规划 ArcGIS Enterprise 部署的一个关键方面在于确定对访问门户的帐户的管理方式以及授予这些帐户什么权限。 确定如何管理帐户是选择标识存储的问题。
理解标识存储
门户的标识存储定义了门户帐户凭据的存储位置、身份验证的方式以及管理群组成员资格的方式。 ArcGIS Enterprise 门户支持两种类型的标识存储:内置标识存储和组织特定的标识存储。
内置标识存储
ArcGIS Enterprise 门户可以配置为允许成员在门户中轻松创建帐户和群组。 启用时,您可使用门户网站登录页面上的创建帐户链接向门户添加内置帐户,并开始向组织贡献内容或者访问由其他成员创建的资源。 使用这种方法在门户中创建帐户和群组时,您利用的是内置标识存储,这将执行身份验证并存储门户帐户用户名称、密码、角色以及群组成员资格。
您必须使用内置标识存储为门户创建初始管理员帐户,但是稍后可以切换到组织特定的标识存储。 内置标识存储对于启动和运行门户以及进行开发和测试很有用。 但生产环境通常利用组织特定的标识存储。
组织特定的标识存储
ArcGIS Enterprise 门户的设计旨在使您能够通过使用组织特定的帐户和群组来控制对于 ArcGIS 组织的访问。 例如,可通过使用来自轻量级目录访问协议 (LDAP) 服务器、活动目录服务器以及支持安全声明标记语言 2.0 (SAML) Web 浏览器单点登录的身份提供者的凭据来控制对门户的访问。 本文档中将此过程描述为设置组织特定的登录帐户。
此方法的优势在于您无需在门户中创建额外的帐户。 成员使用已在组织特定的标识存储中设置的登录帐户。 帐户凭据的管理(包括密码复杂程度和有效期的策略)完全在门户的外部完成。 这将启用单点登录体验,因此用户无需重新输入其凭据。
同样,还可以在使用标识存储中的现有企业组的门户中创建群组。 此外,还可以从您组织内的企业群组中批量添加组织特定的帐户。 成员登录门户后,访问内容、项目和数据由企业群组中定义的成员规则控制。 群组成员资格的管理完全在门户的外部完成。
例如,建议对您的门户禁用匿名访问,将您的门户与组织内所需的企业组相连,然后在这些群组的基础上添加组织特定的帐户。 通过这样的方式,您可以根据组织内的特定企业群组来限制对门户的访问。
如果组织希望设置关于密码有效期和复杂性的策略、使用现有企业群组控制对数据的访问或者希望通过集成的 Windows 身份验证 (IWA) 或公钥基础设施 (PKI) 来利用身份验证,请使用组织特定的标识存储。 可以在 Web 层级别(使用 Web 层的身份验证)、门户层级别(使用门户层的身份验证)执行身份验证,或者通过外部身份提供者执行身份验证(使用 SAML)。
ArcGIS Enterprise 使用 Active Directory 标识存储,支持来自具有单个森林的多个域的身份验证,但不提供跨森林的身份验证。 要支持来自多个森林的组织特定的用户,需要 SAML 标识提供者。
支持多个标识存储
通过使用 SAML 2.0,您可以使用多个标识存储来访问您的门户。 用户可以使用内置帐户登录,也可以使用在多个 SAML 兼容标识提供者中管理的帐户进行配置,以相互信任。 这是管理可能驻留在组织内部或外部的用户的好方法。 有关完整详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
理解访问权限
一旦确定如何在 ArcGIS Enterprise 中管理帐户,就需要确定要为访问 ArcGIS 组织的用户授予哪些权限。 权限是由访问门户的用户是否属于 ArcGIS 组织来定义的。
如果用户在访问门户时没有使用 ArcGIS 组织帐户,则只能搜索和使用公共项目。 例如,如果将公共 web 地图嵌入到网站中,查看该地图的用户即使不具备帐户也能够访问您门户中的项目。 由您自己决定是否启用此类访问。 您可以始终禁止那些尚不属于 ArcGIS 组织的人员的访问。 要了解如何进行此操作,请参阅禁用匿名访问。
如果用户是 ArcGIS 组织成员,则可以使用高级权限访问门户。 ArcGIS 组织成员在门户网站上的组织页面中列出。 组织的成员按用户类型进行组织,这些用户类型对应具有不同权限的各种角色。 要了解更多,请参阅用户类型、角色和权限。
在将新的 ArcGIS 组织帐户添加到门户时,默认为该帐户授予用户角色。 但门户管理员可以随时更改此角色。
管理 ArcGIS 组织帐户
ArcGIS 组织帐户是已添加到门户网站组织面板中的用户帐户。 在门户网站的整个文档和用户体验中,这些用户通常称为组织成员。
作为管理员,不仅要完全控制授予每个 ArcGIS 组织成员的权限,而且要完全控制允许谁成为其成员,这非常重要。
门户中 ArcGIS 组织帐户的最大数量由许可门户时使用的许可文件定义。 通过门户网站组织页面上的概览和许可选项卡,随时可以比较分配了用户类型的成员总数和可用的用户类型许可。 在概览选项卡上,您可以在成员概览中查看已分配的许可总数和可用的许可总数。 在许可选项卡中,您可以在用户类型选项卡上查看每种用户类型的已分配许可和可用许可。
在使用内置存储时管理帐户
使用内置存储时,可配置门户网站以显示一个链接,任何用户均可使用此链接加入 ArcGIS 组织。 这样一来,人们可以轻松地加入您的组织,但您却无法限制谁能够加入;访问门户的任何人都可以创建帐户。 如果希望对此进行更多控制,则可以禁用此自助体验,然后为门户批量配置预定义数量的帐户。 要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。 您还可以随时从门户网站中移除成员或更改他们的权限。
在使用组织特定标识存储时管理帐户
ArcGIS Enterprise 门户不允许您在标识存储中删除、编辑或创建新的帐户,但可以注册组织中现有的组织特定帐户。因此,当您使用组织特定标识存储配置门户时,门户网站中的注册页面无法使用。
通常由管理员来选择希望添加到组织中的登录组织特定登录帐户并进行批量添加。 要了解有关批量创建 ArcGIS 组织帐户的详细信息,请参阅向门户添加成员。 您还可以随时从门户网站中移除成员或更改他们的权限。
或者也可以自动添加任何连接到门户的组织特定帐户或其中任意项目。 有关详细信息,请参阅组织特定的帐户的自动注册。
在使用组织特定标识存储配置门户时,将禁用对 ArcGIS 组织的匿名访问;也就是说,任何访问门户的用户都必须先对照您的标识存储进行身份验证。能够理解这一点非常重要。 通过身份验证后,将根据用户是否具有 ArcGIS 组织帐户来确定用户的权限。
旧版本:
在 Portal for ArcGIS 10.2 版本中,组织特定帐户会自动注册为组织成员。 这意味着组织的成员数量可能会在无意之中超出最大数量。 当从 Portal for ArcGIS 10.2 版本升级到更新版本时,遗留行为仍然存在;默认情况下仍会自动注册帐户。 相反,Portal for ArcGIS 的全新安装不允许自动帐户创建。 如果已将门户从 10.2 版本升级到更新版本,那么您可能会考虑关闭此行为,从而对哪些用户将作为成员添加到组织中这件事获得更多的控制。 有关完整说明,请参阅组织特定帐户的自动注册。
帐户锁定策略
软件系统通常强制执行帐户锁定策略,以防止大规模的自动猜测用户密码的尝试。 如果用户在特定时间间隔内进行了一定数量的失败登录尝试,则可能会拒绝他们在指定时间段内进行进一步尝试。 这些策略与有时用户会忘记其名称和密码而无法成功登录的实际情况相平衡。
强制的门户锁定策略取决于您所使用的标识存储类型:
内置标识存储
内置标识存储会将连续五次登录失败的用户锁定。 锁定持续 15 分钟。 此策略适用于标识存储中的所有帐户,包括初始管理员帐户。 无法修改或替换该策略。
组织特定的标识存储
使用组织特定的标识存储时,帐户锁定策略将从该存储继承。 您可能可以修改存储的帐户锁定策略。 要了解如何更改帐户锁定策略,请参阅特定于存储类型的文档。