使用 Active Directory 验证用户身份时,可以使用公钥基础设施 (PKI) 安全访问 ArcGIS Server。
要使用集成的 Windows 身份验证和 PKI,必须使用部署到 Microsoft 的 IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。如果您尚未执行此操作,请在 ArcGIS Server 站点中安装并配置 ArcGIS Web Adaptor (IIS)。
注:
如果您要将 ArcGIS Server 站点与门户联合,并且希望在服务器上使用 Active Directory 和 PKI,那么在将其与门户联合前,您需要在 ArcGIS Server 站点上禁用基于 PKI 的客户端证书身份验证,并启用匿名访问。虽然这听起来可能有悖常理,但是必须执行此操作才能使站点自由地与门户联合并读取门户中的用户和角色。然后,您可以为门户配置 Active Directory 和 PKI。
为服务器配置 Active Directory
配置 ArcGIS Server 安全性以使用 Active Directory 用户和角色
要支持集成的 Windows 身份验证,请配置 ArcGIS Server 以从 Windows Active Directory 中检索用户和角色。
- 打开 Manager 并以主站点管理员的身份登录。必须使用主站点管理员帐户。如需此步骤的帮助,请参阅登录 Manager。
- 单击安全性 > 设置。
- 单击配置设置旁边的编辑按钮 。
- 在用户和角色管理页面中,选择现有企业系统(LDAP 或 Windows 域)中的用户和角色选项,然后单击下一步。
- 在企业存储类型页面中,选择 Windows 域选项,然后单击下一步。
- 在 Windows 域凭据页面中,输入有权确定用户所在组的帐户凭据。单击下一步。
注:
建议指定具有未过期密码的帐户。如果不可行,则需要在每次密码更改时重复本部分中的步骤。
- 在身份验证层页面中,选择 Web 层。
- 查看所选内容的摘要信息。单击完成应用和保存安全性配置。
查看用户和角色
将 Active Directory 域配置为用户和角色存储后,查看用户和角色以确保所检索的用户和角色正确无误。要添加、编辑或删除用户和角色,您需要使用活动目录服务器中所提供的工具。
- 在 Manager 中,单击安全性 > 用户。
- 验证是否已按预期从 Windows 域服务器中检索用户。如果 Active Directory 具有多个域,则将显示 GIS 服务器计算机所属域的用户。要查看其他域的用户,请在查找用户字段中输入搜索字符串[域名称]\,并单击搜索 按钮。
- 单击角色查看从 Windows 域服务器中检索的角色。如果 Active Directory 具有多个域,则将显示 GIS 服务器计算机所属域的角色。要查看其他域的角色,请在查找角色字段中输入搜索字符串[域名称]\,并单击搜索 按钮。
- 验证是否已按预期检索角色。
为活动目录用户配置管理员和发布者权限
出厂时,ArcGIS Server 仅允许主站点管理员访问服务器。如果要使用 Active Directory 用户来管理 ArcGIS Server 或发布服务,请执行以下步骤。
- 在 ArcGIS Server Manager 中,单击安全性选项卡,然后打开用户页面。
- 使用查找用户工具定位您希望分配管理员或发布者权限的用户。查看该用户所属的角色,然后选择将分配管理员或发布者权限的角色。
- 打开角色页面,并使用查找角色工具定位在上一步中选择的角色。
- 单击角色旁的编辑按钮 。
- 对于角色类型参数,可选择发布者或管理员。
- 单击保存应用更改。
安装并启用活动目录客户证书映射身份验证
IIS 的默认安装中不提供 Active Directory 客户证书映射。您必须安装并启用功能。
安装客户证书映射身份验证
安装该功能的说明会根据您的操作系统而变化。
Windows Server 2016
- 打开管理工具,单击服务器管理器。
- 在服务器管理器层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 展开 Web 服务器和安全性角色。
- 在安全性角色部分,选择客户证书映射身份验证,然后单击下一步。
- 单击选择要素选项卡上的下一步,然后单击安装。
Windows Server 2008 R2 和 2012/R2
- 打开管理工具,单击服务器管理器。
- 在服务器管理器层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 滚动至角色服务部分,单击添加角色服务。
- 在添加角色服务向导的选择角色服务页面,选择客户证书映射身份验证并单击下一步。
- 单击安装。
Windows 7、Windows 8 和 Windows 8.1
- 打开控制面板并单击程序和功能 > 打开或关闭 Windows 功能。
- 展开 Internet 信息服务 > 万维网服务 > 安全性,然后选择客户证书映射身份验证。
- 单击确定。
启用活动目录客户证书映射身份验证
Active Directory 客户证书映射安装完成后,执行以下步骤启用功能。
- 启动 Internet 信息服务 (IIS) 管理器。
- 在连接节点中,单击 web 服务器的名称。
- 在功能视图 窗口中,双击身份验证。
- 验证是否显示了活动目录客户证书身份验证。如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户证书身份验证功能的安装。
- 双击活动目录客户证书身份验证,并在操作窗口中选择启用。
随即显示一条消息,指示必须启用 SSL 才可使用活动目录客户证书身份验证。您将在下一部分中解决此问题。
配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书
- 启动 Internet 信息服务 (IIS) 管理器。
- 展开连接节点并选择 Web Adaptor 站点。
- 在功能视图 窗口中,双击身份验证。
- 禁用所有形式的身份验证。
- 从连接列表中再次选择 ArcGIS Web Adaptor。
- 双击 SSL 设置。
- 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
- 单击应用保存更改。
验证是否可以使用 Active Directory 和 PKI 访问站点
- 打开服务目录。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/rest/services。
- 验证是否收到安全凭据的提示并能够访问网站。