使用 Windows Active Directory 验证用户身份时,可以使用公钥基础设施 (PKI) 安全访问门户。
要使用集成的 Windows 身份验证和 PKI,必须使用部署到 Microsoft 的 IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。无法使用 ArcGIS Web Adaptor(Java 平台)来执行集成的 Windows 身份验证。如果您尚未执行此操作,请在门户中安装并配置 ArcGIS Web Adaptor (IIS)。
注:
如果您要将 ArcGIS Server 站点添加到您的门户中,并且希望在服务器上使用 Windows Active Directory 和 PKI,那么在将其添加到门户前,您需要在 ArcGIS Server 站点上禁用基于 PKI 的客户端证书身份验证,并启用匿名访问。虽然这听起来可能有悖常理,但是必须执行此操作才能使站点自由地与门户联合并读取门户中的用户和角色。如果您的 ArcGIS Server 站点尚未使用基于 PKI 的客户端证书身份验证,则无需执行任何操作。有关如何将服务器添加到门户的说明,请参阅联合 ArcGIS Server 站点与门户。
为门户配置 Windows Active Directory
首先,将门户配置为对所有通信使用 SSL。然后,更新门户的身份存储以使用 Windows Active Directory 用户和组。
配置门户以对所有通信使用 HTTPS
- 以组织管理员的身份登录到门户网站。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home。
- 单击组织,再单击设置选项卡,然后单击页面左侧的安全性。
- 选中允许仅通过 HTTPS 访问门户。
- 单击保存应用更改。
更新门户的身份存储
接下来,更新门户的身份存储以使用 Active Directory 用户和组。
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > 配置 > 更新身份存储。
- 在用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。或者,您可以将下列示例更新为特定于组织的用户信息。
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
大多数情况下,只需要更改 userPassword 和 user 参数的值。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。如果可以,请指定密码未过期的帐户。
在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true。
- 如果想要在使用身份存储中的现有企业组的门户中创建组,请将组织的 Windows Active Directory 组配置信息(JSON 格式)粘贴到组存储配置(JSON 格式)文本框中,如下所示。或者,您可以将下列示例更新为特定于组织的群组信息。如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
大多数情况下,只需要更改 userPassword 和 user 参数的值。尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。如果可以,请指定密码未过期的帐户。
- 单击更新配置保存更改。
- 如果您已配置高可用性门户,请重新启动每台门户计算机。有关完整的说明,请参阅停止和启动门户。
将企业帐户添加到门户中
默认情况下,企业用户可以访问门户网站。然而,他们只能查看共享给组织中所有人的项目。这是因为企业帐户未添加到门户中,且未授予访问权限。
通过以下方法之一将帐户添加到门户中:
- Portal for ArcGIS 网站(逐一添加,通过 CSV 文件批量添加,或从现有的企业组添加)
- Python 脚本
- 命令行实用程序
- 自动
建议至少将一个企业帐户指定为门户管理员。为此,可在添加帐户时选择管理员角色。如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户。
添加帐户并完成以下步骤之后,用户将能够登录到组织并访问内容。
安装并启用活动目录客户证书映射身份验证
IIS 的默认安装中不提供 Active Directory 客户证书映射。您必须安装并启用要素。
安装客户证书映射身份验证
安装该功能的说明会根据您的操作系统而变化。
Windows Server 2016
- 打开管理工具,单击服务器管理器。
- 在服务器管理器层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 展开 Web 服务器和安全性角色。
- 在安全性角色部分,选择客户证书映射身份验证,然后单击下一步。
- 单击选择要素选项卡上的下一步,然后单击安装。
Windows Server 2008/R2 和 2012/R2
- 打开管理工具,单击服务器管理器。
- 在服务器管理器层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 滚动至角色服务部分,单击添加角色服务。
- 在添加角色服务向导 的选择角色服务页面,选择客户证书映射身份验证并单击下一步。
- 单击安装。
Windows 7、Windows 8 和 Windows 8.1
- 打开控制面板并单击程序和功能 > 打开或关闭 Windows 功能。
- 展开 Internet 信息服务 > 万维网服务 > 安全性,然后选择客户证书映射身份验证。
- 单击确定。
启用活动目录客户证书映射身份验证
Active Directory 客户证书映射安装完成后,执行以下步骤启用要素。
- 启动 Internet 信息服务 (IIS) 管理器。
- 在连接节点中,单击 web 服务器的名称。
- 在功能视图 窗口中,双击身份验证。
- 验证是否显示了活动目录客户证书身份验证。如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户证书身份验证功能的安装。
- 双击活动目录客户证书身份验证,并在操作窗口中选择启用。
随即显示一条消息,指示必须启用 SSL 才可使用活动目录客户证书身份验证。您将在下一部分中解决此问题。
配置 ArcGIS Web Adaptor 以获取 SSL 和客户证书
- 启动 Internet 信息服务 (IIS) 管理器。
- 展开连接节点并选择 Web Adaptor 站点。
- 在功能视图 窗口中,双击身份验证。
- 禁用所有形式的身份验证。
- 从连接列表中再次选择 ArcGIS Web Adaptor。
- 双击 SSL 设置。
- 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
- 单击应用保存更改。
验证是否可以使用 Windows Active Directory 和 PKI 访问门户
- 打开门户网站。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home。
- 验证是否收到安全凭据的提示并能够访问网站。
防止用户创建自己的内置帐户
为了防止用户创建自己的内置帐户,请禁用门户网站中的创建帐户按钮和注册页面 (signup.html)。这意味着所有成员都使用其企业凭据登录到门户,且无法创建不必要的成员帐户。有关完整说明,请参阅禁止用户创建内置门户帐户。