配置安全性设置
要配置安全设置,需要使用具有管理员角色的组织帐户。
组织管理员可确定是否所有事务都需要 SSL、是否允许匿名访问,以及是否允许在组织外部进行共享和搜索。您也可以设置企业登录 (beta)。
要配置安全性设置,请执行以下步骤。
- 验证您是否登录以及是否是组织的管理员。
- 单击顶端通栏中的我的组织链接。将打开组织页面。
- 单击编辑设置按钮。
- 单击页面左侧的安全性链接。
- 选中后仅允许通过 SSL 访问组织。
安全套接字层 (SSL) 确保在 Internet 上进行通信期间对组织数据以及任何允许访问您数据的临时标识令牌进行加密。打开 SSL 会影响站点的性能。
SSL 适用于仅可访问其内部内容和其他 SSL 组织内容的组织。组织也可以启用 SSL 并让其组织内部的用户访问该组织外部的其他非 HTTP 内容。不过,并不是所有应用程序都支持使用具有混合内容的 Web 地图,这将使用户在不同地图查看器中的体验受到影响。ArcGIS Explorer Online 和其他 Microsoft Silverlight 应用程序不支持混合内容。例如,在 ArcGIS Explorer Online 中,如果您尝试以 SSL 组织成员的身份打开 Web 地图,且地图包含 HTTP 图层,那么这些图层可能会显示为已损坏。有关 SSL 的详细信息,请参阅保护托管服务。
- 选中后则允许匿名访问组织的 URL。
如果保持未选中状态,那么匿名用户将无法使用组织的私有 URL 访问任何资源。如果启用匿名访问(选中复选框),确保将为站点配置所选的组共享给大众;否则,匿名用户将无法正常查看或访问这些组的公共内容。有关设置站点配置组的详细信息,请参阅关于管理组织。
- 选中共享和搜索指定成员可向组织外共享内容以及可在组织外搜索内容。
如果限制成员只能在组织内进行共享,则他们无法在网站中嵌入其 Web 地图或组,也无法与公众共享其 Web 应用程序和其他项目。管理员仍可与公众共享其成员的项目。例如,管理员可以公开成员的 Web 地图并将其嵌入到网站中。
如果您禁用了对组织的匿名访问,您可以通过与每个人(公众)共享项目并将项目的 URL 从组织的私有 URL 更改为公众 ArcGIS Online URL (www.arcgis.com) 的方式实现对 Web 地图、应用程序和组的共享。例如,您可以通过将 URL 从 http://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 更改为 http://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 的方式与匿名用户共享组织中的 Web 地图。
如果您已经对成员在组织外部共享项目进行了限制,则用户和发布者将不会看到可用于与每个人(公共)共享内容或组的选项。但是,您作为管理员则可以选择在组织中公开地共享组织中的任何项目。
- 设置企业登录。
- 单击保存保存您所做出的更改。
配置企业登录
ArcGIS Online 测试版增强适用于具有组织帐户的所有 ArcGIS Online 用户。这些增强都是站点的稳定组件,其功能或文档可能不完整,而且还可能存在一些小问题。
请注意:在初始测试版中,用户只能选择自动连接。也就是说,如果用户使用身份提供者中的帐户,则可通过其企业登录帐户进行登录而自动加入 ArcGIS Online 组织。在最终版本中,组织管理员可将成员限制为只能是明确受邀加入 ArcGIS Online 组织的用户。
如果对测试版功能有疑问或在使用时遇到问题,请联系 Esri 技术支持或访问 ArcGIS Online 论坛。
配置企业登录后,组织用户可以通过访问企业信息系统时所用的相同帐户登录 ArcGIS Online 。完成此操作的方法被称为 SAML Web 单点登录。使用此方法设置企业登录的优势在于:用户无需在 ArcGIS Online 系统内创建其他登录帐户,而是使用已在企业登录中设置的登录帐户。用户登录 ArcGIS Online 时将被重定向至企业中的登录页面。用户可直接将企业用户名和密码输入到企业登录管理器(也被称为企业级身份提供者)中。验证用户的登录帐户之后,企业级身份提供者就会通知 ArcGIS Online 登录用户的验证身份。
ArcGIS Online 支持使用 SAML 2.0 配置企业登录。您需要联系企业级身份提供者管理员,才能获取进行配置所需的参数(将在以下步骤中介绍)。例如,如果组织正在使用 Microsoft Active Directory,则为了配置或启用企业级身份提供者的 SAML 并获取在 ArcGIS Online 上进行配置所需的参数,您应联系负责 Microsoft Active Directory 的管理员。
什么是 SAML?
安全声明标记语言也称为 SAML,这是一种在身份提供者(您的组织)与服务提供者(此处为 ArcGIS Online)之间交换身份验证和授权数据时提供安全保护的开放标准。ArcGIS Online 与 SAML 2.0 兼容,并且能够与支持SAML 2 Web 单点登录的身份提供者相集成。
与企业级身份提供者建立联盟
要设置身份提供者,请执行以下步骤:
- 在企业登录部分,单击设置身份提供者按钮,并在打开的窗口中输入组织名称。
- 选择拥有企业登录帐户的用户加入 ArcGIS Online 组织的方法。
- 在初始测试版中,用户只能选择自动加入。也就是说,如果用户使用身份提供者中的帐户,则可通过其企业登录帐户进行登录而自动加入 ArcGIS Online 组织。
- 在最终版本中,组织管理员可将成员限制为只能是明确受邀加入 ArcGIS Online 组织的用户。
- 默认情况下,所有使用企业登录帐户加入 ArcGIS Online 的用户均将被添加到组织并获得用户权限。管理员可以在 ArcGIS Online 中将其权限级别更改为发布者或管理员。警告:
请注意,在此初始测试版本中,一旦建立联盟,具有企业登录帐户的任何用户都能登录您的组织。在最终版本中,组织管理员可将成员限制为只能是明确受邀加入 ArcGIS Online 组织的用户。
- 为 ArcGIS Online 提供 SAML 兼容企业级身份提供者的相关元数据信息。
通过指定 ArcGIS Online 要访问的源以获得 SAML 兼容企业级身份提供者的相关元数据信息来实现此目的。联系身份提供者的管理员来确定您将提供的元数据信息的源。该信息有三个可能的源:
- URL - 输入一个能够返回有关身份提供者的元数据信息的 URL。
- File - 上传一个包含有关身份提供者的元数据信息的文件。
- 参数 - 通过提供以下参数直接输入有关身份提供者的元数据信息:
登录 URL - 输入 ArcGIS Online 应使用以允许用户登录的 URL。
HTTP-Redirect 或 HTTP-Post - 选择是通过 HTTP 还是通过重定向来连接身份提供者。
X.509 证书 - 浏览到表示企业级身份提供者证书的本地文件。借助此证书,可以解密 ArcGIS Online 从企业级身份提供者接收到的加密 SAML 响应。
- 使用高级设置链接提供有关身份提供者的其他可选信息。
- 注销 URL - 设置用户从组织中注销时 ArcGIS Online 使用的注销 URL。
- 用户 ID 属性 - 在来自身份提供者的 SAML 响应中,输入 ArcGIS Online 获取登录用户的用户名时会使用的用户 ID 属性。如果此属性尚未提供,ArcGIS Online 将使用此属性的默认属性名称,即 Subject/NameID。
- 为了完成联盟过程并在联盟间建立信任,您需要为服务提供者 (ArcGIS Online) 下载相应的元数据文件,并将其注册到企业级身份提供者。使用获取服务提供者按钮下载此文件。
更改已注册的企业级身份提供者
可以使用移除身份提供者按钮移除当前已注册的身份提供者。仅在您已设置身份提供者的情况下才可以使用此按钮。移除身份提供者之后,可以根据需要随时设置新的身份提供者。