关于配置门户身份验证
在本主题中
用于确定如何在 Portal for ArcGIS 部署中配置安全性的主要因素应为您门户的用户源,或者也可以是门户的组。用户和组源被称作标识存储。通过标识存储管理组织内部或外部的用户和组。
理解标识存储
门户的标识存储定义了门户帐户凭据的存储位置、身份验证的方式以及管理组成员资格的方式。Portal for ArcGIS 支持两种类型的标识存储:内置和企业。
内置标识存储
Portal for ArcGIS 是预先配置的,以便让您在门户中轻松地创建帐户和组。可使用门户网站主页上的创建帐户链接向门户添加内置帐户,并开始向组织贡献内容或者访问由其他成员创建的资源。您还可以单击门户网站主页上的组选项卡,然后通过创建组来管理项目。使用这种方法在门户中创建帐户和组时,您利用的是内置标识存储,这将执行身份验证并存储门户帐户用户名称、密码、角色以及组成员资格。
必须使用内置标识存储创建门户的初始管理员帐户,但之后可以切换到企业标识存储。内置标识存储对于门户的启动和运行以及开发与测试都是非常有用的。但生产环境通常利用企业标识存储。
企业标识存储
已设计 Portal for ArcGIS,让您通过使用企业帐户和组来控制对 ArcGIS 组织的访问。例如,可通过使用来自轻量级目录访问协议 (LDAP) 服务器、以及支持安全声明标记语言 2.0 (SAML) Web 单点登录的身份提供者的凭据来控制对门户的访问。本文档中将此过程描述为设置企业登录帐户。
此方法的优势在于无需在门户内创建其他帐户。成员使用已在企业标识存储中设置的登录帐户。帐户凭据的管理完全在 Portal for ArcGIS 的外部完成。这将启用单点登录体验,因此用户无需重新输入其凭据。
同样,还可以在使用标识存储中的现有企业组的门户中创建组。而且,可以从您组织内的企业组中批量添加企业账户。成员登录门户后,访问内容、项目和数据由企业组中定义的成员规则控制。组成员资格的管理完全在 Portal for ArcGIS 的外部完成。
例如,建议对您的门户禁用匿名访问,将您的门户与组织内所需的企业组相连,然后在这些组的基础上添加企业帐户。通过这样的方式,您可根据组织内特定的企业组限制对您门户的访问。
如果组织希望设置关于密码有效期和复杂程度的策略、使用现有企业组控制对数据的访问或者希望通过LDAP 或公钥基础设施 (PKI) 来利用身份验证,请使用企业标识存储。可以在 Web 层(使用 Web 层的身份验证)、门户层(使用门户层的身份验证)执行身份验证,或者通过外部身份提供者执行身份验证(使用 SAML)。
支持多个标识存储
通过使用 SAML 2.0,您可以允许使用多个身份存储来访问您的门户。用户可使用内置帐户和在配置为相互信任的多个 SAML 兼容身份提供者中管理的帐户进行登录。这是一种管理组织内外用户的有效方式。有关完整详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
使用门户的标识存储配置内置用户和组
使用内置用户和组时,无需任何门户配置步骤;在安装软件后,门户可立即用于内置用户和组。有关使用企业级用户的详细信息,请参阅以下部分及其相关链接。
配置企业登录帐户
可通过门户配置以下企业级身份提供者。可以在 Web 层(使用 ArcGIS Web Adaptor)或在门户层执行身份验证。
Web 层身份验证
如果您拥有 LDAP 目录,则可将其与 Portal for ArcGIS 一同使用。有关详细信息,请参阅配合使用门户、LDAP 和 Web 层身份验证。如果要使用 LDAP,请将 Web Adaptor 部署到 Java 应用程序服务器,例如 Apache Tomcat、IBM WebSphere 或 Oracle WebLogic。
如果贵组织拥有 PKI,通过安全套接字层 (SSL) 协议进行保护可使用证书对门户通信进行身份验证。使用 PKI 时无法启用对门户的匿名访问。有关详细信息,请参阅使用 LDAP 和 PKI 安全访问门户。
门户层身份验证
如果想要允许使用企业和内置标识存储而不使用 SAML 来访问您的门户,则可以使用门户层身份验证。完成方式为使用 LDAP 标识存储配置门户,然后启用对您 Java 应用程序服务器的匿名访问。当访问您门户的登录页面时,用户能够使用企业凭据或者内置凭据进行登录。企业用户在每次登录至门户时均需要输入其帐户凭据;自动或单点登录将不可用。这种身份验证也允许匿名用户访问地图或者其它与所有人共享的门户资源。
使用门户层身份验证时,您企业的成员将使用以下语法登录:
- 如果通过活动目录使用门户,则语法为 domain\username 或 username@domain。无论成员以何种方式登录,门户网站上的用户名始终显示为 username@domain。
- 如果通过 LDAP 使用门户,则语法始终为 username。门户网站也以此格式显示帐户。
使用 SAML 配置企业登录帐户
以下 SAML 兼容身份提供者均已经通过与 Portal for ArcGIS 配合使用的认证。有关详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
帐户锁定策略
软件系统经常强制执行帐户锁定策略,以避免多次自动尝试猜测用户密码。如果用户在一定时间间隔内登录失败达到一定次数,那么该用户可能被拒绝在指定时间段内再次尝试登录。这些策略权衡了有时用户会忘记其用户名和密码,因而无法成功登录这一事实。
Portal for ArcGIS 强制的锁定策略取决于您所使用的标识存储类型:
内置标识存储
内置标识存储会将连续十次登录失败的用户锁定。锁定持续十分钟。此策略适用于标识存储中的所有帐户,包括初始管理员帐户。此策略无法修改或替换。
企业标识存储
使用企业级标识存储时,将从该存储继承帐户锁定策略。您也许能够针对该存储修改帐户锁定策略。要了解如何更改帐户锁定策略,请参阅特定于存储类型的文档。
监控失败的登录尝试
可通过在 ArcGIS Portal 目录中查看门户日志来监控失败的登录尝试。每次失败登录都将显示一条警报级别的消息,提示用户由于无效的用户名或密码组合而导致登录失败。如果用户超过了登录尝试的最大次数,则将记录一条严重级别的消息,提示帐户已被锁定。监控门户日志以便获得关于失败登录尝试的信息可以帮助您了解系统中是否存在潜在的密码攻击。
有关详细信息,请参阅使用门户日志。