配置 ArcGIS Server 安全性

可以使用 ArcGIS Server 管理器配置 ArcGIS Server 安全性设置。安全性设置定义了如何管理用户和角色以及如何对用户进行身份验证。要配置 ArcGIS Server 安全性,必须以主站点管理员身份或具有管理访问权限的用户身份登录到管理器。如果已禁用主站点管理员帐户,则必须在重新启用主站点管理员帐户后才可以更改 ArcGIS Server 安全性。

管理器中提供了三个选项用于配置如何管理用户和角色:

有关如何管理自定义标识存储中的用户和角色的信息,请参阅使用 Java 设置自定义标识存储

管理器中提供了两个选项用于指定如何在访问 GIS Web 服务时对用户进行身份验证:

管理 ArcGIS Server 用户和角色

来自 ArcGIS Server 内置存储的用户和角色

默认情况下,采用来自内置存储的用户和角色实施 ArcGIS Server 安全性保护。选择该选项后,将在配置存储中以基于文件的格式保留用户和角色信息。只有 ArcGIS Server 才能访问和管理内置存储中的用户和角色。因此,将安全性配置为使用内置存储后,会使用基于 ArcGIS 令牌的身份验证对用户进行身份验证。

来自现有企业系统的用户和角色

ArcGIS Server 能够采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和角色实施安全性保护。ArcGIS Server 将活动目录或 LDAP 服务器用作只读存储。您可以在管理器中查看来自活动目录或 LDAP 服务器的用户和角色,但不能添加、编辑或删除用户和角色。将活动目录或 LDAP 用作用户存储时,可以由 ArcGIS Server 或 Web 服务器完成用户身份验证。

来自现有企业系统的用户和来自 ArcGIS Server 内置存储的角色

可将 ArcGIS Server 配置为采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和在 ArcGIS Server 内置存储中管理的角色来实施安全性保护。ArcGIS Server 将活动目录或 LDAP 服务器用作只读存储。您可以在管理器中查看活动目录或 LDAP 服务器的用户,但不能添加、编辑或删除用户。也可以使用管理器添加、编辑和删除内置存储中的角色。将活动目录或 LDAP 用作用户存储时,可以由 ArcGIS Server 或 Web 服务器完成用户身份验证。

对 ArcGIS Web 服务的请求进行身份验证

通过 ArcGIS Server,您可以选择如何在访问受保护的 GIS Web 服务时对用户进行身份验证。但是,对 ArcGIS Server 管理器和管理员目录的访问将始终通过基于 ArcGIS 令牌的身份验证实现。

ArcGIS Server 身份验证

在 GIS 服务器层执行身份验证时,将使用 Esri 专有的基于 ArcGIS 令牌的身份验证机制对用户进行身份验证。有关基于 ArcGIS 令牌的身份验证工作原理的信息,请参阅关于 ArcGIS 令牌。当 GIS Web 服务主要用于采用 ArcGIS Server Web API 构建的客户端应用程序中时,ArcGIS Server 身份验证将是最常见的验证方法。

Web 服务器身份验证

通过 Web 服务器进行身份验证时,您可以充分利用 Web 服务器提供的标准身份验证机制,例如 HTTP Digest 身份验证或 PKI 客户端认证身份验证等。与令牌身份验证不同,这些机制通过 ArcGIS 服务的第三方客户端进行识别。当构建使用单点登录或自定义身份验证机制的 Web 应用程序时,通常还会使用 Web 服务器身份验证。

Web 服务器身份验证要求在 Web 服务器上安装 ArcGIS Web Adaptor。配置 Web 服务器身份验证后,ArcGIS Server 将指派 Web Adaptor 进行身份验证。用户成功通过身份验证后,ArcGIS Web Adaptor 会对用户信息进行加密并追加到请求中,然后转发至 ArcGIS Server。ArcGIS Server 接收用户信息并进行解密,以验证用户是否有权访问所请求的 GIS Web 服务。

无论在管理器中配置 Web 服务器身份验证之前或之后,均可以在 Web 服务器上安装 Web Adaptor。有关 Web Adaptor 的详细信息以及如何将其安装到 Web 服务器的说明,请参阅关于 ArcGIS Web Adaptor

支持的标识存储配置

身份验证机制

支持的标识存储配置

ArcGIS Server 身份验证

  • 内置用户和角色
  • 活动目录或内置存储中的活动目录用户和角色
  • LDAP 或内置存储中的 LDAP 用户和角色
  • 自定义存储中的用户和自定义或内置存储中的角色

Web 服务器身份验证

内置了 Web 服务器或扩展后支持 Web 服务器的任意标识存储

9/15/2013