管理对门户的访问
注:本主题仅适用于 10.2.1 和更高版本。
规划 Portal for ArcGIS 部署的一个关键方面在于确定对访问门户的帐户的管理方式以及授予这些帐户什么权限。确定帐户管理方式关系到标识存储的选择。
理解标识存储
门户的标识存储定义了门户帐户凭据的存储位置以及身份验证的方式。Portal for ArcGIS 支持两种类型的标识存储:内置标识存储和企业标识存储。
内置标识存储
Portal for ArcGIS 是预先配置的,以便让您在门户中轻松地创建帐户。可使用门户网站主页上的创建帐户链接向门户添加内置帐户,并开始向组织贡献内容或者访问由其他成员创建的资源。使用这种方法在门户中创建帐户时,您利用的是内置标识存储,其中储存有门户帐户用户名称、密码及其角色。
必须使用内置标识存储创建门户的初始管理员帐户,但之后可以切换到企业标识存储。内置标识存储对于门户的启动和运行以及开发与测试都是非常有用的。但生产环境通常利用企业标识存储。
企业标识存储
已设计 Portal for ArcGIS,让您通过使用企业登录帐户来控制对 ArcGIS 组织的访问。例如,可使用来自 Windows 活动目录或 LDAP 存储的凭据来控制对门户的访问。使用企业标识存储可以完全在 Portal for ArcGIS 外部完成对帐户凭据的管理及身份验证过程。
例如,如果组织希望设置关于密码有效期和复杂程度的策略,或者您希望通过集成的 Windows 身份验证 (IWA) 或 PKI 来利用身份验证,则必须使用企业标识存储。使用企业标识存储的最大优势在于组织可在一个资料档案库中集中管理登录信息,并使用这些信息来应对门户;不存在重复帐户。
对于最终用户来说,使用企业登录帐户访问门户也容易得多,因为他们无需记忆另一个用户名和密码。在使用企业标识存储配置门户时启用单点登录体验,这样用户便无需再次输入其凭据。
Portal for ArcGIS 支持针对 Windows 活动目录和 LDAP 的企业标识存储。有关详细信息,请参阅在门户中使用集成的 Windows 身份验证或配合门户使用 LDAP 和 Web 层身份验证。
理解访问权限
一旦确定希望如何管理 Portal for ArcGIS 中帐户的凭据和身份验证,就需要确定要为访问 ArcGIS 组织的用户授予哪些权限。根据访问门户的用户是否为 ArcGIS 组织成员来定义权限。如果用户在访问门户时没有使用 ArcGIS 组织帐户,则只能搜索和使用公共项目。例如,如果将公共 web 地图嵌入到网站中,查看该地图的用户即使不具备帐户也能够访问您门户中的项目。
由您自己决定是否希望启用此类访问。您可以始终禁止对尚不属于 ArcGIS 组织的人员进行访问。要了解如何进行此操作,请参阅禁用匿名访问。
如果用户是 ArcGIS 组织成员,则可以使用高级权限访问门户。ArcGIS 组织成员在门户网站上的我的组织选项卡中列出。下表介绍了不同级别的权限。
未使用 ArcGIS 组织帐户进行访问 | 使用 ArcGIS 组织帐户进行访问 | |||
|---|---|---|---|---|
用户角色 | 发布者角色 | 管理员角色 | ||
搜索并使用公共项目(如 web 地图和 web 应用程序) | 是 | 是 | 是 | 是 |
搜索并使用私有项目(如 web 地图和 web 应用程序) | 否 | 是 | 是 | 是 |
创建并共享项目(如 web 地图和 web 应用程序) | 否 | 是 | 是 | 是 |
使用 Collector for ArcGIS、Esri Maps for Office 或 Dashboard for ArcGIS 应用程序 | 否 | 是 | 是 | 是 |
发布新内容作为切片或要素服务 | 否 | 否 | 是 | 是 |
管理由其他人创建的项目 | 否 | 否 | 否 | 是 |
管理用户及其权限 | 否 | 否 | 否 | 是 |
管理 ArcGIS 组织 | 否 | 否 | 否 | 是 |
在将新的 ArcGIS 组织帐户添加到门户时,默认为该帐户授予用户角色。但门户管理员可以随时更改此角色。有关详细信息,请参阅管理用户角色。
管理 ArcGIS 组织帐户
ArcGIS 组织帐户是已添加到门户网站组织面板中的用户帐户。在本文档和门户网站的用户体验中,这些用户通常是指组织中的成员。
作为管理员,不仅要完全控制授予 ArcGIS 组织中每个成员的权限,而且还要完全控制允许哪些用户成为组织成员,这非常重要。
门户中 ArcGIS 组织帐户的最大数量由激活软件时使用的授权文件定义。随时可以在门户网站中通过我的组织选项卡对组织成员总数和允许的最大数量进行比较。
在使用内置存储时管理帐户
在使用内置存储时,门户网站将默认显示一个链接,任何用户均可使用此链接加入 ArcGIS 组织。这样一来,人们可以轻松地加入您的组织,但您却无法真正地限制谁能够加入;访问门户的任何人都可以创建帐户。如果希望对此进行更多控制,则可以禁用此自助体验,然后为门户批量配置预定义数量的帐户。要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。您还可以随时从门户网站中移除成员或更改他们的权限。
在使用企业标识存储时管理帐户
Portal for ArcGIS 不允许您在企业存储中删除、编辑或创建新的帐户,但可以注册组织中现有的企业帐户。因此,在使用企业标识存储配置门户时,门户网站中的登录页面将不可用。
通常由管理员来选择希望添加到组织中的企业登录帐户并进行批量添加。要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。您还可以随时从门户网站中移除成员或更改他们的权限。
或者也可以选择自动添加任何连接到门户的企业帐户或其任意项目。有关详细信息,请参阅企业帐户的自动注册。
在使用企业标识存储配置门户时,将禁用对 ArcGIS 组织的匿名访问;也就是说,任何访问门户的用户都必须先对照您的企业存储进行身份验证。能够理解这一点非常重要。通过验证后,将根据用户是否具备 ArcGIS 组织帐户来确定其权限。
注:将 Portal for ArcGIS 10.2.1 升级到 10.2.2 时,不会保留启用或禁用自动创建帐户的设置;升级后将禁用自动创建帐户。这是不希望出现的行为,所以在今后的软件版本中将会得到解决。如果已在 10.2.1 版本中启用自动创建帐户,则您可在升级到 10.2.2 后立即重新启用此设置来解决此问题。有关完整说明,请参阅企业帐户的自动注册。
法律声明:在 Portal for ArcGIS 10.2 版本中,企业帐户会自动注册为组织成员。这意味着组织的成员数量可能会在无意之中超出最大数量。当从 Portal for ArcGIS 10.2 版本升级到 10.2.2 版本时,遗留行为仍然存在;默认情况下仍会自动注册帐户。相反,Portal for ArcGIS 10.2.1 或10.2.2 版本的全新安装不允许自动创建帐户。如果已将门户从 10.2 版本升级到 10.2.2 版本,那么您可能希望考虑关闭此行为,从而对哪些用户将作为成员添加到组织中获得更多的控制。有关完整说明,请参阅企业帐户的自动注册。