使用集成的 Windows 身份验证确保 Web 服务的安全性
本教程介绍了如何使用集成的 Windows 身份验证来确保 ArcGIS Web 服务的安全性。集成的 Windows 身份验证需要在 Microsoft Windows 活动目录服务器中管理用户和角色。如果希望 GIS 用户可以充分利用他们在网络中的已有帐户,这不失为一种方便的方法。
如果用户具有 Windows 域帐户并可通过本地网络访问服务,则可使用集成的 Windows 身份验证。
集成 Windows 身份验证不受 Internet 支持,并且需要 ArcGIS Web Adaptor (IIS) 的安装和配置。有关详细信息,请参阅关于 ArcGIS Web Adaptor。Web Adaptor 会执行身份验证,同时 ArcGIS Server 会授权访问 Web 服务。
要使用集成的 Windows 身份验证来确保 ArcGIS Web 服务的安全性,请执行以下步骤:
- 配置 ArcGIS Server 以使用 Windows 活动目录用户和角色。
- 查看用户和角色。
- 设置服务权限。
- 配置 ArcGIS Web Adaptor (IIS) 以使用 Windows 身份验证。
- 对受保护的服务进行访问测试。
配置 ArcGIS Server 安全性以使用 Windows 活动目录用户和角色
要支持集成的 Windows 身份验证,请配置 ArcGIS Server 以从 Windows 活动目录服务器中检索用户和角色:
- 打开 ArcGIS Server 管理器并以主站点管理员或具有管理访问权限的用户的身份登录。如需此步骤的帮助,请参阅登录管理器。
- 单击安全性 > 设置。
- 单击配置设置旁边的编辑按钮 。
- 在用户和角色管理 页面中,选择现有企业系统(LDAP 或 Windows 域)中的用户和角色选项,然后单击下一步。
- 在企业存储类型 页面中,选择 Windows 域选项,然后单击下一步。
- 在 Windows 域凭据 页面中,输入具有域读取权限的用户的凭据,然后单击下一步。
- 在 身份验证层 页面中,选择 Web 层。
- 查看所选内容的摘要信息。单击完成应用和保存安全性配置。
查看用户和角色
将 Windows 活动目录域配置为用户和角色存储后,查看用户和角色以确保所检索的用户和角色正确无误。要添加、编辑或删除用户和角色,您需要使用活动目录服务器中所提供的工具。
- 在 ArcGIS Server 管理器中,单击安全性 > 用户。
- 验证是否已按预期从 Windows 域服务器中检索用户。
- 单击角色查看从 Windows 域服务器中检索的角色。
- 验证是否已按预期检索角色。单击角色旁边的编辑按钮检查角色成员。根据需要修改角色类型值。有关角色类型的信息,请参阅 ArcGIS Server 安全性工作原理。
设置 ArcGIS Web 服务的权限
配置安全性设置并定义用户和角色后,可设置服务的权限来控制允许访问服务的用户。
ArcGIS Server 使用基于角色的访问控制模型对您的服务器上所托管的 GIS Web 服务的访问权限进行控制。在基于角色的访问控制模型中,访问受保护服务的权限将通过为该服务分配角色来控制。要使用某一受保护的服务,用户必须是已分配了该服务访问权限的角色中的成员。
权限可分配给一个单独的 Web 服务或包含一组服务的父文件夹。如果将权限分配给文件夹,则该文件夹内所包含的任何服务都将继承文件夹的权限。例如,如果授予某个角色访问站点(根)文件夹的权限,则属于该角色的所有用户都将拥有访问该站点上托管的所有服务的权限。若要自动覆盖服务从其父文件夹继承的权限,可以编辑该服务并明确移除继承的权限。
要设置服务的权限,请参阅在管理器中编辑权限。
配置 ArcGIS Web Adaptor (IIS) 以使用 Windows 身份验证
将服务配置为使用 Windows 活动目录服务器中的用户和角色后,您需要安装和配置 ArcGIS Web Adaptor (IIS),然后将 IIS 配置为将 Windows 身份验证用作身份验证方法。
- 按照安装 ArcGIS Web Adaptor (IIS) 中的说明安装 Web Adaptor。
- 按照完成安装后配置 Web Adaptor中的说明配置 Web Adaptor。
- 使用 IIS 管理器设置 Web adaptor 的身份验证方法。
- 要打开 IIS 管理器,请单击开始 > 控制面板 > 管理工具 > Internet 信息服务管理器。
- 展开站点下 IIS 管理器中左侧的树状列表。展开默认网站以查找 ArcGIS Web Adaptor (IIS) 应用程序。默认情况下,ArcGIS Web Adaptor (IIS) 会命名为 arcgis。
- 编辑 Web adaptor 的身份验证属性。取消选择匿名身份验证并选择 Windows 身份验证。
- 关闭 IIS 管理器。
对受保护的服务进行访问测试
要测试设置,请标识有权访问包含您的服务的根(站点)文件夹的 Windows 域用户帐户。使用此用户帐户登录 Windows,打开 Web 浏览器并访问 ArcGIS Server WSDL:
http://<Web 适配器主机>/arcgis/services?wsdl
要确定哪个 Windows 域用户有访问根文件夹的权限,请执行以下操作:
- 登录 ArcGIS Server 管理器,然后单击服务。
- 单击站点(根)文件夹旁边的锁按钮 ,并标识被授予访问此文件夹的权限的角色。如果目前所有角色均无权访问,请通过单击添加角色 将访问权限授予至少一个角色。
- 对于具有根文件夹访问权限的角色,单击安全性 > 角色并单击编辑按钮。
- 查看属于该角色成员的用户的列表。