规划 ArcGIS Enterprise 部署的一个关键方面在于确定对访问门户的帐户的管理方式以及授予这些帐户什么权限。确定帐户管理方式关系到标识存储的选择。
理解标识存储
门户的标识存储定义了门户帐户凭据的存储位置、身份验证的方式以及管理群组成员资格的方式。ArcGIS Enterprise 门户支持两种类型的标识存储:内置标识存储和企业标识存储。
内置标识存储
ArcGIS Enterprise 门户可以配置为允许成员在门户中轻松创建帐户和群组。启用时,您可使用门户网站登录页面上的创建帐户链接向门户添加内置帐户,并开始向组织贡献内容或者访问由其他成员创建的资源。您还可以单击门户网站主页上的群组选项卡,然后通过创建群组来管理项目。使用这种方法在门户中创建帐户和群组时,您利用的是内置标识存储,这将执行身份验证并存储门户帐户用户名称、密码、角色以及群组成员资格。
必须使用内置标识存储创建门户的初始管理员帐户,但之后可以切换到企业标识存储。内置标识存储对于门户的启动和运行以及开发与测试都是非常有用的。但生产环境通常利用企业标识存储。
企业标识存储
ArcGIS Enterprise 门户的设计旨在使您能够通过使用企业帐户和群组来控制对于 ArcGIS 组织的访问。例如,可通过使用来自轻量级目录访问协议 (LDAP) 服务器、活动目录服务器以及支持安全声明标记语言 2.0 (SAML) Web 单点登录的身份提供者的凭据来控制对门户的访问。本文档中将此过程描述为设置企业登录帐户。
此方法的优势在于无需在门户内创建其他帐户。成员使用已在企业标识存储中设置的登录帐户。帐户凭据的管理完全在门户的外部完成。这将启用单点登录体验,因此用户无需重新输入其凭据。
同样,还可以在使用标识存储中的现有企业组的门户中创建群组。而且,可以从您组织内的企业组中批量添加企业账户。成员登录门户后,访问内容、项目和数据由企业群组中定义的成员规则控制。群组成员资格的管理完全在门户的外部完成。
例如,建议对您的门户禁用匿名访问,将您的门户与组织内所需的企业组相连,然后在这些群组的基础上添加企业帐户。通过这样的方式,您可根据组织内特定的企业组限制对您门户的访问。
如果组织希望设置关于密码有效期和复杂程度的策略、使用现有企业组控制对数据的访问或者希望通过集成的 Windows 身份验证 (IWA) 或公钥基础设施 (PKI) 来利用身份验证,请使用企业标识存储。可以在 Web 层(使用 Web 层的身份验证)、门户层(使用门户层的身份验证)执行身份验证,或者通过外部身份提供者执行身份验证(使用 SAML)。
支持多个标识存储
通过使用 SAML 2.0,您可以允许使用多个身份存储来访问您的门户。用户可使用内置帐户和在配置为相互信任的多个 SAML 兼容身份提供者中管理的帐户进行登录。这是一种管理组织内外用户的有效方式。有关完整详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
理解访问权限
一旦确定如何在 ArcGIS Enterprise 中管理帐户,就需要确定要为访问 ArcGIS 组织的用户授予哪些权限。根据访问门户的用户是否为 ArcGIS 组织成员来定义权限。
如果用户在访问门户时没有使用 ArcGIS 组织帐户,则只能搜索和使用公共项目。例如,如果将公共 web 地图嵌入到网站中,查看该地图的用户即使不具备帐户也能够访问您门户中的项目。由您自己决定是否启用此类访问。您可以始终禁止那些尚不属于 ArcGIS 组织的人员的访问。要了解如何进行此操作,请参阅禁用匿名访问。
如果用户是 ArcGIS 组织成员,则可以使用高级权限访问门户。ArcGIS 组织成员在门户网站上的组织页面中列出。组织的成员按用户类型进行组织,这些用户类型对应具有不同权限的各种角色。要了解更多,请参阅用户类型、角色和权限。
在将新的 ArcGIS 组织帐户添加到门户时,默认为该帐户授予用户角色。但门户管理员可以随时更改此角色。
管理 ArcGIS 组织帐户
ArcGIS 组织帐户是已添加到门户网站组织面板中的用户帐户。在本文档和门户网站的用户体验中,这些用户通常是指组织中的成员。
作为管理员,不仅要完全控制授予 ArcGIS 组织中每个成员的权限,而且还要完全控制允许哪些用户成为组织成员,这非常重要。
门户中 ArcGIS 组织帐户的最大数量由激活软件时使用的授权文件定义。随时可以在门户网站中通过组织页面对组织成员总数和允许的最大数量进行比较。在成员总数下,当前计数列出了门户成员的当前数量,允许的最大数量显示了门户授权成员的总数。
在使用内置存储时管理帐户
使用内置存储时,可配置门户网站以显示一个链接,任何用户均可使用此链接加入 ArcGIS 组织。这样一来,人们可以轻松地加入您的组织,但您却无法真正地限制谁能够加入;访问门户的任何人都可以创建帐户。如果希望对此进行更多控制,则可以禁用此自助体验,然后为门户批量配置预定义数量的帐户。要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。您还可以随时从门户网站中移除成员或更改他们的权限。
在使用企业标识存储时管理帐户
ArcGIS Enterprise 门户不允许您在企业存储中删除、编辑或创建新的帐户,但可以注册组织中现有的企业帐户。因此,在使用企业标识存储配置门户时,门户网站中的登录页面将不可用。
通常由管理员来选择希望添加到组织中的企业登录帐户并进行批量添加。要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。您还可以随时从门户网站中移除成员或更改他们的权限。
或者也可以自动添加任何连接到门户的企业帐户或其中任意项目。有关详细信息,请参阅企业帐户的自动注册。
在使用企业标识存储配置门户时,将禁用对 ArcGIS 组织的匿名访问;也就是说,任何访问门户的用户都必须先对照您的企业存储进行身份验证。能够理解这一点非常重要。通过验证后,将根据用户是否具备 ArcGIS 组织帐户来确定其权限。
旧版本:
在 Portal for ArcGIS 10.2 版本中,企业帐户会自动注册为组织成员。这意味着组织的成员数量可能会在无意之中超出最大数量。当从 Portal for ArcGIS 10.2 版本升级到更新版本时,遗留行为仍然存在;默认情况下仍会自动注册帐户。相反,Portal for ArcGIS 的全新安装不允许自动帐户创建。如果已将门户从 10.2 版本升级到更新版本,那么您可能会考虑关闭此行为,从而对哪些用户将作为成员添加到组织中这件事获得更多的控制。有关完整说明,请参阅企业帐户的自动注册。
帐户锁定策略
软件系统经常强制执行帐户锁定策略,以避免多次自动尝试猜测用户密码。如果用户在一定时间间隔内登录失败达到一定次数,那么该用户可能被拒绝在指定时间段内再次尝试登录。这些策略权衡了有时用户会忘记其用户名和密码,因而无法成功登录这一事实。
Portal for ArcGIS 强制的锁定策略取决于您所使用的标识存储类型:
内置标识存储
内置标识存储会将连续五次登录失败的用户锁定。锁定持续 15 分钟。此策略适用于标识存储中的所有帐户,包括初始管理员帐户。此策略无法修改或替换。
企业标识存储
使用企业级标识存储时,将从该存储继承帐户锁定策略。您也许能够针对该存储修改帐户锁定策略。要了解如何更改帐户锁定策略,请参阅特定于存储类型的文档。