使用 LDAP 和 PKI 安全访问门户

当使用轻量级目录访问协议 (LDAP) 验证用户身份时,可使用公钥基础设施 (PKI) 安全访问门户。

以下部分介绍如何设置 Portal for ArcGIS 和 ArcGIS Web Adaptor (Java Platform) 以使用 PKI。您必须按此处介绍的顺序完成所有步骤。

这些步骤假定用户已经安装 ArcGIS Web Adaptor (Java Platform) 和 Portal for ArcGIS,并已在门户中配置 Web Adaptor。

Portal for ArcGIS 配置为使用 LDAP 用户

首先,将门户配置为专用 SSL。在门户网站的安全性页面上进行此设置。

步骤:
  1. 以门户管理员身份登录门户网站。
  2. 我的组织页面上单击编辑设置
  3. 单击安全性
  4. 选中允许仅通过 SSL 访问门户
  5. 单击保存应用更改。
注注:

如果您要将 ArcGIS Server 站点添加到您的门户中,并且希望在站点上使用 Web 层身份验证,那么在将其添加到门户前,您需要在使用站点配置的 ArcGIS Web Adaptor 上禁用 Web 层身份验证(例如基本式或摘要式),并启用匿名访问。虽然这听起来可能有悖常理,但是必需如此站点才能自由与门户联合并读取门户中的用户和角色。如果您的 ArcGIS Server 站点尚未使用 Web 层身份验证,则无需执行任何操作。有关如何将服务器添加到门户的说明,请参阅联合 ArcGIS Server 站点与门户

下一步,更新门户的标识存储,以使用组织的 LDAP。

步骤:
  1. 使用具有管理员权限的帐户登录到 ArcGIS 门户目录。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin
  2. 单击安全性 > 配置 > 更新标识存储
  3. 将 LDAP 配置 JSON 放置于用户存储配置(JSON 格式)文本框中。

    您可以复制下列文本,然后对其进行更改以包含站点的特定信息:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin\,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
        "userEmailAttribute": "email",
        "usernameAttribute": "cn",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    大多数情况下,只需要更改 userSearchAttribute、user、userPassword 和 ldapURLForUsers 参数的值。userSearchAttribute 是 PKI 证书的 Subject 参数值。如果组织使用 PKI 证书中的其他属性,如电子邮件,则必须更新 userSearchAttribute 以与 PKI 证书中的 Subject 参数相匹配。

    LDAP 的 URL 需要由 LDAP 管理员提供。用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。尽管以明文形式输入密码,但在门户的配置目录中存储或查看密码时,其为加密形式。

  4. 输入用户存储配置 JSON 后,单击更新配置以保存更改。

    单击更新配置后,门户将自动重新启动。完成此操作可能需要花费几分钟的时间。

在门户的 Web Adaptor 上设置 PKI 身份验证

LDAP 需要进行 Web 层身份验证,此操作必须通过 ArcGIS Web Adaptor (Java Platform) 来完成。Web Adaptor 基于 Java 应用程序服务器进行用户身份验证,并为 Web Adaptor 提供用户的帐户名。获取帐户名称后,会将其传送至门户。

为门户安装并配置 Web Adaptor (Java Platform) 后,您需要在 Java 应用程序服务器上配置 LDAP 域,并为 Web Adaptor 配置基于 PKI 的客户端认证身份验证。相关说明,请参阅 Java 应用程序服务器的产品文档或咨询系统管理员。

如果您要将 ArcGIS Server 站点添加到您的门户中,并且希望在服务器上使用 PKI(如 LDAP),那么在将其添加到门户前,您需要在 ArcGIS Server 站点上禁用 Web 层身份验证,并启用匿名访问。虽然这听起来可能有悖常理,但是必需如此站点才能自由与门户联合并读取门户中的用户和角色。如果您的 ArcGIS Server 站点尚未使用 Web 层身份验证,则无需执行任何操作。有关如何将服务器添加到门户的说明,请参阅联合 ArcGIS Server 站点与门户

将 LDAP 帐户指定为管理员

在用户进行登录时,或必须从 ArcGIS Portal 目录添加帐户时,您将 LDAP 帐户添加到门户的方式取决于是否已将门户配置为自动将企业登录添加到门户。有关此设置的信息,请参阅配置帐户创建

如果已将门户配置为自动添加企业帐户,则会在通过想要用作门户管理员的 LDAP 帐户进行登录时打开门户网站主页。根据浏览器和设置,系统可能会提示您登录。

如果您手动注册企业用户的帐户

如果已将门户配置为必须使用 CreateUsers 工具添加帐户,则按照将成员添加到门户中的说明将 LDAP 帐户添加为门户管理员。注册企业帐户时,确保选择管理员角色。

如果自动注册企业用户的帐户

如果已将门户配置为使企业帐户在首次访问门户时注册到门户,则需要使用 LDAP 帐户访问门户以将其注册到门户,然后使用初始管理员帐户登录到门户,并将 LDAP 用户分配到管理员角色。

首次将帐户添加到门户时,会分配用户角色。只有管理员可以更改帐户的角色;因此,必须使用初始管理员帐户登录到门户,并将 LDAP 帐户分配给管理员角色。由于已为 LDAP 身份验证设置 Web Adaptor,因此必须通过端口 7443(而不是 Web Adaptor URL)连接到门户,以使用初始管理员帐户登录。

步骤:
  1. 在使用 LDAP 帐户登录到计算机时连接至门户网站。如果此帐户属于其他用户,则将该用户连接到门户,以便在门户中注册此帐户。
  2. 将 LDAP 帐户添加到门户后,打开浏览器,然后通过端口 7443(例如 https://portal.domain.com:7443/arcgis/home)连接到您的门户网站。
  3. 使用首次设置门户时创建的初始管理员帐户登录。
  4. 将用于管理门户的 LDAP 账户的角色更改为管理员
  5. 从网站登出。

使用此 LDAP 帐户登录到计算机后,即可通过 Web Adaptor URL 连接到门户,并对门户进行管理。

下移或删除初始管理员帐户

现在您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户

防止用户创建自己的帐户

安全设置好门户的访问权限后,可禁用门户网站中的创建帐户按钮和注册页面 (signup.html),这样用户便无法创建自己的帐户。这意味着所有成员都使用其企业凭据登录到门户,且无法创建不必要的成员帐户。

请按照以下步骤防止用户创建自己的帐户:

步骤:
  1. 浏览至 <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline,并在文本编辑器中打开 config.js
  2. 找到 showSignUp 属性,并指定其值为 false
  3. 保存并关闭文件。
  4. 要应用编辑内容,请重新启动门户
  5. 门户重新启动后,清除浏览器缓存(包含 cookies)以查看门户网站中的更改。
5/10/2014