza yeniden şifre girmeden, kurumsal giriş bilgilerini kullanarak tek oturum açma (single sign-on) imkanı sağlamaktadır. LDAP veya Microsoft AD yi kullanarak, portalınıza erişimi güvenli hale getirebilirsiniz. LDAP kullanıyorsanız, kullanıcılarınızın portala giriş işlemleri LDAP sunucunuz tarafından yönetilecektir. Windows Active Directory kullandığınızda da, girişler Microsoft Windows Active Directory üzerinden yönetilecektir.

Portalınızla kurumsal kimlik deposu entegrasyonu için öncelikle, portalınızın kullandığı tüm iletişimi HTTPS üzerinden yapılandırmanız gerekmektedir. Bunun için portalınızda yönetici hesabınızla oturum açarak, “Kuruluş” (Organization) sayfasına geliniz. Bu sayfadaki “Ayarları Düzenle” (Edit Settings) bağlantısını tıklayıp “Güvenlik” (Security) sekmesine geliniz. Bu kısımda portalınızın güvenliği ile ilgili çeşitli ayarlar bulunmaktadır.

Güvenlik ayarları içerisinden “Portala yalnızca HTTPS üzerinden erişime izin ver” (Allow access to the portal through HTTPS only) seçeneğinin karşısındaki onay kutusunu işaretleyin ve “Kaydet” (Save) butonuna basarak değişiklikleri uygulayınız. Artık portalınızın tüm trafiği HTTPS protokolü üzerinden gerçekleşecektir. Kaydet butonuna bastıktan sonra, portalınız arka planda kısa bir süre içerisinde kendisini yapılandıracaktır.

LDAP ile Portal for ArcGIS Entegrasyonu

HTTPS yapılandırmasını tamamladıktan sonra, LDAP kullanıcılarını ve gruplarını kullanmak için portalınızın kimlik deposunu güncelleyebilirsiniz. Bunun için ArcGIS Portal Administrator Dizininde yönetici hesabınızla oturum açınız. Portalınızın yönetici dizinine erişmek için kullanacağınız URL formatı https://<webadaptorsunucusu.domain.com>/<webadaptorismi>/portaladmin şeklindedir. Örneğin: https://cbs.ornekadres.com.tr/portal/portaladmin

Oturum açtıktan sonra “Security>Config>Update Identity Store” yolunu takip ediniz. Karşınıza gelen sayfadaki “User store configuration (in JSON format)” metin kutusuna, kuruluşunuzun LDAP kullanıcı yapılandırma bilgilerini JSON formatında yapıştırabilirsiniz. Dilerseniz aşağıdaki örnek metni, kuruluşunuza göre uyarlayarak kullanabilirsiniz.

{
"type": "LDAP",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "uid=admin,ou=system",
"userFullnameAttribute": "cn",
"ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
"userEmailAttribute": "mail",
"usernameAttribute": "uid",
"caseSensitive": "false",
"userSearchAttribute": "uid"
}
}

LDAP entegrasyonu esnasında genellikle, “user”userPassword” ve ldapURLForUsers” parametrelerini düzenlemeniz yeterli olacaktır. LDAP URL’sini kuruluşunuzun bilgi işlem biriminden yada LDAP yöneticinizden temin edebilirsiniz. Kullanıcı parametresi için kullanılacak olan hesabın izinleri, kuruluş bünyesindeki kullanıcıların e-posta adreslerini ve kullanıcı adlarını arayabilecek şekilde yapılandırılmış olması gerekmektedir. Şifre parametresi kısmına yazacağınız açık metin, “Update Configuration” butonuna bastıktan sonra şifrelenmiş bir şekilde saklanacaktır. Eğer LDAP sunucunuz büyük-küçük harfe duyarlı olarak yapılandırılmış ise, “caseSensitive”: “false”parametresini “caseSensitive”: “true”şeklinde değiştirmelisiniz.

Yukarıdaki örnekte, LDAP URL’si belirli bir OU (kullanıcılar) içindeki kullanıcıları kapsamaktadır. Kullanıcılar birden fazla OU’da mevcutsa, LDAP URL’si gerekirse daha yüksek bir OU’yu veya kök (Root) seviyesini gösterebilir. Bu durumda, URL adresi şöyle görünür: “ldapURLForUsers”: “ldaps://bar2:10636/dc=example,dc=com”,

Eğer LDAP bünyesindeki mevcut gruplarınızı kullanarak portalınızda gruplar oluşturmak istiyorsanız, “Group store configuration (in JSON format)” metin kutusuna, kuruluşunuzun LDAP yapılandırma bilgilerini JSON formatında girebilirsiniz. Kolaylık olması bakımından dilerseniz aşağıdaki örnek metni kullanarak LDAP sunucunuzdaki bilgilere göre düzenleyebilirsiniz. Kullanıcı grupları için portalınızın yerleşik gruplarını kullanmak isterseniz, bu kısımda herhangi bir değişiklik yapmayınız.

{
"type": "LDAP",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "uid=admin,ou=system",
"ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
"ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
"usernameAttribute": "uid",
"caseSensitive": "false",
"userSearchAttribute": "uid",
"memberAttributeInRoles": "member",
"rolenameAttribute":"cn"
}
}

Active Directory ile Portal for ArcGIS Entegrasyonu

Portalınızın kimlik deposunu Active Directory ile entegre etmek içinse, yukarıdaki şekilde Portal Admin Directory arayüzüne eriştikten sonra, yönetici ayrıcalıklarına sahip hesabınızla oturum açınız. Oturum açma işleminden sonra “Security>Config>Update Identity Store” yolunu takip ediniz. Karşınıza gelen sayfadaki “User store configuration (in JSON format)” metin kutusuna, kuruluşunuza ait Active Directory kullanıcı yapılandırma bilgilerini aşağıdaki örnekte gösterildiği şekilde JSON formatında giriniz.

{
"type": "WINDOWS",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "domaininiz\\kullanici_adi",
"userFullnameAttribute": "cn",
"userEmailAttribute": "mail",
"caseSensitive": "false"
}
}

Çoğu durumda, “userPassword” ve “user” parametrelerini değiştirmeniz yeterli olacaktır. Windows Actice Directory yapılandırmanız büyük-küçük harfe duyarlı ise, “caseSensitive”: “false” parametresini “caseSensitive”: “true” şeklinde değiştirmeyi unutmayın. Eğer mümkünse, portal içerisinde kullanacağınız Active Directory hesabına ait şifrenin süresini sona ermeyecek şekilde ayarlayabilirsiniz.

Active Directory bünyesindeki mevcut gruplarınızı portalınıza aktarmak isterseniz, “Group store configuration (in JSON format)” metin kutusuna,Windows Active Directory yapılandırma bilgilerini girmeniz yeterli olacaktır. Kullanıcı parametresi kısmında tanımlayacağınız hesabın yetkilerini, ağdaki Windows gruplarını arayacak şekilde yapılandırdığınızdan emin olunuz. Yapılandırma bilgilerinizi aşağıdaki örnekte gösterildiği şekilde düzenleyebilirsiniz. Eğer kullanıcı grupları için portalınızın yerleşik kimlik deposunu kullanmak isterseniz, metin kutusundaki tüm bilgileri silip bu adımı atlayabilirsiniz.

{
"type": "WINDOWS",
"properties": {
"isPasswordEncrypted": "false",
"userPassword": "sifrenizi_giriniz",
"user": "domaininiz\\kullanici_adi"
}
}

İhtiyacınıza uygun şekilde gerekli düzeltmeleri yaptıktan sonra, değişikliklerin etkili olabilmesi için “Update Configuration” butonuna basarak, yapılandırma işlemini tamamlayabilirsiniz. Kimlik deposu yapılandırmasında isteğe bağlı olarak kullanabileceğiniz çeşitli ek parametreler de bulunmaktadır. Bu ek parametreler hakkında detaylı bilgi için Yardım Dokümanını inceleyebilirsiniz.

Portal Katmanlı Kimlik Deposunu Yapılandırma

Portalınızı Active Directory veya LDAP ile yapılandırdıktan sonra, Web Adaptor üzerinden anonim erişimi etkinleştirmeniz gerekmektedir. Kullanıcılarınız portal oturum açma sayfasına erişim sağladığında, kurumsal kimlik bilgilerini veya yerleşik kimlik bilgilerini kullanarak oturum açabileceklerdir. Kurumsal kullanıcılar, portala giriş yaparken her seferinde kullanıcı bilgilerini gireceklerdir. Kullanıcılar portalda oturum açtıktan sonra, üye oldukları gruplarla, kendileriyle veya kuruluşunuzla paylaşılmış olan içeriklere erişebilirler. Anonim kullanıcılar ise sadece, herkesle paylaşılmış olan içeriklere erişebileceklerdir.

Kurumsal kimlik bilgilerinizi kullanarak portal’da oturum açmak için, öncelikle internet tarayıcınızdan portalınızın adresini yazarak portal ana sayfasına ulaşınız. Giriş kısmında aşağıdaki örneklere göre, kendi kurumsal kimlik bilgilerinizi kullanınız.

  • Portalı Active Directory’niz ile kullanıyorsanız; “domaininiz\kullanıcıadınız” veya “kullanıcıadı@domaininiz” şeklinde giriş yapabilirsiniz. Kullanıcılar ne şekilde giriş yaparsa yapsın, portal web sitesindeki kullanıcı adı her zaman “kullanıcıadı@domaininiz” şeklinde görüntülenir.
  • Eğer portalı LDAP ile kullanıyorsanız; “kullanıcıadı” şeklinde giriş yapabilirsiniz. Portal web sitesindeki kullanıcı hesabı da yine “kullanıcıadı” şeklinde görüntülenecektir.

Portalınıza Kurumsal Hesaplarınızı Ekleme

Kuruluşunuzdaki kullanıcılar, portal web sitesine erişebilir fakat yalnızca kuruluştaki herkesle paylaşılmış olan içerikleri görüntüleyebilirler. Bunun nedeni kurumsal hesapların henüz portala eklenmemesi ve erişim ayrıcalıklarının verilmemesidir. Aşağıdaki yöntemlerden dilediğinizi kullanarak portalınıza hesap ekleyebilirsiniz.

Hesaplar eklendikten sonra, kullanıcılar kuruluşunuzun portalına giriş yapabilir ve kendileriyle veya üye oldukları gruplarla paylaşılmış içeriğe erişebilirler. Hesap ekleme işlemleri esnasında; kurumsal hesaplarınızdan en az bir tanesine, yönetici rolü atayabilirsiniz. Alternatif bir portal yönetici hesabı oluşturduktan sonra, ilk yönetici hesabını kullanıcı rolüne atayabilir veya bu hesabı tamamen silebilirsiniz.

Faydalı Bağlantılar:

Bu yazının hazırlanmasında katkıda bulunan ekip arkadaşım Tuğba Oğuz'a teşekkürlerimle...

Esri Türkiye, 2018
Önceki Yazı
ArcGIS Pro ile Görünürlük Analizi
Yazıyı görüntüle
Sonraki Yazı
ArcGIS Maps for Adobe Creative Cloud ile Haritanızı Oluşturun
Yazıyı görüntüle