ArcGIS Server 使用内置身份存储来管理站点中的用户身份验证和授权。默认情况下,此身份存储(在 ArcGIS Server 配置存储中进行维护)将用作站点的用户存储和角色存储。
默认情况下,ArcGIS Server 的独立实施(未与 ArcGIS Enterprise 门户联合)将使用内置身份存储。此模型称为服务器层身份验证。
启用服务器层身份验证后,ArcGIS Server 将使用基于角色的访问控制模型对服务的访问权限进行控制。在基于角色的访问控制模型中,访问受保护服务的权限将通过为该服务分配角色来控制。要使用某一受保护的服务,用户必须是已分配该服务访问权限的角色中的成员。
权限可分配给一个单独的 Web 服务或包含一组服务的父文件夹。如果将权限分配给文件夹,则该文件夹内所包含的任何服务都将继承文件夹的权限。例如,如果允许某个角色访问站点(根)文件夹,则属于该角色的所有用户都将允许访问该站点上托管的所有服务。若要自动覆盖服务从其父文件夹继承的权限,可以编辑该服务并明确移除继承的权限。
内置身份存储是保护服务器站点的 GIS 资源的有效方法。所有身份验证和授权都在服务器站点本身内完成。
如果您希望整合 ArcGIS Server 身份验证和组织的外部身份存储,则可以通过执行此操作将您的安全模型提升为 web 层身份验证。有关详细信息,请参阅配置 Web 层身份验证。
配置 ArcGIS Server 安全性
默认情况下,ArcGIS Server 被配置为使用内置存储中管理的用户和角色。如果未对默认的安全性配置进行任何更改,可跳过本部分。如果您一直使用其他方法来存储您的用户和角色并希望将配置更改为使用内置存储,请按照下列步骤操作。
- 打开 Manager 并以主站点管理员的身份登录。必须使用主站点管理员帐户。如需此步骤的帮助,请参阅登录 Manager。
- 单击安全性 > 设置。
- 单击配置设置旁边的编辑按钮 。
- 在用户和角色管理页面中,选择来自 ArcGIS Server 内置存储的用户和角色,然后单击下一步。
- 单击完成应用和保存安全性配置。
添加用户和角色
选择将内置存储用于用户和角色管理后,您需要创建新的用户和角色。
按照在 Manager 中管理用户中的步骤,添加新用户。
按照在 Manager 中管理角色中的步骤,添加新角色。
控制服务的权限
配置安全性设置并定义用户和角色后,可设置服务的权限来控制允许访问服务的用户。
要更改服务的权限,请参阅控制对服务的访问权限。
对受保护的服务进行访问测试
要测试设置,请执行以下步骤。
- 打开“ArcGIS 令牌”页面:https://gisserver.domain.com:6443/arcgis/tokens
- 为用户获取令牌,该用户对您想要访问的 ArcGIS Web 服务具有权限。如需此步骤的帮助,请参阅获取 ArcGIS 令牌。
- 通过将该令牌追加到请求来访问 ArcGIS Web 服务。
要访问 SOAP 端点,请使用以下 URL:https://gisserver.domain.com:6443/arcgis/services/folder/service/MapServer?wsdl&token=6dzPxjidIoBu2yIVpUW3FCW6RXH_xi2ejMoHnlWyenahmd6OYS9jnSso-GhmCA3W
要访问 REST 端点,请使用以下 URL:https://gisserver.domain.com:6443/arcgis/rest/services/myfolder/myservice/MapServer?token=6dzPxjidIoBu2yIVpUW3FCW6RXH_xi2ejMoHnlWyenahmd6OYS9jnSso-GhmCA3W