Skip To Content

配置安全性设置

作为默认管理员或具有相应权限的成员,您可确定是否所有事务都需要 HTTPS 以及是否允许匿名访问门户。 您还可以配置用于共享和搜索的安全性设置、密码策略、登录选项、访问通知、信息通栏、受信任的服务器等。

提示:

有关深度安全、隐私和合规性信息,请访问 ArcGIS 信任中心

  1. 验证您是否以默认管理员或启用了管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 配置以下任一安全性设置:

访问和权限

根据需要更改以下任意策略设置:

  • 仅允许通过 HTTPS 访问门户 - 默认情况下, 门户将强制使用仅 HTTPS 通信,以确保在 Internet 上进行通信期间对组织数据以及所有允许访问您数据的临时标识令牌进行加密。 关闭此切换按钮可同时允许 HTTP 和 HTTPS 通信。 对此设置进行的更改可能会影响站点的性能。
  • 允许对您的门户进行匿名访问 - 启用此选项可允许匿名用户访问您组织的网站。 如果未选中此选项,则将禁用匿名访问,并且匿名用户无法访问网站。 他们也无法通过 Bing Maps 查看您的地图(如果您的组织配置了 Bing Maps)。

    如果启用匿名访问,请确保将为站点配置群组所选的群组共享给公众;否则,匿名用户将无法正常查看或访问这些群组的公共内容。

  • 允许成员编辑个人信息以及可查看其个人资料的用户 - 启用此选项可允许成员修改个人资料中的个人信息以及可查看其个人资料的用户。
  • 允许用户创建新的内置帐户 - 启用此选项可允许用户从门户登录页面创建内置门户帐户。 如果使用组织特定帐户或想要手动创建所有帐户,则禁用此选项。

共享和搜索

根据需要更改以下任意共享和搜索设置:

  • 成员可公开共享内容 - 启用此选项可允许成员将其个人资料设置为所有人(公众)可见、与公众共享其 web 应用程序和其他项目,或在网站中嵌入地图或群组。

  • 在项目和群组页面中显示社交媒体链接 - 启用此选项可在项目和群组页面中包括 FacebookTwitter 链接。

密码策略

成员更改其密码时,必须符合组织的策略。 否则,会显示包含策略详细信息的消息。 组织的密码策略不适用于使用应用程序 ID 和应用程序密码提示问题的组织特点登录帐户,例如 SAML 登录帐户或应用程序凭据。

单击管理密码策略来配置密码长度、复杂性和内置帐户成员的历史要求。 您可以指定字符长度以及密码是否必须至少包含以下任一字符:大写字母、小字字母、数字或特殊字符。 您还可以配置密码的有效天数以及成员不得重新使用的旧密码的数量。 密码区分大小写,且不得与用户名相同。 单击使用默认门户重置组织以使用标准 ArcGIS Enterprise 密码策略(至少包含八个字符并且至少包含一个字母和一个数字,不允许包含空格)。

注:

可能不会接受强度较弱的密码。 如果密码为常用密码(例如 password1)或者包含重复字符或序列字符(例如,aaaabbbb1234abcd),则密码将视为强度较弱。

注:

如果已在组织中配置电子邮件设置,则在更改密码策略时,系统会向您的管理联系人发送自动电子邮件通知。

登录帐户

您可以自定义组织的登录页面,允许成员使用以下任意方法进行登录:ArcGIS 登录帐户、Security Assertion Markup Language (SAML) 登录帐户(之前称为企业登录帐户)以及OpenID Connect 登录帐户。

您还可以自定义登录方法在组织的登录页面上显示的顺序。 要对登录方法重新排序,请单击其控点重新排序并将其拖动到新位置。 单击预览可查看登录页面的外观。

打开 ArcGIS 登录帐户切换按钮允许用户使用 ArcGIS 登录帐户登录到 ArcGIS。

如果您希望成员使用组织的现有 SAML 身份提供者登录到门户,请使用新建 SAML 登录帐户按钮来为门户配置 SAML 兼容的身份提供者

如果您希望成员使用组织的现有 OpenID Connect 身份提供者进行登录,请使用新建 OpenID Connect 登录帐户按钮来配置 OpenID Connect 登录帐户

多因子身份验证

注:

此选项控制内置帐户的多因子身份验证。 要为基于 SAMLOpenID Connect 登录帐户配置多因素身份验证,请联系您的身份提供商以配置相应的选项。

仅当您的组织已配置电子邮件设置时,才可以为内置帐户启用多因子身份验证。

如果组织要为其成员提供登录 ArcGIS 的多因子身份验证设置,请启用允许成员选择是否为其个人帐户设置多因子身份验证切换按钮。 在成员登录时,多因子身份验证还会要求提供除用户名和密码之外的验证码,从而提供提供更高的安全级别。

如果您启用了此项设置,则组织成员可通过其个人资料页面设置多因子身份验证,并在移动手机或平板电脑上接收来自所支持的身份验证应用程序的验证码(目前,Google Authenticator 用于 AndroidiOSAuthenticator 用于 Windows Phone)。 启用多因子身份验证的成员在组织页面的成员选项卡的成员表内“多因子身份验证”列 多因子身份验证 上具有复选标记。

如果为组织启用多因子身份验证,则必须指定至少两名管理员以根据成员帐户需要接收禁用多因子身份验证的电子邮件请求。 ArcGIS Enterprise 代表相应成员发送电子邮件,这些成员通过使用代码登录时遇到问题?链接(位于请求成员输入身份验证代码的页面上)请求多因子身份验证的帮助。 至少需要两个管理员,这样才能确保至少有一个管理员可帮助成员处理多因子身份验证问题。

多因子身份验证适用于支持 OAuth 2.0 的 Esri 应用程序。 其中包括门户网站、ArcGIS Desktop 10.2.1 及更高版本、ArcGIS Pro、ArcGIS 应用程序和 My Esri。 在 ArcGIS Desktop 10.2.1 及更高版本中,可使用多因子身份验证从目录窗口中的即用型服务节点连接到 ArcGIS Enterprise 服务。

访问没有 OAuth 2.0 支持的应用程序时,必须禁用多因子身份验证。 对于某些支持 OAuth 2.0 的应用程序(例如 ArcGIS Desktop 10.2.1 及更高版本),在连接 ArcGIS Desktop 和作为 ArcGIS Online 组成部分的 ArcGIS Enterprise 服务时仍必须禁用多因子身份验证。其中包括执行路径分析和高程分析的地理编码服务和地理处理服务。 使用 Esri 高级内容存储凭据时也必须禁用多因子身份验证。

访问通知

您可以为访问站点的用户配置并显示条款通知。

您可以为组织成员、访问组织的所有用户或二者配置访问通知。 如果您为组织成员设置访问通知,则成员登录后将显示该通知。 如果您为所有用户设置访问通知,则当任何用户访问您的站点时,都会显示该通知。 如果您同时设置了两个访问通知,则组织成员将看到两个通知。

要为组织成员或所有用户配置访问通知,请在相应部分中单击设置访问通知,打开切换按钮以显示访问通知,并提供通知标题和文本。 如果您希望用户在接受访问通知后再继续访问站点,请选择接受和拒绝;如果您希望用户必须单击确定才能继续,请选择仅确定。 完成后单击保存

要编辑组织成员或所有用户的访问通知,请在相应的部分中单击编辑访问通知,以对标题、文本或操作按钮选项进行更改。 如果您不再希望显示访问通知,请使用切换按钮以禁用访问通知。 禁用访问通知后,如果将来重新启用访问通知,则系统会保留先前输入的文本和配置。 完成后单击保存

信息通栏

可以使用信息通栏向所有访问您组织的用户发出有关站点状态和内容的警报。 例如,通过创建显示在站点顶部和底部的自定义消息,来通知用户维护计划、分类信息警报和只读模式。 如果已在应用程序中启用,通栏将显示在主页、图库、Map Viewer、Scene Viewer、Notebook、群组、内容和组织页面以及在 ArcGIS Enterprise 站点中创建的站点上。

要为组织启用信息通栏,单击设置信息通栏,并打开显示信息通栏。 在通栏文本字段中添加文本,然后选择背景颜色和字体颜色。 所选文本和背景颜色的对比度随即显示。 对比度是基于 WCAG 2.1 可用性标准的可读性度量;根据这些标准,建议使用 4.5 的对比度。

您可以在预览窗格中预览信息通栏。 单击保存将通栏添加到组织。

要编辑信息通栏,请单击编辑信息通栏并更改通栏文本或样式。 如果您不再希望显示信息通栏,请使用切换按钮禁用信息通栏。 禁用信息通栏后,如果将来重新启用信息通栏,则系统会保留先前输入的文本和配置。 完成后单击保存

受信任服务器

对于受信任服务器,可配置受信任服务器列表,使其包含通过跨域资源共享 (CORS) 请求访问受 web 层身份验证保护的服务时,希望客户端发送凭据的目标服务器。 这主要用于编辑独立(非联合)ArcGIS Server 上的安全要素服务,或查看安全 OGC 服务。 ArcGIS Server 受基于令牌的安全性保护的托管服务不需要添加到此列表。 添加到受信任服务器列表中的服务器必须支持 CORS。 托管在不支持 CORS 的服务器上的图层可能无法按预期运行。 默认情况下,ArcGIS Server 10.1 及更高版本支持 CORS。 要在非 ArcGIS 的服务器上配置 CORS,请参阅 web 服务器的供应商文档。

需要单独输入主机名。 请勿使用通配符,系统不接受通配符。 输入主机名时,其前面可以输入协议,也可以不输入。 例如,主机名 secure.esri.com 可以输入为 secure.esri.comhttps://secure.esri.com

注:

编辑受 web 层身份验证保护的要素服务时,需要启用了 CORS 的 web 浏览器。 ArcGIS Enterprise 支持的最新版本的浏览器已启用了 CORS。 要测试浏览器是否启用了 CORS,可打开 https://caniuse.com/cors

允许原点

默认情况下,对于来自任何域上的 Web 应用程序的跨域资源共享 (CORS) 请求,ArcGIS REST API 均为开放状态。 如果您的组织要限制能够通过 CORS 访问 ArcGIS REST API 的 Web 应用程序域,则必须明确指定这些域。 例如,要仅限制对 acme.com 上的 Web 应用程序的 CORS 访问,请单击添加并在文本框中输入 https://acme.com,然后单击添加域。 您可以最多为组织指定 100 个受信任的域。 不必将 arcgis.com 指定为受信任域,因为在 arcgis.com 域上运行的应用程序始终可以连接至 ArcGIS REST API

允许门户访问

配置想要共享安全内容的门户列表(例如 https://otherportal.domain.com/arcgis)。 这将允许组织成员使用组织特定登录帐户(包括 SAML 登录帐户)从这些门户访问并查看安全内容。 与您组织协作的门户将自动包括在内,因此无需添加到该列表。 这仅适用于 ArcGIS Enterprise 10.5 或更高版本的门户。 ArcGIS Online 组织共享安全内容时无需此设置。

必须单独输入门户 URL,且 URL 必须包括协议。 请勿使用通配符,系统不接受通配符。 如果添加的门户允许 HTTP 和 HTTPS 两种访问,则必须向该门户添加两个 URL(例如 http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 添加到列表的所有门户均需先经过验证,因此必须可通过浏览器访问。

电子邮件设置

您可以为组织配置电子邮件设置,该设置可用于向成员发送电子邮件通知。 可配置以下电子邮件通知:

  • 密码策略通知 - 更改密码策略时,系统会向您的管理联系人发送自动电子邮件通知。 如果未设置任何管理联系人,则组织中最早的管理员帐户或初始管理员帐户会收到相关的电子邮件通知。
  • 重置密码通知 - 管理员可以在成员选项卡上重置成员的密码,这将向该电子邮件发送包含临时密码的电子邮件。 成员在组织登录页面上指示忘记密码后,还可以请求重置密码链接。 电子邮件将发送到与成员的个人资料帐户相关联的电子邮件地址。
  • 许可到期通知 - 当组织中的许可即将到期时,将自动向您的管理联系人发送电子邮件通知。 这些成员将在许可到期前 90 天开始收到电子邮件,并且将继续以设置的时间间隔收到通知,直到到期的前一天为止。 如果未设置任何管理联系人,则组织中最早的管理员帐户或“初始管理员帐户”会收到相关的电子邮件通知。
  • 多因子身份验证通知 - 您的组织必须配置电子邮件设置才能启用多因子身份验证。 如果配置了多因子身份验证,则指定的管理员将收到电子邮件通知,以根据需要禁用特定成员的多因子身份验证。
  • 项目评论通知 - 在组织中启用评论后,项目所有者将收到有关发布到其项目的新评论的电子邮件通知。
  • 配置文件和设置通知 - 将向成员通知其配置文件和设置的更改,例如密码、安全性问题和配置文件可见性。
  • 磁盘空间不足通知 - 当出现以下任何情况时,将每 24 小时向管理联系人发送一次电子邮件通知:
    • 当门户计算机上的安装目录或日志目录达到 10 GB 的默认可用磁盘空间阈值时发送,并在达到 1 GB 时再次发送。
    • ArcGIS Server 站点中的任意计算机上的安装目录或日志目录达到 ArcGIS Server 中的磁盘空间监控中所述的可用磁盘空间阈值时发送。
    • ArcGIS Data Store 计算机上的可用磁盘空间过小导致生成警告时发送,并在达到使数据存储关闭或进入只读模式的阈值时再次发送。 这些阈值可能因数据存储类型而有所不同。 有关特定可用磁盘空间阈值的详细信息,请参阅 ArcGIS Data Store 系统要求

  1. 要为您的组织配置电子邮件通知,请在电子邮件设置下,单击配置

    如果已经配置了电子邮件设置,请单击管理以打开配置电子邮件设置窗口。

  2. 在 SMTP 设置页面上,执行以下操作:
    1. 输入 SMTP 服务器地址。 这是 SMTP 服务器的 IP 地址或完全限定域名 (FQDN),例如 smtp.domain.com
    2. 输入 SMTP 端口。 这是 SMTP 服务器将通过其进行通信的端口。 一些最常见的通信端口是 25、465 和 587。 默认值为 25。
    3. 加密方法下,为从您的组织发送的电子邮件消息选择加密方法。 您可以选择 PLAIN TEXTSTARTTLSSSL
    4. 如果需要身份验证才能连接指定的 SMTP 服务器,请打开所需的 SMTP 身份验证。 如果不需要 SMTP 身份验证,则可以关闭此选项。
    5. 如果上面启用了所需的 SMTP 身份验证,请输入有权访问 SMTP 服务器的用户的用户名和密码。
    6. 输入将从中发送组织电子邮件的电子邮件地址。 建议将与此电子邮件地址相关联的成员列在您组织的管理联系人下。
    7. 输入将与所发送的发件人电子邮件地址一起显示的电子邮件地址标注。 该信息将在所有电子邮件通知的“发件人”行中显示为发件人。 您可以使用与电子邮件地址相关联的名称,也可以使用诸如 DO NOT REPLY 之类的标注来阻止成员直接回复发件人电子邮件地址。
  3. 单击下一步
  4. 建议您发送一封测试电子邮件,以确认您已正确配置了电子邮件设置。 输入您可以用来验证是否已成功提交测试电子邮件的电子邮件地址,然后单击发送电子邮件。 将会出现一条通知,指示电子邮件是否已成功发送。 有关详细信息,可查看门户日志。
  5. 单击完成以配置电子邮件设置。

如果想要禁用来自组织的电子邮件通知,请单击禁用电子邮件设置