您可以使用轻量级目录访问协议 (LDAP) 或 Windows Active Directory 安全访问门户。使用 LDAP 时,通过组织的 LDAP 服务器管理登录帐户。使用 Windows Active Directory 时,登录帐户通过 Microsoft Windows Active Directory 进行管理。为 LDAP 或 Active Directory 更新了门户的身份存储后,即可在该门户层配置身份验证。
配置门户以对所有通信使用 HTTPS
首先,将门户配置为全部使用 HTTPS 进行通讯。
- 以组织管理员的身份登录到门户网站。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home。
- 在我的组织页面,单击编辑设置 > 安全性。
- 选中允许仅通过 HTTPS 访问门户。
- 单击保存应用更改。
使用 LDAP 或 Windows Active Directory 更新门户的身份存储
接下来,使用 LDAP 或 Active Directory 用户和群组更新门户的身份存储。
使用 LDAP 更新门户的身份存储
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > 配置 > 更新身份存储。
- 在用户存储配置(JSON 格式)文本框中,粘贴组织的 LDAP 用户配置信息(JSON 格式)。或者,您可以将下列示例更新为特定于组织的用户信息。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
在大多数情况下,您仅需要更改 user、userPassword 和 ldapURLForUsers 参数的值。LDAP 的 URL 需要由 LDAP 管理员提供。
在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。在这种情况下,URL 如下所示:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。
如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true。
- 如果想要在使用身份存储中的现有企业组的门户中创建群组,请将组织的 LDAP 组配置信息(JSON 格式)粘贴到组存储配置(JSON 格式)文本框中,如下所示。或者,您可以将下列示例更新为特定于组织的群组信息。如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
在大多数情况下,您仅需要更改 user、userPassword 和 ldapURLForUsers 参数的值。LDAP 的 URL 需要由 LDAP 管理员提供。
在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。在这种情况下,URL 如下所示:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。
如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true。
- 单击更新配置保存更改。
- 如果您已配置高可用性门户,请重新启动每台门户计算机。有关完整的说明,请参阅停止和启动门户。
使用 Active Directory 更新门户的身份存储
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > 配置 > 更新身份存储。
- 在用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。或者,您可以将下列示例更新为特定于组织的用户信息。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
大多数情况下,只需要更改 userPassword 和 user 参数的值。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。如果可以,请指定密码未过期的帐户。
在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true。
- 如果想要在使用身份存储中的现有企业组的门户中创建组,请将组织的 Windows Active Directory 组配置信息(JSON 格式)粘贴到组存储配置(JSON 格式)文本框中,如下所示。或者,您可以将下列示例更新为特定于组织的群组信息。如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
大多数情况下,只需要更改 userPassword 和 user 参数的值。尽管以明文形式输入密码,但在更新配置(下面)时将对其进行加密。为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。如果可以,请指定密码未过期的帐户。
- 单击更新配置保存更改。
- 如果您已配置高可用性门户,请重新启动每台门户计算机。有关完整的说明,请参阅停止和启动门户。
还可配置其他身份存储参数
还有其他身份存储配置参数,可使用 ArcGIS Portal Directory 管理 API 进行修改。这些参数包含诸如限制企业级用户登录门户时是否自动刷新群组、设置成员资格刷新间隔以及定义是否检查多个用户名格式等选项。有关详细信息,请参阅更新身份存储。
配置门户层身份验证
使用 LDAP 身份存储配置门户后,需要通过 Java 应用程序服务器中的 Web Adaptor 启用匿名访问。 当访问您门户的登录页面时,用户能够使用企业凭据或者内置凭据进行登录。企业用户在每次登录至门户时均需要输入其帐户凭据;自动或单点登录将不可用。这种身份验证也允许匿名用户访问地图或者其它与所有人共享的门户资源。
验证是否可以使用 LDAP 或 Active Directory 凭据访问门户
- 打开门户网站。URL 格式为:https://webadaptorhost.domain.com/webadaptorname/home。
- 使用企业帐户凭据登录(示例语法如下)。
使用门户层身份验证时,您企业的成员将使用以下语法登录:
- 如果通过活动目录使用门户,则语法为 domain\username 或 username@domain。无论成员以何种方式登录,门户网站上的用户名始终显示为 username@domain。
- 如果通过 LDAP 使用门户,则语法始终为 username。门户网站也以此格式显示帐户。
将企业帐户添加到门户中
默认情况下,企业用户可以访问门户网站。然而,他们只能查看共享给组织中所有人的项目。这是因为企业帐户未添加到门户中,且未授予访问权限。
通过以下方法之一将帐户添加到门户中:
- Portal for ArcGIS 网站(逐一添加,通过 CSV 文件批量添加,或从现有的企业组添加)
- Python 脚本
- 命令行实用程序
- 自动
建议至少将一个企业帐户指定为门户管理员。为此,可在添加帐户时选择管理员角色。如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户。
帐户添加完成后,用户即可登录组织和访问内容。