Skip To Content

控制 ArcGIS Server 中的访问

GIS 资源的安全性依赖于正确严格的身份验证和用户的授权。 身份验证是验证用户身份的过程,而授权是验证经过身份验证的用户是否有访问所请求资源或执行所请求操作的权限的过程。 要对受保护的资源和操作强制执行权限,应首先对用户进行身份验证,然后验证其授权。 这些术语由您的安全模型进行定义。

ArcGIS Server 站点的安全模型决定了哪些用户可以访问站点服务,哪些用户可以发布、修改和删除服务以及哪些用户可以在站点中执行管理任务。 有多种可用的安全模型,具体取决于 GIS 部署的配置,以及您是否希望将组织特定的身份提供者与您的部署集成在一起。

用户、角色和权限

如果 ArcGIS Server 中的资源受保护,则只有授权用户可访问该资源。 ArcGIS Enterprise(包括独立的 ArcGIS Server)使用基于角色的访问控制系统来管理受保护资源的访问权限。 基于角色的访问控制系统中有三个主要组成部分:用户、角色和权限。

用户

用户是指访问服务器资源的个人或软件代理。 身份存储是可发出资源请求的用户的列表。 ArcGIS ServerArcGIS Enterprise 门户中均包含内置的身份存储,您也可以使用组织特定身份提供者的身份存储。

Roles

角色是具有特定级别访问权限的一组用户。 组成角色的用户通常按职能、称谓或一些其他关系关联在一起。 例如,可将执行 ArcGIS Server 站点管理的用户分组到 Administrator 角色,为仅需查看和浏览 GIS 资源的用户分配 Viewer 角色。 在 ArcGIS Server 内置身份存储中,一个用户可以属于多个角色。 在 ArcGIS Enterprise 门户的内置身份存储中,一个用户只能被授予一个角色。

权限

权限可以授予执行某个任务或访问某个资源的权力。 权限只能分配给角色。 单独的用户只能通过从其角色继承来获取权限。 基于角色的访问控制提供了高效和有效地强制执行、管理和审核组织的访问控制策略的功能。 权限由 ArcGIS Server 内部管理。

可用的安全模型

ArcGIS ServerArcGIS Enterprise 平台的主要组成部分,可为组织提供功能全面的 Web GIS 系统。 ArcGIS Server 可以部署为独立系统,也可以通过联合与 ArcGIS Enterprise 门户集成在一起。

基础 ArcGIS Enterprise 部署模式

独立 ArcGIS Server 站点的安全模型由服务器管理员决定。 在联合 ArcGIS Enterprise 部署中,共享和安全模型由门户管理员代替服务器站点管理员来决定。

ArcGIS ServerArcGIS Enterprise 门户均提供强大有效的内置身份验证和默认强制执行的身份存储。 ArcGIS Enterprise 和独立 ArcGIS Server 站点还支持 web 层身份验证和外部身份提供者。 配置此类提供者之后,将通过身份存储来完成用户的身份验证。

独立 ArcGIS Server 站点

ArcGIS Server 使用基于角色的访问模型。 可以为用户分配一个或多个角色,这些角色已经被授予了某些权限。

要管理这些用户和角色,独立配置的 ArcGIS Server 站点可以使用内置身份存储,以及多种类型的第三方身份提供者。 您可以使用 ArcGIS Server Manager 中的安全性配置向导来更改这些设置。

对独立 ArcGIS Server 站点进行的身份验证可以在服务器层完成,也可以在 web 层完成。

下表介绍了所选身份验证类型所支持的身份存储配置:

身份验证机制受支持的标识存储配置

ArcGIS Server 身份验证

  • 内置用户和角色
  • Active Directory 内的用户和 Active Directory 或内置存储中的角色
  • LDAP 中的用户和 LDAP 或内置存储中的角色
  • 自定义存储中的用户和自定义或内置存储中的角色

Web 层身份验证

内置了 Web 服务器或扩展后支持 Web 服务器的任意用户存储

例如,如果 Web 服务器内置了活动目录、LDAP 和自定义标识存储支持,则可以使用以下配置之一:

  • Active Directory 内的用户和 Active Directory 或内置存储中的角色
  • LDAP 中的用户和 LDAP 或内置存储中的角色
  • 自定义存储中的用户和自定义或内置存储中的角色

如下图所示,服务器层身份验证完全在服务器站点内部进行,而 web 层身份验证需要依赖外部身份存储来验证用户的凭据。

独立 ArcGIS Server 身份验证模型

配置内置身份存储后,内置身份存储在 ArcGIS Server Manager 中进行管理。 有关用户和角色的信息保存在服务器的配置存储中,只有 ArcGIS Server 可以访问这些信息。 用户可使用令牌对身份存储进行验证 - 令牌是指包含用户名称、令牌有效期和其他专有信息的加密信息字符串。

可以为独立 ArcGIS Server 站点配置多种类型的 web 层身份验证系统。 这些系统包括轻量级目录访问协议 (LDAP) 目录、基于公钥基础设施 (PKI) 的客户端证书身份验证,以及集成的 Windows 身份验证 (IWA)。

如果您的 ArcGIS Server 站点将仍为独立站点,并且您不配置 web 层身份验证,请参阅配置服务器层身份验证

如果您要为独立 ArcGIS Server 站点配置 web 层身份验证(通过 LDAP 目录、IWA 或客户端证书身份验证),请参阅配置 Web 层身份验证

联合 ArcGIS Server 站点

如果将 ArcGIS Server 站点与 ArcGIS Enterprise 门户联合,则对于 ArcGIS Enterprise 部署,有多种安全模型可供选择。 无论您的门户采用哪种安全模型,将 ArcGIS Server 站点与门户联合后,该安全模型将替换服务器的身份存储,包括您在 ArcGIS Server Manager 中配置的所有用户和角色。

门户本身具有内置身份存储,可以通过基于 IWA、客户端证书身份验证或 LDAP 的身份提供者为其配置 web 层身份验证,这一点与独立 ArcGIS Server 站点是一样的。 此外,与安全声明标记语言 (SAML) 兼容的外部身份提供者可以使用 ArcGIS Enterprise 门户进行配置。

如果您的 ArcGIS Server 站点已与 ArcGIS Enterprise 门户联合,或者您计划这样做,请参阅联合 ArcGIS Server 站点与门户。 您可以在其中了解门户的安全模型选项,也可以参阅 Portal for ArcGIS 文档进行了解。