Skip To Content

使用 Windows Active Directory 和客户端证书身份验证保证访问安全

使用 Windows Active Directory 验证用户身份时,可以使用基于公钥基础设施 (PKI) 的客户端证书身份验证保证访问组织的安全。

要使用集成的 Windows 身份验证和客户端证书身份验证,必须使用部署到 MicrosoftIIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。 如果您尚未执行此操作,请通过门户安装配置 ArcGIS Web Adaptor (IIS)

使用 Windows Active Directory 配置您的门户

首先,将门户配置为对所有通信使用 SSL。 然后,更新门户的身份存储以使用 Windows Active Directory 用户和群组。

配置组织以对所有通信使用 HTTPS

要将组织配置为使用 HTTPS,请完成以下步骤:

  1. 以管理员的身份登录到组织网站。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home

  2. 单击组织,再单击设置选项卡,然后单击页面左侧的安全性
  3. 启用允许仅通过 HTTPS 访问门户

更新门户的身份存储

接下来,更新门户的身份存储以使用 Active Directory 用户和组。

  1. 以组织管理员的身份登录到 Portal Administrator Directory。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin

  2. 单击安全性 > 配置 > 更新标识存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。

    或者,您可以将下列示例更新为特定于组织的用户信息:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。 如果可以,请指定密码未过期的帐户。

    在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true

  4. 要在使用身份存储中的现有 Active Directory 群组的门户中创建群组,请将组织的 Windows Active Directory 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 要使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    或者,您可以将下列示例更新为特定于组织的群组信息。

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。 如果可以,请指定密码未过期的帐户。

  5. 单击更新配置保存更改。
  6. 如果您已配置高可用性门户,请重新启动每台门户计算机。 有关完整的说明,请参阅停止和启动门户

添加组织特定帐户

默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。

安装并启用 Active Directory 客户端证书映射身份验证

IIS 的默认安装中不提供 Active Directory 客户端证书映射。 您必须安装并启用该功能。

通过 Windows Server 2016 安装

完成以下步骤以通过 Windows Server 2016 安装客户端证书映射身份验证:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)
  3. 展开 Web 服务器安全性角色。
  4. 安全性角色部分,选择客户证书映射身份验证,然后单击下一步
  5. 单击选择要素选项卡上的下一步,然后单击安装

通过 Windows Server 2019 或 2022 安装

完成以下步骤以通过 Windows Server 2019 或 2022 安装客户端证书映射身份验证:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager Dashboard 中,单击添加角色和功能
  3. 接受默认设置,然后在开始之前安装类型服务器选择页面上单击下一步
  4. 服务器角色中,启用 Web 服务器 (IIS),然后单击下一步
  5. 功能页面上,单击下一步
  6. Web 服务器角色 (IIS) 页面中,单击下一步
  7. 角色服务页面上,展开安全性部分。
  8. 安全性部分,选择 IIS 客户证书映射身份验证,然后单击下一步
  9. 确认页面上,单击安装

启用 Active Directory 客户端证书映射身份验证

安装 Active Directory 客户端证书映射后,请完成以下步骤以启用该功能:

  1. 启动 Internet Information Server (IIS) 管理器。
  2. 连接节点中,单击 web 服务器的名称。
  3. 功能视图 窗口中,双击身份验证
  4. 验证是否显示了 Active Directory 客户端证书身份验证

    如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户端证书身份验证功能的安装。

  5. 双击活动目录客户证书身份验证,并在操作窗口中选择启用

随即显示一条消息,指示必须启用 SSL 才可使用 Active Directory 客户端证书身份验证。 您将在下一部分中对此进行解决。

配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书

完成以下步骤来配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书:

  1. 启动 Internet Information Services (IIS) 管理器。
  2. 展开连接节点并选择 ArcGIS Web Adaptor 站点。
  3. 功能视图 窗口中,双击身份验证
  4. 禁用所有形式的身份验证。
  5. 连接列表中再次选择 ArcGIS Web Adaptor
  6. 双击 SSL 设置
  7. 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
  8. 单击应用保存更改。
注:

要在 Microsoft Windows Server 2022 上运行客户端证书身份验证,必须在 HTTPS 站点绑定下禁用 TLS 1.3。

验证是否可以使用 Windows Active Directory 和客户端证书身份验证访问门户

完成以下步骤以验证是否可以使用 Windows Active Directory 和客户端证书身份验证访问门户:

  1. 打开门户。

    URL 格式为 https://organization.example.com/<context>/home

  2. 验证是否收到有关安全凭据的提示并能够访问网站。

防止用户创建自己的内置帐户

您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。