您可以使用轻量级目录访问协议 (LDAP) 安全访问组织。 使用 LDAP 时,通过组织的 LDAP 服务器管理登录帐户。
要使用 LDAP,可通过部署到 Java 应用程序服务器的 ArcGIS Web Adaptor (Java Platform) 设置门户层身份验证或 web 层身份验证。 无法使用 ArcGIS Web Adaptor (IIS) 按照 LDAP 执行 Web 层身份验证。 如果您尚未执行此操作,请通过门户安装并配置 ArcGIS Web Adaptor(Java 平台)。
使用 LDAP 配置门户
默认情况下,Portal for ArcGIS 将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许同时使用 HTTP 和 HTTPS 通信,则必须按照下列步骤将门户重新配置为仅使用 HTTPS 通信:
配置组织以对所有通信使用 HTTPS
要将组织配置为使用 HTTPS,请完成以下步骤:
- 以管理员的身份登录到组织网站。
URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home。
- 单击组织,再单击设置选项卡,然后单击页面左侧的安全性。
- 启用允许仅通过 HTTPS 访问门户。
更新门户的身份存储
然后,更新门户的身份存储以使用 LDAP 用户和群组。
- 以组织管理员的身份登录到 ArcGIS Portal Directory。 URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > 配置 > 更新身份存储。
- 在用户存储配置(JSON 格式)文本框中,粘贴组织的 LDAP 用户配置信息(JSON 格式)。 或者,您可以将下列示例更新为特定于组织的用户信息。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
大多数情况下,只需要更改 user、userPassword 和 ldapURLForUsers 参数值。 LDAP 的 URL 需要由 LDAP 管理员提供。
在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。
如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设置为 true。
- 如果想要在使用标识存储中的现有 LDAP 群组的门户中创建群组,请将组织的 LDAP 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 或者,您可以将下列示例更新为特定于组织的群组信息。 如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
大多数情况下,只需要更改 user、userPassword、ldapURLForUsers 和 ldapURLForUsers 参数值。 LDAP 的 URL 需要由 LDAP 管理员提供。
在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
用于用户参数的帐户需要具有在组织中查找组的名称的权限。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。
如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设置为 true。
- 单击更新配置保存更改。
- 如果您已配置高可用性门户,请重新启动每台门户计算机。 有关完整的说明,请参阅停止和启动门户。
添加组织特定帐户
默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。
使用以下方法之一将帐户添加到组织中:
建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户。
添加帐户并完成以下步骤之后,用户将能够登录到组织并访问内容。
配置 ArcGIS Web Adaptor 以使用 Web 层身份验证
在您的组织中按照相应的安装指南安装和配置 ArcGIS Web Adaptor (Java Platform) 后,必须通过下面两个主要任务来配置 Java 应用程序服务器:
- 与您的 LDAP 标识存储集成。 这将允许您的 Java 应用程序服务器对此 LDAP 存储中托管的用户进行身份验证。
- 为组织的 ArcGIS Web Adaptor 上下文启用基于浏览器的身份验证机制,例如基于表单或对话框的身份验证。
有关说明,请咨询您的系统管理员,参阅 Java 应用程序服务器的产品文档或咨询 Esri 专业服务。
验证是否可以使用 LDAP 访问门户
- 打开门户网站。
URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home。
- 验证系统是否提示您输入 LDAP 帐户凭据。 如果未出现此行为,请验证您登录到计算机所使用的 LDAP 帐户是否已被添加到门户中。
防止用户创建自己的内置帐户
您可以通过在组织设置的禁止用户创建新内置帐户来防止用户创建自己的内置帐户。