如果 ArcGIS Server 站点未与 ArcGIS Enterprise 门户联合,则可将其配置为使用外部身份存储来管理用户和角色。 web 层身份验证允许您将 ArcGIS Server 登录体验和用户管理与组织的外部身份存储集成在一起。
您可以选择使用外部身份存储管理 ArcGIS Server 站点中的用户和角色,也可以使用外部存储仅管理用户,同时使用内置的 ArcGIS Server 身份存储管理角色。 您无法在使用外部存储仅管理角色的同时,使用内置存储管理用户。
注:
在 10.8 之前的版本中,ArcGIS Server 管理员可以使用 ASP.Net 或 Java 来配置自定义身份存储。 此功能已弃用。
轻量级目录访问协议 (LDAP) 目录
ArcGIS Server 可利用 LDAP 目录(如 Apache Directory Server 或 OpenLDAP)中存储的用户和角色信息。ArcGIS Server 将 LDAP 目录视为用户和角色信息的只读源,这意味着在配置 LDAP 目录时,您不能使用 ArcGIS Server Manager 添加或删除用户和角色,也不能编辑其属性。 如果您仅配置 LDAP 目录来管理用户,则可以使用 ArcGIS Server Manager 来管理角色。
如果要使用 LDAP,必须将 Web Adaptor 部署到 Java 应用程序服务器,如 Apache Tomcat、IBM WebSphere 或 Oracle WebLogic。 您无法使用 IIS 版本的 ArcGIS Web Adaptor 按照 LDAP 执行 Web 层身份验证。
有关完整步骤,请参阅使用 LDAP 目录配置 Web 层身份验证。
与 Active Directory 集成的 Windows 身份验证
如果您有 Windows Active Directory,则可以使用集成的 Windows 身份验证连接到 ArcGIS Server。 这将为通过 Web 层身份验证的站点用户开启自动或单点登录 (SSO) 体验。 要使用集成的 Windows 身份验证,必须使用部署到 Microsoft 的 IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 无法使用 ArcGIS Web Adaptor(Java 平台)来执行集成的 Windows 身份验证。
注:
如果登录设置拒绝您登录托管活动目录的计算机,在配置安全性以便使用 Windows 作为身份存储时会发生错误。 有关此错误的解决方法,请参阅高级配置方案。
有关完整步骤,请参阅使用集成的 Windows 身份验证来配置 Web 层身份验证。
公钥基础设施
如果贵组织拥有 PKI,通过安全套接字层 (SSL) 协议进行保护可使用证书对服务器通信进行身份验证。 对用户进行身份验证时,可以选择使用 Windows 活动目录或轻量级目录访问协议 (LDAP)。 要使用 Windows 身份验证,您的 Web Adaptor 必须部署到 Microsoft 的 IIS web 服务器。 要使用 LDAP,Web Adaptor 必须部署到 Java 应用程序服务器,例如 Apache Tomcat、IBM WebSphere 或 Oracle WebLogic。 使用 PKI 时无法启用对站点的匿名访问。
注:
配置 Web Adaptor 时,必须通过 Web Adaptor 启用管理。 这将允许组织特定标识存储中的用户通过 ArcGIS Pro 发布服务。 具有这些角色的用户连接到 ArcGIS Pro 中的服务器时,必须指定 Web Adaptor URL。
有关完整步骤,请参阅使用集成的 Windows 身份验证和 PKI 来配置 Web 层身份验证。