Skip To Content

使用集成的 Windows 身份验证

可使用集成的 Windows 身份验证 (IWA) 安全访问组织。 使用 IWA 时,通过 Microsoft Windows Active Directory 管理登录帐户。 用户无需登录和登出组织,而是在打开网站时使用 Windows 登录帐户登录网站。

要使用集成的 Windows 身份验证,必须使用部署到 Microsoft IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。 如果您尚未执行此操作,请在门户中安装配置 ArcGIS Web Adaptor (IIS)

配置组织以使用 Windows Active Directory

默认情况下,ArcGIS Enterprise 将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许同时使用 HTTP 和 HTTPS 通信,则必须按照下列步骤将门户重新配置为仅使用 HTTPS 通信:

注:

ArcGIS Enterprise 使用 Active Directory 身份存储,支持来自具有单个森林的多个域的身份验证,但不提供跨森林的身份验证。 要支持来自多个森林的组织特定的用户,需要 SAML 身份提供者。

配置组织以对所有通信使用 HTTPS

要将组织配置为使用 HTTPS,请完成以下步骤:

  1. 以管理员的身份登录到组织网站。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home

  2. 单击组织,再单击设置选项卡,然后单击页面左侧的安全性
  3. 启用允许仅通过 HTTPS 访问门户

更新门户的身份存储

接下来,更新门户的身份存储以使用 Active Directory 用户和组。

  1. 以组织管理员的身份登录到 Portal Administrator Directory。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin

  2. 单击安全性 > 配置 > 更新标识存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。

    或者,您可以将下列示例更新为特定于组织的用户信息:

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。 如果可以,请指定密码未过期的帐户。

    在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true

  4. 要在使用身份存储中的现有 Active Directory 群组的门户中创建群组,请将组织的 Windows Active Directory 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 要使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    或者,您可以将下列示例更新为特定于组织的群组信息。

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。 如果可以,请指定密码未过期的帐户。

  5. 单击更新配置保存更改。
  6. 如果您已配置高可用性门户,请重新启动每台门户计算机。 有关完整的说明,请参阅停止和启动门户

配置其他身份存储参数

还可使用 Portal Administrator Directory 修改其他身份存储配置参数。 这些参数包含限制组织特定用户登录组织时是否自动刷新群组、设置成员资格刷新间隔以及定义是否检查多个用户名格式。 有关详细信息,请参阅更新身份存储

添加组织特定帐户

默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。

配置 ArcGIS Web Adaptor 以使用 IWA

要配置 ArcGIS Web Adaptor 以使用 IWA,请完成以下步骤:

  1. 打开 Internet Information Server (IIS) Manager。
  2. 连接面板中,找到并展开托管 ArcGIS Web Adaptor 的网站。
  3. 单击 ArcGIS Web Adaptor 的名称。

    默认为 arcgis

  4. 主页面板中,双击身份验证
  5. 选择匿名身份验证,然后单击禁用
  6. 选择 Windows 身份验证,然后单击启用
  7. 关闭 Internet Information Server (IIS) Manager。

使用 IWA 验证门户访问

欲验证是否可以使用 IWA 访问门户,请执行以下步骤:

  1. 打开门户。

    URL 格式为 https://organization.example.com/<context>/home

  2. 验证系统将提示您输入组织特定的帐户凭据,还是使用组织特定的帐户自动登录。 如果未出现此行为,请确认您登录到计算机所使用的 Windows 帐户是否已被添加到门户中。

防止用户创建自己的内置帐户

您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。