Skip To Content

使用 Windows Active Directory 和 PKI 确保访问安全

使用 Windows Active Directory 验证用户身份时,可以使用公钥基础设施 (PKI) 安全访问组织。

要使用集成的 Windows 身份验证和 PKI,必须使用部署到 MicrosoftIIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。 如果您尚未执行此操作,请通过门户安装配置 ArcGIS Web Adaptor (IIS)

为门户配置 Windows Active Directory

首先,将门户配置为对所有通信使用 SSL。 然后,更新门户的身份存储以使用 Windows Active Directory 用户和组。

配置组织以对所有通信使用 HTTPS

要将组织配置为使用 HTTPS,请完成以下步骤:

  1. 以管理员的身份登录到组织网站。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home

  2. 单击组织,再单击设置选项卡,然后单击页面左侧的安全性
  3. 启用允许仅通过 HTTPS 访问门户

更新门户的身份存储

接下来,更新门户的身份存储以使用 Active Directory 用户和组。

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin

  2. 单击安全性 > 配置 > 更新标识存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。

    或者,您可以将下列示例更新为特定于组织的用户信息:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。 如果可以,请指定密码未过期的帐户。

    在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true

  4. 如果想要在使用身份存储中的现有 Active Directory 组的门户中创建群组,请将组织的 Windows Active Directory 组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    或者,您可以将下列示例更新为特定于组织的群组信息。

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。 如果可以,请指定密码未过期的帐户。

  5. 单击更新配置保存更改。
  6. 如果您已配置高可用性门户,请重新启动每台门户计算机。 有关完整的说明,请参阅停止和启动门户

添加组织特定帐户

默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

添加帐户并完成以下步骤之后,用户将能够登录到组织并访问内容。

安装并启用 Active Directory 客户端证书映射身份验证

IIS 的默认安装中不提供 Active Directory 客户端证书映射。 您必须安装并启用该功能。

安装客户端证书映射身份验证

安装此功能的说明因操作系统而异。

通过 Windows Server 2016 安装

完成以下步骤以通过 Windows Server 2016 安装客户端证书映射身份验证:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)
  3. 展开 Web 服务器安全性角色。
  4. 安全性角色部分,选择客户证书映射身份验证,然后单击下一步
  5. 单击选择要素选项卡上的下一步,然后单击安装

通过 Windows Server 2008/R2 和 2012/R2 安装

完成以下步骤以通过 Windows Server 2008/R2 和 2012/R2 安装客户端证书映射身份验证:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)
  3. 滚动至角色服务部分,单击添加角色服务
  4. 添加角色服务向导选择角色服务页面,选择客户证书映射身份验证并单击下一步
  5. 单击安装

通过 Windows 7、8 和 8.1 安装

完成以下步骤以通过 Windows 7、8 和 8.1 安装客户端证书映射身份验证:

  1. 打开控制面板并单击程序和功能 > 打开或关闭 Windows 功能
  2. 展开 Internet 信息服务 > 万维网服务 > 安全性,然后选择客户端证书映射身份验证
  3. 单击确定

启用 Active Directory 客户端证书映射身份验证

Active Directory 客户端证书映射安装完成后,执行以下步骤启用该功能。

  1. 启动 Internet Information Server (IIS) 管理器。
  2. 连接节点中,单击 web 服务器的名称。
  3. 功能视图 窗口中,双击身份验证
  4. 验证是否显示了 Active Directory 客户端证书身份验证。 如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户端证书身份验证功能的安装。
  5. 双击活动目录客户证书身份验证,并在操作窗口中选择启用

随即显示一条消息,指示必须启用 SSL 才可使用 Active Directory 客户端证书身份验证。 您将在下一部分中对此进行解决。

配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书

完成以下步骤来配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书:

  1. 启动 Internet Information Services (IIS) 管理器。
  2. 展开连接节点并选择 ArcGIS Web Adaptor 站点。
  3. 功能视图 窗口中,双击身份验证
  4. 禁用所有形式的身份验证。
  5. 连接列表中再次选择 ArcGIS Web Adaptor
  6. 双击 SSL 设置
  7. 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
  8. 单击应用保存更改。

验证是否可以使用 Windows Active Directory 和 PKI 访问门户

完成以下步骤以验证是否可以使用 Windows Active Directory 和 PKI 访问门户:

  1. 打开 ArcGIS Enterprise 门户。

    URL 格式为:https://organization.example.com/<context>/home

  2. 验证是否收到有关安全凭据的提示并能够访问网站。

防止用户创建自己的内置帐户

您可以通过在组织设置的禁止用户创建新内置帐户来防止用户创建自己的内置帐户。