Skip To Content

将门户与 LDAP 和门户层身份验证配合使用

您可以使用轻量级目录访问协议 (LDAP) 安全访问门户。使用 LDAP 时,通过组织的 LDAP 服务器管理登录帐户。为 LDAP 更新了门户的身份存储后,即可在该门户层配置身份验证。

配置门户以对所有通信使用 HTTPS

默认情况下,Portal for ArcGIS 将对所有通信强制执行 HTTPS。如果您之前已将此选项更改为允许 HTTP 和 HTTPS 通信,则需要按照以下步骤重新配置门户,以使用仅 HTTPS 通信。

  1. 以组织管理员的身份登录到门户网站。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home
  2. 组织页面上,单击设置选项卡,然后单击安全性
  3. 选中允许仅通过 HTTPS 访问门户
  4. 单击保存应用更改。

更新门户的身份存储

然后,更新门户的身份存储以使用 LDAP 用户和群组。

使用 LDAP 更新门户的身份存储

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  2. 单击安全性 > 配置 > 更新身份存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 LDAP 用户配置信息(JSON 格式)。或者,您可以将下列示例更新为特定于组织的用户信息。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    在大多数情况下,您仅需要更改 useruserPasswordldapURLForUsers 参数的值。LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true

  4. 如果想要在使用身份存储中的现有企业组的门户中创建群组,请将组织的 LDAP 组配置信息(JSON 格式)粘贴到组存储配置(JSON 格式)文本框中,如下所示。或者,您可以将下列示例更新为特定于组织的群组信息。如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    {
      "type": "LDAP",  "properties": {
        "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",    "usernameAttribute": "uid",    "caseSensitive": "false",    "userSearchAttribute": "uid",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
      }
    }

    在大多数情况下,您仅需要更改 useruserPasswordldapURLForUsers 参数的值。LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true

  5. 单击更新配置保存更改。

还可配置其他身份存储参数

还有其他身份存储配置参数,可使用 ArcGIS Portal Directory 管理 API 进行修改。这些参数包含诸如限制企业级用户登录门户时是否自动刷新群组、设置成员资格刷新间隔以及定义是否检查多个用户名格式等选项。有关详细信息,请参阅更新身份存储

配置门户层身份验证

使用 LDAP 身份存储配置门户后,需要通过 Java 应用程序服务器中的 Web Adaptor 启用匿名访问。 当访问您门户的登录页面时,用户能够使用企业凭据或者内置凭据进行登录。企业用户在每次登录至门户时均需要输入其帐户凭据;自动或单点登录将不可用。这种身份验证也允许匿名用户访问地图或者其它与所有人共享的门户资源。

验证是否可以使用凭据访问门户

  1. 打开门户网站。URL 格式为:https://webadaptorhost.domain.com/webadaptorname/home
  2. 使用企业帐户凭据登录(示例语法如下)。

使用门户层身份验证时,您企业的成员将使用以下语法登录:

  • 如果通过 LDAP 使用门户,则语法始终为 username。门户网站也以此格式显示帐户。

将企业帐户添加到门户中

默认情况下,企业用户可以访问门户网站。然而,他们只能查看共享给组织中所有人的项目。这是因为企业帐户未添加到门户中,且未授予访问权限。

通过以下方法之一将帐户添加到门户中:

建议至少将一个企业帐户指定为门户管理员。为此,可在添加帐户时选择管理员角色。如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户

帐户添加完成后,用户即可登录组织和访问内容。