GIS 资源的安全性依赖于正确严格的身份验证和用户的授权。身份验证是验证用户身份的过程,而授权是验证经过身份验证的用户是否有访问所请求资源或执行所请求操作的权限的过程。要对受保护的资源和操作强制执行权限,应首先对用户进行身份验证,然后验证其授权。这些术语由您的安全模型进行定义。
ArcGIS Server 站点的安全模型决定了哪些用户可以访问站点服务,哪些用户可以发布、修改和删除服务以及哪些用户可以在站点中执行管理任务。有多种可用的安全模型,具体取决于 GIS 部署的配置,以及您是否希望将组织的企业身份提供者与您的部署集成在一起。
用户、角色和权限
如果 ArcGIS Server 中的资源受保护,则只有授权用户可访问该资源。ArcGIS Enterprise(包括独立的 ArcGIS Server)使用基于角色的访问控制系统来管理受保护资源的访问权限。基于角色的访问控制系统中有三个主要组成部分:用户、角色和权限。
用户
用户是指访问服务器资源的个人或软件代理。身份存储是可发出资源请求的用户的列表。ArcGIS Server 和 ArcGIS Enterprise 门户中均包含内置的身份存储,您也可以使用企业身份提供者的身份存储。
角色
角色是具有特定级别访问权限的一组用户。组成角色的用户通常按职能、称谓或一些其他关系关联在一起。例如,可将执行 ArcGIS Server 站点管理的用户分组到 Administrator 角色,为仅需查看和浏览 GIS 资源的用户分配 Viewer 角色。在 ArcGIS Server 内置身份存储中,一个用户可以属于多个角色。在 ArcGIS Enterprise 门户的内置身份存储中,一个用户只能被授予一个角色。
权限
权限可以授予执行某个任务或访问某个资源的权力。权限只能分配给角色。单独的用户只能通过从其角色继承来获取权限。基于角色的访问控制提供了高效和有效地强制执行、管理和审核组织的访问控制策略的功能。权限由 ArcGIS Server 内部管理。
可用的安全模型
ArcGIS Server 是 ArcGIS Enterprise 平台的主要组成部分,可为组织提供功能全面的 Web GIS 系统。ArcGIS Server 可以部署为独立系统,也可以通过联合与 ArcGIS Enterprise 门户集成在一起。
独立 ArcGIS Server 站点的安全模型由服务器管理员决定。在联合 ArcGIS Enterprise 部署中,共享和安全模型由门户管理员代替服务器站点管理员来决定。
ArcGIS Server 和 ArcGIS Enterprise 门户均提供强大有效的内置身份验证和默认强制执行的身份存储。ArcGIS Enterprise 和独立 ArcGIS Server 站点还支持 web 层身份验证和外部身份提供者。配置此类提供者之后,将通过身份存储来完成用户的身份验证。
独立 ArcGIS Server 站点
ArcGIS Server 使用基于角色的访问模型。可以为用户分配一个或多个角色,这些角色已经被授予了某些权限。
要管理这些用户和角色,独立配置的 ArcGIS Server 站点可以使用内置身份存储,以及多种类型的第三方身份提供者。您可以使用 ArcGIS Server Manager 中的安全性配置向导来更改这些设置。
对独立 ArcGIS Server 站点进行的身份验证可以在服务器层完成,也可以在 web 层完成。术语“服务器层身份验证”是指站点仅使用内置身份存储管理用户和角色。术语“web 层身份验证”是指站点使用外部身份存储管理用户; 在此模型中,角色还可以由该提供者管理,也可以在内置存储中进行管理。
如下图所示,服务器层身份验证完全在服务器站点内部进行,而 web 层身份验证需要依赖外部身份存储来验证用户的凭据。
配置内置身份存储后,内置身份存储在 ArcGIS Server Manager 中进行管理。有关用户和角色的信息保存在服务器的配置存储中,只有 ArcGIS Server 可以访问这些信息。用户可使用令牌对身份存储进行验证 - 令牌是指包含用户名称、令牌有效期和其他专有信息的加密信息字符串。
可以为独立 ArcGIS Server 站点配置多种类型的 web 层身份验证系统。这些系统包括轻量级目录访问协议 (LDAP) 目录、公钥基础设施 (PKI) 实施以及集成的 Windows 身份验证 (IWA)。
如果您的 ArcGIS Server 站点将仍为独立站点,并且您不配置 web 层身份验证,请参阅配置服务器层身份验证。
如果您要为独立 ArcGIS Server 站点配置 web 层身份验证(通过 LDAP 目录、IWA 或 PKI),请参阅配置 Web 层身份验证。
联合 ArcGIS Server 站点
如果将 ArcGIS Server 站点与 ArcGIS Enterprise 门户联合,则对于 ArcGIS Enterprise 部署,有多种安全模型可供选择。无论您的门户采用哪种安全模型,将 ArcGIS Server 站点与门户联合后,该安全模型将替换服务器的身份存储,包括您在 ArcGIS Server Manager 中配置的所有用户和角色。
门户本身具有内置身份存储,可以通过基于 IWA、PKI 或 LDAP 的身份提供者为其配置 web 层身份验证,这一点与独立 ArcGIS Server 站点是一样的。此外,与安全声明标记语言 (SAML) 兼容的外部身份提供者可以使用 ArcGIS Enterprise 门户进行配置。
如果您的 ArcGIS Server 站点已与 ArcGIS Enterprise 门户联合,或者您计划这样做,请参阅联合 ArcGIS Server 站点与门户。您可以在其中了解门户的安全模型选项,也可以参阅 Portal for ArcGIS 文档进行了解。