Skip To Content

使用集成 Windows 身份验证和客户端证书身份验证配置 web 层身份验证

当使用 Active Directory 验证用户身份时,可以使用基于公钥基础设施 (PKI) 的客户端证书身份验证保证访问 ArcGIS Server 的安全。

要使用集成 Windows 身份验证和客户端证书身份验证,必须使用部署到 Microsoft IIS web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的身份验证。 有关如何使用 ArcGIS Web Adaptor (IIS) 站点安装和配置 ArcGIS Server 的说明,请参阅 ArcGIS Web Adaptor (IIS) 安装指南

注:

如果您要ArcGIS Server 站点与门户联合,并且希望对服务器使用 Active Directory 和客户端证书身份验证,则在将其与门户联合前,必须在 ArcGIS Server 站点上禁用客户端证书身份验证,并启用匿名访问。 虽然这听起来可能有悖常理,但是必须执行此操作才能使站点自由地与门户联合并读取门户中的用户和角色。 然后,您可以为门户配置 Active Directory 和客户端证书

使用 Active Directory 配置服务器

请参阅以下部分以使用 Active Directory 配置服务器。

配置 ArcGIS Server 安全性以使用 Active Directory 用户和角色

要支持集成的 Windows 身份验证,请配置 ArcGIS Server 以从 Windows Active Directory 中检索用户和角色。

  1. 打开 Manager 并以主站点管理员的身份登录。 如需此步骤的帮助,请参阅登录 Manager

    必须使用主站点管理员帐户。

  2. 单击安全性 > 设置
  3. 单击配置设置旁边的编辑按钮 编辑
  4. 用户和角色管理页面中,选择现有企业系统(LDAP 或 Windows 域)中的用户和角色选项,然后单击下一步
  5. 企业存储类型页面中,选择 Windows 域选项,然后单击下一步
  6. Windows 域凭据页面中,输入有权确定用户所在组的帐户凭据。 单击下一步
    注:

    建议指定具有未过期密码的帐户。 如果不可行,则需要在每次密码更改时重复本部分中的步骤。

  7. 身份验证层页面中,选择 Web 层
  8. 查看所选内容的摘要信息。 单击完成应用和保存安全性配置。

查看用户和角色

将 Active Directory 域配置为用户和角色存储后,查看用户和角色以确保所检索的用户和角色正确无误。 要添加、编辑或删除用户和角色,您必须使用 Active Directory 服务器中所提供的工具。

  1. 在 Manager 中,单击安全性 > 用户
  2. 验证是否已按预期从 Windows 域服务器中检索用户。

    如果 Active Directory 具有多个域,则将显示 GIS 服务器计算机所属域的用户。

  3. 要查看其他域的用户,请在查找用户字段中输入搜索字符串[域名称]\,并单击搜索 搜索 按钮。
  4. 单击角色查看从 Windows 域服务器中检索的角色。

    如果 Active Directory 具有多个域,则将显示 GIS 服务器计算机所属域的角色。

  5. 要查看其他域的角色,请在查找角色字段中输入搜索字符串[域名称]\,并单击搜索 搜索 按钮。
  6. 验证是否已按预期检索角色。

为 Active Directory 用户配置管理员和发布者权限

出厂时,ArcGIS Server 仅允许主站点管理员访问服务器。 如果要使用 Active Directory 用户来管理 ArcGIS Server 或发布服务,必须执行以下步骤。

  1. ArcGIS Server Manager 中,单击安全性选项卡,然后打开用户页面。
  2. 使用查找用户工具定位您希望分配管理员或发布者权限的用户。 查看该用户所属的角色,然后选择将分配管理员或发布者权限的角色。
  3. 打开角色页面,并使用查找角色工具定位在上一步中选择的角色。
  4. 单击角色旁的编辑按钮 编辑
  5. 对于角色类型参数,可选择发布者管理员
  6. 单击保存应用更改。

安装并启用 Active Directory 客户端证书映射身份验证

IIS 的默认安装中不提供 Active Directory 客户证书映射。 您必须安装并启用该功能。

安装客户端证书映射身份验证

安装此功能的说明因操作系统而异。

通过 Windows Server 2016 安装

按照以下步骤通过 Windows Server 2016 进行安装:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)
  3. 展开 Web 服务器安全性角色。
  4. 安全性角色部分,选择客户证书映射身份验证,然后单击下一步
  5. 单击选择要素选项卡上的下一步,然后单击安装

通过 Windows Server 2008 R2 和 2012/R2 安装

完成以下步骤以通过 Windows Server 2008/R2 和 2012/R2 进行安装:

  1. 打开管理工具,然后单击 Server Manager
  2. Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)
  3. 滚动至角色服务部分,单击添加角色服务
  4. 在添加角色服务向导的选择角色服务页面上,选择客户证书映射身份验证并单击下一步
  5. 单击安装

通过 Windows 7、8 和 8.1 安装

要通过 Windows 7、8 和 8.1 进行安装,请完成以下步骤:

  1. 打开控制面板并单击程序和功能 > 打开或关闭 Windows 功能
  2. 展开 Internet 信息服务 > 万维网服务 > 安全性,然后选择客户端证书映射身份验证
  3. 单击确定

启用 Active Directory 客户端证书映射身份验证

Active Directory 客户端证书映射安装完成后,执行以下步骤启用该功能。

  1. 启动 Internet Information Services (IIS) 管理器。
  2. 连接节点中,单击 web 服务器的名称。
  3. 功能视图 窗口中,双击身份验证
  4. 验证是否显示了 Active Directory 客户端证书身份验证

    如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户端证书身份验证功能的安装。

  5. 双击活动目录客户证书身份验证,并在操作窗口中选择启用

随即显示一条消息,指示必须启用 SSL 才可使用 Active Directory 客户端证书身份验证。 您将在下一部分中对此进行解决。

配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书

完成以下步骤来配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书:

  1. 启动 Internet Information Services (IIS) 管理器。
  2. 展开连接节点并选择 ArcGIS Web Adaptor 站点。
  3. 功能视图 窗口中,双击身份验证
  4. 禁用所有形式的身份验证。
  5. 连接列表中再次选择 Web Adaptor。
  6. 双击 SSL 设置
  7. 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
  8. 单击应用保存更改。

验证您可以使用 Active Directory 和客户端证书身份验证访问该站点

完成以下步骤以验证是否访问站点:

  1. 打开服务目录。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/rest/services

  2. 验证是否收到有关安全凭据的提示并能够访问网站。