使用 Windows 活动目录和 PKI 安全访问门户
如果用户帐户由 Windows 活动目录管理,则可以使用公钥基础设施 (PKI) 安全访问门户。
以下几部分介绍如何设置 Portal for ArcGIS 和 ArcGIS Web Adaptor (IIS) 以使用 PKI。您必须按此处介绍的顺序完成所有步骤。在对其他 web 服务器进行配置以通过 ArcGIS Web Adaptor 使用 PKI 时,如果需要帮助,请联系 Esri 专业服务。
以下步骤假定已经安装了 ArcGIS Web Adaptor (IIS) 和 Portal for ArcGIS,并已将门户注册到 Web Adaptor。
法律声明:旧版本:在 10.2 中,您需要编辑磁盘上的属性文件以配置安全性。但在 10.2.1 和更高版本中不再需要此操作。以下说明仅适用于 10.2.1 和更高版本。有关对 10.2 中说明的帮助信息,请参阅 10.2 文档。
配置 Portal for ArcGIS 以使用 Windows 活动目录用户
首先,将门户配置为专用 SSL。在门户网站的安全性页面上进行此设置。
- 以门户管理员身份登录门户网站。
- 在我的组织页面上单击编辑设置。
- 单击安全性。
- 选中允许仅通过 SSL 访问门户。
- 单击保存应用更改。
注:如果您要将 ArcGIS Server 站点添加到您的门户中,并且希望在站点上使用 Web 层身份验证,那么在将其添加到门户前,您需要在使用站点配置的 ArcGIS Web Adaptor 上禁用 Web 层身份验证(例如基本式或摘要式),并启用匿名访问。虽然这听起来可能有悖常理,但是必需如此站点才能自由与门户联合并读取门户中的用户和角色。如果您的 ArcGIS Server 站点尚未使用 Web 层身份验证,则无需执行任何操作。有关如何将服务器添加到门户的说明,请参阅联合 ArcGIS Server 站点与门户。
下一步,更新门户的标识存储,以使用 Windows 活动目录帐户。
- 使用具有管理员权限的帐户登录到门户目录。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > 配置 > 更新标识存储。
- 将 Windows 活动目录配置 JSON 放置于用户存储配置(JSON 格式)文本框中。
您可以复制下列文本,然后对其进行更改以包含站点的特定信息:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "email", "caseSensitive": "false" } }大多数情况下,只需要更改 user 值和 userPassword 参数。尽管以明文形式输入密码,但在门户的配置目录中存储或查看密码时,其为加密形式。用于用户参数的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。如果可以,请使用密码未过期的帐户。
- 输入用户存储配置 JSON 后,单击更新配置以保存更改。
安装并启用活动目录客户证书映射身份验证
您必须在 IIS 中安装和启用活动目录客户证书映射身份验证。
安装客户证书映射身份验证
IIS 的默认安装中不提供活动目录客户证书映射。安装该功能的说明会根据您的操作系统而变化。
Windows Server 2008/R2 和 2012/R2
- 打开管理工具,单击服务器管理器。
- 在服务器管理器层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 滚动至角色服务部分,单击添加角色服务。
- 在添加角色服务向导 的选择角色服务页面,选择客户证书映射身份验证并单击下一步。
- 单击安装。
Windows 7、Windows 8 和 Windows 8.1
- 打开控制面板并单击程序和功能 > 打开或关闭 Windows 功能。
- 展开 Internet 信息服务 > 万维网服务 > 安全性,然后选择客户证书映射身份验证。
- 单击确定。
启用活动目录客户证书映射身份验证
在 Windows 上安装功能后,不会自动启用活动目录客户证书映射。您需要按以下步骤在 IIS 中启用它。
- 启动 Internet 信息服务 (IIS) 管理器。
- 在连接节点中,单击 web 服务器的名称。
- 在功能视图 窗口中,双击身份验证。
- 验证是否显示了活动目录客户证书身份验证。如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成活动目录客户证书身份验证功能的安装。
- 双击活动目录客户证书身份验证,并在操作 窗口中选择启用。
随即显示一条消息,指示必须启用 SSL 才可使用活动目录客户证书身份验证。您将在下一部分中解决此问题。
配置 Web Adaptor 以要求 SSL
更改 Web Adaptor 的身份验证和 SSL 设置。
- 启动 Internet 信息服务 (IIS) 管理器。
- 展开连接节点并选择 Web Adaptor 站点。
- 在功能视图 窗口中,双击身份验证。
- 禁用所有形式的身份验证。
- 从连接列表中再次选择 Web Adaptor。
- 双击 SSL 设置。
- 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
- 单击应用保存更改。
将活动目录帐户指定为管理员
使用企业登录进行登录时,或必须从 ArcGIS Portal 目录添加帐户时,您将活动目录帐户添加到门户的方式取决于是否已将门户配置为自动将帐户添加到门户。有关此设置的信息,请参阅配置帐户创建。
如果您手动注册企业用户的帐户
如果已将门户配置为必须使用 CreateUsers 工具添加帐户,则按照将成员添加到门户中的说明将活动目录帐户添加为门户管理员。注册企业帐户时,确保选择管理员角色。
如果自动注册企业用户的帐户
如果已将门户配置为自动添加企业帐户,则会在使用想要用作门户管理员的活动目录帐户进行登录时打开门户网站主页。根据浏览器和设置,系统可能会提示您登录。
首次将帐户自动添加到门户时,会给帐户分配“用户”角色。只有管理员可以更改帐户的角色;因此必须使用初始管理员帐户登录门户,并将活动目录帐户分配给管理员角色。由于已为 Windows 身份验证设置 Web Adaptor,必须通过端口 7443(而不是 Web Adaptor)连接到门户,以使用初始管理员帐户登录。
- 在使用想用作管理员的企业帐户进行登录时连接至门户。如果此帐户属于其他用户,则将该用户连接到门户,以便在门户中注册此帐户。
- 帐户添加到门户后,打开浏览器,然后通过端口 7443(例如 https://portal.domain.com:7443/arcgis/home)连接到您的门户中。
- 使用设置 Portal for ArcGIS 时创建的初始管理员帐户登录。
- 找到将用于管理门户的活动目录帐户,并将其角色更改为管理员。此帐户将以 username@domain 的格式显示。
- 从网站登出。
现在,使用此活动目录帐户登录计算机时,可以通过 Web Adaptor 连接到门户并管理门户。
下移或删除初始管理员帐户
现在您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户。
防止用户创建自己的帐户
安全设置好门户的访问权限后,可禁用门户网站中的创建帐户按钮和注册页面 (signup.html),这样用户便无法创建自己的帐户。这意味着所有成员都使用其企业凭据登录到门户,且无法创建不必要的成员帐户。
请按照以下步骤防止用户创建自己的帐户:
- 浏览至 <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline,并在文本编辑器中打开 config.js。
- 找到 showSignUp 属性,并指定其值为 false。
- 保存并关闭文件。
- 要应用编辑内容,请重新启动门户。
- 门户重新启动后,清除浏览器缓存(包含 cookies)以查看门户网站中的更改。