作为默认管理员或具有适当权限的成员,您可确定是否所有事务都需要 HTTPS 以及是否允许匿名访问门户。 您还可以配置用于共享和搜索的安全性设置、密码策略、登录选项、访问通知、信息通栏、受信任的服务器等。
提示:
有关深度安全、隐私和合规性信息,请访问 ArcGIS Trust Center。
访问和权限
根据需要更改以下任意策略设置:
- 仅允许通过 HTTPS 访问门户 - 默认情况下, 门户将强制使用仅 HTTPS 通信,以确保在 Internet 上进行通信期间对组织数据以及所有允许访问您数据的临时标识令牌进行加密。 关闭此切换按钮可同时允许 HTTP 和 HTTPS 通信。 对此设置进行的更改可能会影响站点的性能。
允许对您的门户进行匿名访问 - 启用此选项可允许匿名用户访问您组织的网站。 如果未选中此选项,则将禁用匿名访问,并且匿名用户无法访问网站。 他们也无法通过 Bing Maps 查看您的地图(如果您的组织配置了 Bing Maps)。
如果启用匿名访问,请确保将为站点配置群组所选的群组共享给公众;否则,匿名用户将无法正常查看或访问这些群组的公共内容。
- 允许成员编辑个人信息以及可查看其个人资料的用户 - 启用此选项可允许成员修改个人资料中的个人信息以及可查看其个人资料的用户。
- 允许用户创建新的内置账户 - 启用此选项可允许用户从门户登录页面创建内置门户账户。 如果使用组织特定账户或想要手动创建所有账户,则禁用此选项。
共享和搜索
根据需要更改以下任意共享和搜索设置:
非管理员成员可以公开内容、群组和个人资料 - 启用此选项可允许成员将其个人资料或群组设置为所有人(公共)可见、与公众共享其 web 应用程序和其他项目,以及在网站中嵌入内容或群组。 如果禁用此选项,默认管理员和分配了与公众共享成员内容的管理权限的成员仍然可以公开其他成员的内容、群组和个人资料。
- 在项目和群组页面中显示社交媒体链接 - 启用此选项可在项目和群组页面中包括 Facebook 和 Twitter 链接。
登录策略
根据需要为组织配置密码策略和锁定设置。
密码策略
成员更改其密码时,必须符合组织的策略。 否则,会显示包含策略详细信息的消息。 组织的密码策略不适用于使用应用程序 ID 和应用程序密码提示问题的组织特点登录账户,例如 SAML 登录账户或应用程序凭据。
单击管理密码策略可针对拥有内置账户的成员配置密码长度、复杂性和历史要求。 您可以指定字符长度以及密码是否必须至少包含以下任一字符:大写字母、小字字母、数字或特殊字符。 您还可以配置密码的有效天数以及成员不得重新使用的旧密码的数量。 密码区分大小写,且不得与用户名相同。 单击使用门户默认值重置组织以使用标准 ArcGIS Enterprise 密码策略(至少包含八个字符并且至少包含一个字母和一个数字,不允许包含空格)。
注:
可能不会接受强度较弱的密码。 如果密码为常用密码(例如 password1)或者包含重复字符或序列字符(例如,aaaabbbb 或 1234abcd),则密码将视为强度较弱。
锁定设置
默认情况下,当成员尝试使用内置账户登录其 ArcGIS Enterprise 组织时,在 15 分钟内尝试失败 5 次后,他们将在 15 分钟内锁定在网站之外。 单击管理锁定设置以更改允许的失败登录尝试次数或超过该次数时的锁定持续时间,或同时更改两者。 单击恢复默认值以返回到默认锁定设置。
登录账户
您可以自定义组织的登录页面,允许成员使用以下任意方法进行登录:ArcGIS 登录账户、Security Assertion Markup Language (SAML) 登录账户(之前称为企业登录账户)以及OpenID Connect 登录账户。
您还可以自定义登录方法在组织的登录页面上显示的顺序。 要对登录方法重新排序,请单击其控点并将其拖动到新位置。 单击预览可查看登录页面的外观。
打开 ArcGIS 登录按钮允许用户使用 ArcGIS 登录账户登录到 ArcGIS。 配置企业登录后,您可以关闭 ArcGIS 登录切换按钮,将用户引导至外部身份提供者的登录页面而不是组织的登录页面。
注:
ArcGIS 登录选项仅隐藏组织登录页面上的 ArcGIS 选项。 您仍然可以通过手动生成令牌或使用 ArcGIS API 和 SDK 来访问 ArcGIS 应用程序中由 ArcGIS 托管的资源。 要禁用 ArcGIS 帐户,请参阅禁用成员帐户。
如果您希望成员使用组织的现有 SAML 身份提供者登录到门户,请使用新建 SAML 登录账户按钮来为门户配置 SAML 兼容的身份提供者。
如果您希望成员使用组织的现有 OpenID Connect 身份提供者进行登录,请使用新建 OpenID Connect 登录账户按钮来配置 OpenID Connect 登录账户。
多因子身份验证
注:
此选项控制内置账户的多因子身份验证。 要为基于 SAML 或 OpenID Connect 登录账户配置多因素身份验证,请联系您的身份提供商以配置相应的选项。
仅当您的组织已配置电子邮件设置时,才可以为内置账户启用多因子身份验证。
如果组织希望允许成员设置登录 ArcGIS 的多因子身份验证,请打开为组织启用多因子身份验证切换按钮。 在成员登录时,多因子身份验证还会要求提供除用户名和密码之外的验证码,从而提供提供更高的安全级别。
如果您启用了此项设置,则组织成员可通过其设置页面设置多因子身份验证,并在移动手机或平板电脑上接收来自所支持的身份验证器应用程序的验证码(目前,Google Authenticator 用于 Android 和 iOS,Authenticator 用于 Windows Phone)。
提示:
启用多因子身份验证的成员在组织页面的选项卡的成员表内多因子身份验证列 多因子身份验证 上具有复选标记。
如果为组织启用多因子身份验证,则必须指定至少两名管理员以根据成员账户需要接收禁用多因子身份验证的电子邮件请求。 ArcGIS Enterprise 代表相应成员发送电子邮件,这些成员通过使用代码登录时遇到问题?链接(位于请求成员提供身份验证代码的页面上)请求多因子身份验证的帮助。 至少需要两个管理员,这样才能确保至少有一个管理员可帮助成员处理多因子身份验证问题。
多因子身份验证适用于支持 OAuth 2.0 的 Esri 应用程序。 其中包括门户网站、ArcGIS Pro、ArcGIS 应用程序和 My Esri。
访问没有 OAuth 2.0 支持的应用程序时,必须禁用多因子身份验证。 其中包括执行路径分析和高程分析的地理编码服务和地理处理服务。 使用 Esri 高级内容存储凭据时也必须禁用多因子身份验证。
访问通知
您可以为访问站点的用户配置并显示条款通知。
您可以为组织成员、访问组织的所有用户或二者配置访问通知。 如果您为组织成员设置访问通知,则成员登录后将显示该通知。 如果您为所有用户设置访问通知,则当任何用户访问您的站点时,都会显示该通知。 如果您同时设置了两个访问通知,则组织成员将看到两个通知。
要为组织成员或所有用户配置访问通知,请在相应部分中单击设置访问通知,打开切换按钮以显示访问通知,并提供通知标题和文本。 如果您希望用户在接受访问通知后再继续访问站点,请选择接受和拒绝;如果您希望用户必须单击确定才能继续,请选择仅确定。 完成后单击保存。
注:
访问通知中不允许使用 HTML 标记。
要编辑组织成员或所有用户的访问通知,请在相应的部分中单击编辑访问通知,以对标题、文本或操作按钮选项进行更改。 如果您不再希望显示访问通知,请使用切换按钮以禁用访问通知。 禁用访问通知后,如果将来重新启用访问通知,则系统会保留先前键入的文本和配置。 完成后单击保存。
信息通栏
可以使用信息通栏向所有访问您组织的用户发出有关站点状态和内容的警报。 例如,通过创建显示在站点顶部和底部的自定义消息,来通知用户维护计划、分类信息警报和只读模式。 如果已在应用程序中启用,通栏将显示在主页、图库、Map Viewer、Scene Viewer、Notebook、群组、内容和组织页面以及在 ArcGIS Enterprise 站点中创建的站点上。
要为组织启用信息通栏,单击设置信息通栏,并打开显示信息通栏。 在通栏文本字段中添加文本,然后选择背景颜色和字体颜色。 所选文本和背景颜色的对比度随即显示。 对比度是基于 WCAG 2.1 可用性标准的可读性度量;根据这些标准,建议使用 4.5 的对比度。
注:
不允许在信息通栏中使用 HTML 标签。
您可以在预览窗格中预览信息通栏。 单击保存将通栏添加到组织。
要编辑信息通栏,请单击编辑信息通栏并更改通栏文本或样式。 如果您不再希望显示信息通栏,请使用切换按钮禁用信息通栏。 禁用信息通栏后,如果将来重新启用信息通栏,则系统会保留先前键入的文本和配置。 完成后单击保存。
受信任服务器
对于受信任服务器,可配置受信任服务器列表,使其包含通过跨域资源共享 (CORS) 请求访问受 web 层身份验证保护的服务时,希望客户端发送凭据的目标服务器。 这主要用于编辑运行 ArcGIS Server 的独立(非联合)服务器上的安全要素服务,或查看安全 Open Geospatial Consortium (OGC) 服务。 ArcGIS Server 受基于令牌的安全性保护的托管服务不需要添加到此列表。 添加到受信任服务器列表中的服务器必须支持 CORS。 托管在不支持 CORS 的服务器上的图层可能无法按预期运行。 默认情况下,ArcGIS Server 10.1 及更高版本支持 CORS。 要在非 ArcGIS 的服务器上配置 CORS,请参阅 web 服务器的供应商文档。
需要单独提供主机名。 请勿使用通配符,系统不接受通配符。 提供主机名时,其前面可以输入协议,也可以不输入。 例如,主机名 secure.esri.com 可以作为 secure.esri.com 或 https://secure.esri.com 提供。
注:
编辑受 web 层身份验证保护的要素服务时,需要启用了 CORS 的 web 浏览器。 ArcGIS Enterprise 支持的最新版本的浏览器已启用了 CORS。 要测试浏览器是否启用了 CORS,可打开 https://caniuse.com/cors。
允许原点
默认情况下,对于来自任何域上的 Web 应用程序的 CORS 请求,ArcGIS REST API 均为开放状态。 如果您的组织要限制能够通过 CORS 访问 ArcGIS REST API 的 Web 应用程序域,则必须明确指定这些域。 例如,要仅限制对 acme.com 上的 Web 应用程序的 CORS 访问,请单击添加并在文本框中键入 https://acme.com,然后单击添加域。 您可以最多为组织指定 100 个受信任的域。 不必将 arcgis.com 指定为受信任域,因为在 arcgis.com 域上运行的应用程序始终可以连接至 ArcGIS REST API。
允许门户访问
配置想要共享安全内容的门户列表(例如 https://otherportal.domain.com/arcgis)。 这将允许组织成员使用组织特定登录账户(包括 SAML 登录账户)从这些门户访问并查看安全内容。 与您组织协作的门户将自动包括在内,因此无需添加到该列表。 这仅适用于 ArcGIS Enterprise 10.5 或更高版本的门户。 与 ArcGIS Online 组织共享安全内容时无需此设置。
必须单独提供门户 URL,且 URL 必须包括协议。 请勿使用通配符,系统不接受通配符。 如果添加的门户允许 HTTP 和 HTTPS 两种访问,则必须向该门户添加两个 URL(例如 http://otherportal.domain.com/arcgis 和 https://otherportal.domain.com/arcgis)。 添加到列表的所有门户均需先经过验证,因此必须可通过浏览器访问。
应用程序
您可以指定组织成员可以访问哪些外部应用程序,并可在应用程序启动器中向组织成员提供已批准的 Web 应用程序。 您还可以指定应阻止成员访问的 Esri 应用程序列表,以符合法规、标准和最佳实践。
批准应用程序
所有 Esri 应用程序和许可应用程序都会自动批准成员访问。 要在没有请求权限提示的情况下授予组织成员访问其他类型的应用程序的权限,您必须为组织指定已批准的应用程序列表。 批准的应用程序可以包括托管在您的组织内或组织外的 Web、移动或原生应用程序。 要访问外部应用程序,您还可以将成员登录限制为仅那些添加到已批准应用程序列表中的应用程序。
注:
已批准 Web 应用程序也可以在应用程序启动器中提供给组织成员。 对于具有相应许可的成员,获得许可的应用程序将自动显示在应用程序启动器中。 有关详细信息,请参阅在应用程序启动器中管理应用程序。
执行以下操作以批准组织成员访问应用程序:
- 确认您是否以默认管理员或管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
- 单击站点顶部的组织,然后单击设置选项卡。
- 单击页面一侧的安全性,然后单击应用程序以移动到页面的应用程序部分。
- 在已批准应用程序下,单击添加已批准应用程序。
- 使用以下方法之一搜索应用程序:
- 浏览至列表中的应用程序 - 默认情况下,列表中仅包括已注册到您组织的应用程序。
- 按名称搜索
- 按项目 URL 搜索 - 项目 URL 位于应用程序项目页面的概览选项卡(URL 部分)上。
- 按应用程序 ID 搜索 - 如果您拥有或有权访问应用程序项目,您可以在应用程序项目页面的设置选项卡(应用程序设置 > 注册信息)上找到应用程序 ID。 查找应用程序 ID 的另一种方法是在私人浏览器窗口中打开该应用程序,单击该应用程序的登录链接,然后在浏览器地址栏中显示的 URL 中查找 client_id 值。
- 选择要批准的应用程序。
- 如果您选择了 Web 应用程序,可选择关闭在应用程序启动器中显示切换按钮以在应用程序启动器中隐藏 Web 应用程序。
要在应用程序启动器中显示 Web 应用程序,请保持此切换按钮处于打开状态,然后按照在应用程序启动器中管理应用程序中的步骤进行操作。
- 单击保存将应用程序添加到已批准应用程序列表。
阻止的 Esri 应用程序
如果您的组织希望限定对用户类型所包含一些应用程序的访问权限,但无法通过许可控制这些应用程序,您可以配置阻止的应用程序列表。
阻止的应用程序将被从应用程序启动器中移除,并且无法从内容页面或 web 地图创建其项目。 管理员在管理许可和添加新成员时仍然可以看到阻止的应用程序,但无法选择它们。 在阻止某个应用程序之前创建的应用程序项目在组织中仍然可见,但是成员无法登录到其中。 如果阻止的应用程序已与您的组织共享,则成员将无法登录和使用该应用程序。
要阻止应用程序,请单击管理阻止的 Esri 应用程序,选择要阻止的应用程序,然后单击保存。
管理员可以通过在管理阻止的 Esri 应用程序窗口中取消选择它们,或单击列表中该应用程序旁边的移除按钮 ,将其从组织的阻止的应用程序列表中移除。
配置电子邮件设置
您可以为组织配置电子邮件设置,该设置可用于向成员发送电子邮件通知。 可配置以下电子邮件通知:
- 密码策略通知 - 更改密码策略时,系统会向您的管理联系人发送自动电子邮件通知。 如果未设置任何管理联系人,则组织中最早的管理员账户或初始管理员账户会收到相关的电子邮件通知。
- 重置密码通知 - 管理员可以在成员选项卡上重置成员的密码,这将向该电子邮件发送包含临时密码的电子邮件。 成员在组织登录页面上指示忘记密码后,还可以请求重置密码链接。 电子邮件将发送到与成员的个人资料账户相关联的电子邮件地址。
- 许可到期通知 - 当组织中的许可即将到期时,将自动向您的管理联系人发送电子邮件通知。 这些成员将在许可到期前 90 天开始收到电子邮件,并且将继续以设置的时间间隔收到通知,直到到期的前一天为止。 如果未设置任何管理联系人,则组织中最早的管理员账户或“初始管理员账户”会收到相关的电子邮件通知。
- 多因子身份验证通知 - 您的组织必须配置电子邮件设置才能启用多因子身份验证。 如果配置了多因子身份验证,则指定的管理员将收到电子邮件通知,以根据需要禁用特定成员的多因子身份验证。
- 项目评论通知 - 在组织中启用评论后,项目所有者将收到有关发布到其项目的新评论的电子邮件通知。
- 配置文件和设置通知 - 将向成员通知其配置文件和设置的更改,例如密码、安全性问题和配置文件可见性。
- 磁盘空间不足通知 - 当出现以下任何情况时,将每 24 小时向管理联系人发送一次电子邮件通知:
- 当门户计算机上的安装目录或日志目录达到 10 GB 的默认可用磁盘空间阈值时发送,并在达到 1 GB 时再次发送。
- ArcGIS Server 站点中的任意计算机上的安装目录或日志目录达到 ArcGIS Server 中的磁盘空间监控中所述的可用磁盘空间阈值时发送。
- ArcGIS Data Store 计算机上的可用磁盘空间过小导致生成警告时发送,并在达到使数据存储关闭或进入只读模式的阈值时再次发送。 这些阈值可能因数据存储类型而有所不同。 有关特定可用磁盘空间阈值的详细信息,请参阅 ArcGIS Data Store 系统要求。
按照下列步骤配置电子邮件设置:
- 要为您的组织配置电子邮件通知,请在电子邮件设置下,单击配置。
如果已经配置了电子邮件设置,请单击管理以打开配置电子邮件设置窗口。
- 在 SMTP 设置页面上,执行以下操作:
- 提供 SMTP 服务器地址。
这是 SMTP 服务器的 IP 地址或完全限定域名 (FQDN),例如 smtp.domain.com。
- 提供 SMTP 端口。
这是 SMTP 服务器将通过其进行通信的端口。 一些最常见的通信端口是 25、465 和 587。 默认值为 25。
- 在加密方法下,为从您的组织发送的电子邮件消息选择加密方法。
您可以选择纯文本、STARTTLS 或 SSL。
- 如果需要身份验证才能连接指定的 SMTP 服务器,请打开所需的 SMTP 身份验证。
如果不需要 SMTP 身份验证,则可以关闭此选项。
- 如果上面启用了所需的 SMTP 身份验证,请提供有权访问 SMTP 服务器的用户的用户名和密码。
- 提供将从中发送组织电子邮件的电子邮件地址。
建议将与此电子邮件地址相关联的成员列在您组织的管理联系人下。
- 提供将与所发送的发件人电子邮件地址一起显示的电子邮件地址标注。
该信息在所有电子邮件通知的“发件人”行中显示为发件人。 您可以使用与电子邮件地址相关联的名称,也可以使用诸如 DO NOT REPLY 之类的标注来阻止成员直接回复至发件人电子邮件地址。
- 提供 SMTP 服务器地址。
- 单击下一步。
建议您发送一封测试电子邮件,以确认您已正确配置了电子邮件设置。
- 提供您可以用来验证是否已成功提交测试电子邮件的电子邮件地址,然后单击发送电子邮件。
将会出现一条通知,指示电子邮件是否已成功发送。 有关详细信息,可查看门户日志。
- 单击完成以配置电子邮件设置。
要禁用来自组织的电子邮件通知,请单击禁用电子邮件设置。