用于确定如何在 ArcGIS Enterprise 组织中配置安全性的主要因素应为用户源,或者也可以是群组源。 此用户和群组源被称作标识存储。 通过标识存储管理组织内部或外部的用户和群组。
理解标识存储
组织的标识存储定义了门户帐户凭据的存储位置、身份验证的方式以及管理群组成员资格的方式。 ArcGIS Enterprise 组织支持两种类型的标识存储:内置标识存储和组织特定的标识存储。
内置标识存储
ArcGIS Enterprise门户可以配置为允许成员在门户中创建帐户和群组。 启用时,您可使用门户网站登录页面上的创建帐户链接向门户添加内置帐户,并开始向组织贡献内容或者访问由其他成员创建的资源。 使用这种方法在门户中创建帐户和群组时,您使用的是内置标识存储,这将执行身份验证并存储门户帐户用户名称、密码、角色以及群组成员资格。
您必须使用内置标识存储为组织创建初始管理员帐户,但是稍后可以切换到组织特定的标识存储。 内置标识存储对于启动和运行门户以及进行开发和测试很有用。 但生产环境通常使用组织特定的标识存储。
注:
如果您需要从组织特定的标识存储恢复到内置标识存储,您可以通过删除门户管理员目录中更新标识存储页面中的用户存储配置和组存储配置文本框中的任何信息来实现。 有关详细信息,请参阅 ArcGIS REST API 文档。
组织特定的标识存储
ArcGIS Enterprise 的设计旨在使您能够通过使用组织特定的帐户和群组来控制对于 ArcGIS 组织的访问。 例如,可通过使用来自轻量级目录访问协议 (LDAP) 服务器以及支持安全声明标记语言 (SAML) 2.0 Web 浏览器单点登录的身份提供者的凭据来控制对门户的访问。 本文档中将此过程描述为设置组织特定的登录帐户。
此方法的优势在于您无需在门户中创建额外的帐户。 成员使用已在组织特定的标识存储中设置的登录帐户。 帐户凭据的管理(包括密码复杂程度和有效期的策略)完全在门户的外部完成。 这将启用单点登录体验,因此用户无需重新输入其凭据。
同样,还可以使用标识存储中的现有 Active Directory、LDAP 或 SAML 群组的门户中创建群组。 此外,可以从组织中的 Active Directory、LDAP 或 SAML 群组批量添加组织特定的帐户。 成员登录门户后,访问内容、项目和数据由 Active Directory、LDAP 或 SAML 群组中定义的成员规则控制。 群组成员资格的管理完全在门户的外部完成。
例如,建议对您的门户禁用匿名访问,将您的门户与组织内所需的 Active Directory、LDAP 或 SAML 群组相连,然后在这些群组的基础上添加组织特定的帐户。 通过这样的方式,您可以根据组织内的特定 Active Directory、LDAP 或 SAML 群组来限制对门户的访问。
如果组织希望设置关于密码有效期和复杂性的策略、使用现有 LDAP 或 SAML 群组控制对数据的访问或者希望通过 LDAP 或基于公钥基础设施 (PKI) 的客户端证书身份验证来使用身份验证,请使用组织特定的标识存储。 可以在 Web 层级别(使用 Web 层的身份验证)、门户层级别(使用门户层的身份验证)执行身份验证,或者通过外部身份提供者执行身份验证(使用 SAML)。
支持多个标识存储
通过使用 SAML 2.0,您可以使用多个标识存储来访问您的门户。 用户可以使用内置帐户登录,也可以使用在多个 SAML 兼容标识提供者中管理的帐户进行配置,以相互信任。 这是管理可能驻留在组织内部或外部的用户的好方法。 有关详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
使用门户的标识存储配置内置用户和群组
使用内置用户和群组时,无需任何门户配置步骤;在安装软件后,门户可立即用于内置用户和群组。 如果您使用的是组织特定的用户,有关详细信息,请参阅以下各部分和相关链接。
配置组织特定的登录帐户
以下组织特定的身份提供者可以使用门户进行配置。 可以在 Web 层(使用 ArcGIS Web Adaptor)或在门户层执行身份验证。
Web 层身份验证
如果您拥有 LDAP 目录,则可将其与 ArcGIS Enterprise 门户一同使用。 有关详细信息,请参阅配合使用门户、LDAP 和 Web 层身份验证。 如果要使用 LDAP,请将 Web Adaptor 部署到 Java 应用程序服务器,如 Apache Tomcat、IBM WebSphere 或 Oracle WebLogic。
如果贵组织拥有基于 PKI 的客户端证书身份验证,通过 HTTPS 可使用证书对门户通信进行身份验证。 使用客户端证书身份验证时无法启用对门户的匿名访问。 有关详细信息,请参阅使用 LDAP 和 PKI 安全访问门户。
门户层身份验证
如果要允许在不使用 SAML 的情况下使用组织特定的标识存储和内置标识存储来访问门户,则可以使用门户层身份验证。 完成方式为使用 LDAP 标识存储配置门户,然后启用对您 Java 应用程序服务器的匿名访问。 当访问您门户的登录页面时,用户能够使用组织特定的凭据或者内置凭据进行登录。 组织特定的用户在每次登录至门户时均需要输入其帐户凭据;自动或单点登录将不可用。 这种类型的身份验证还允许匿名用户访问与所有人共享的地图或其他门户资源。
使用门户层身份验证时,成员将使用以下语法登录:
- 如果通过活动目录使用门户,则语法为 domain\username 或 username@domain。 无论成员以何种方式登录,门户网站上的用户名始终显示为 username@domain。
- 如果通过 LDAP 使用门户,则语法始终为 username。 门户网站也以此格式显示帐户。
使用 SAML 配置组织特定的登录帐户
ArcGIS Enterprise 门户支持所有 SAML 兼容身份提供者。 有关详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
帐户锁定策略
软件系统通常强制执行帐户锁定策略,以防止大规模的自动猜测用户密码的尝试。 如果用户在特定时间间隔内进行了一定数量的失败登录尝试,则可能会拒绝他们在指定时间段内进行进一步尝试。 这些策略与有时用户会忘记其名称和密码而无法成功登录的实际情况相平衡。
强制的门户锁定策略取决于您所使用的标识存储类型:
内置标识存储
内置标识存储会将连续五次登录失败的用户锁定。 锁定持续 15 分钟。 此策略适用于标识存储中的所有帐户,包括初始管理员帐户。 无法修改或替换该策略。
组织特定的标识存储
使用组织特定的标识存储时,帐户锁定策略将从该存储继承。 您可能可以修改存储的帐户锁定策略。 要了解如何更改帐户锁定策略,请参阅特定于存储类型的文档。
监控失败的登录尝试
可通过在门户目录中查看门户日志来监控失败的登录尝试。 任何一次失败登录后都将显示一条警报级别的消息,提示用户由于无效的用户名或密码组合而导致登录失败。 如果用户超过了登录尝试的最大次数,则将记录一条严重级别的消息,提示帐户已被锁定。 监控门户日志以便获得关于失败登录尝试的信息可以帮助您确定系统中是否存在潜在的密码攻击。
有关详细信息,请参阅使用门户日志。