配置安全性设置

作为默认管理员或具有相应权限的成员,您可确定是否所有事务都需要 HTTPS 以及是否允许匿名访问门户。 您还可以配置用于共享和搜索的安全性设置、密码策略、登录选项、访问通知、信息通栏、受信任的服务器等。

提示:

有关深度安全、隐私和合规性信息,请访问 ArcGIS Trust Center

  1. 确认您是否以默认管理员或启用了管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 配置以下任一安全性设置:

访问和权限

根据需要更改以下任意策略设置:

  • 仅允许通过 HTTPS 访问门户 - 默认情况下, 门户将强制使用仅 HTTPS 通信,以确保在 Internet 上进行通信期间对组织数据以及所有允许访问您数据的临时标识令牌进行加密。 关闭此切换按钮可同时允许 HTTP 和 HTTPS 通信。 对此设置进行的更改可能会影响站点的性能。
  • 允许对您的门户进行匿名访问 - 启用此选项可允许匿名用户访问您组织的网站。 如果未选中此选项,则将禁用匿名访问,并且匿名用户无法访问网站。 他们也无法通过 Bing Maps 查看您的地图(如果您的组织配置了 Bing Maps)。

    如果启用匿名访问,请确保将为站点配置群组所选的群组共享给公众;否则,匿名用户将无法正常查看或访问这些群组的公共内容。

  • 允许成员编辑个人信息以及可查看其个人资料的用户 - 启用此选项可允许成员修改个人资料中的个人信息以及可查看其个人资料的用户。

共享和搜索

根据需要更改以下任意共享和搜索设置:

  • 成员可公开共享内容 - 启用此选项可允许成员将其个人资料设置为所有人(公共)可见、与公众共享其 web 应用程序和其他项目,或在网站中嵌入地图或群组。

  • 在项目和群组页面中显示社交媒体链接 - 启用此选项可在项目和群组页面中包括 FacebookTwitter 链接。

密码策略

成员更改其密码时,必须符合组织的策略。 否则,会显示包含策略详细信息的消息。 组织的密码策略不适用于使用应用程序 ID 和应用程序密码提示问题的组织特点登录帐户,例如 SAML 登录帐户或应用程序凭据。

单击管理密码策略来配置密码长度、复杂性和内置帐户成员的历史要求。 您可以指定字符长度以及密码是否必须至少包含以下任一字符:大写字母、小字字母、数字或特殊字符。 您还可以配置密码的有效天数以及成员不得重新使用的旧密码的数量。 密码区分大小写,且不得与用户名相同。 单击使用默认门户重置组织以使用标准 ArcGIS Enterprise 密码策略(至少包含八个字符并且至少包含一个字母和一个数字,不允许包含空格)。

注:

可能不会接受强度较弱的密码。 如果密码为常用密码(例如 password1)或者包含重复字符或序列字符(例如,aaaabbbb1234abcd),则密码将视为强度较弱。

注:

如果已在组织中配置电子邮件设置,则在更改密码策略时,系统会向您的管理联系人发送自动电子邮件通知。

登录帐户

您可以自定义组织的登录页面,允许成员使用以下任意方法进行登录:ArcGIS 登录帐户、Security Assertion Markup Language (SAML) 登录帐户(之前称为企业登录帐户)以及OpenID Connect 登录帐户。

您还可以自定义登录方法在组织的登录页面上显示的顺序。 要对登录方法重新排序,请单击其控点重新排序并将其拖动到新位置。 单击预览可查看登录页面的外观。

打开 ArcGIS 登录帐户切换按钮允许用户使用 ArcGIS 登录帐户登录到 ArcGIS。

如果您希望成员使用组织的现有 SAML 身份提供者登录到门户,请使用新建 SAML 登录帐户按钮来为门户配置 SAML 兼容的身份提供者

如果您希望成员使用组织的现有 OpenID Connect 身份提供者进行登录,请使用新建 OpenID Connect 登录帐户按钮来配置 OpenID Connect 登录帐户

多因子身份验证

注:

此选项控制内置帐户的多因子身份验证。 要为基于 SAMLOpenID Connect 登录帐户配置多因素身份验证,请联系您的身份提供商以配置相应的选项。

仅当您的组织已配置电子邮件设置时,才可以为内置帐户启用多因子身份验证。

如果组织要为其成员提供登录 ArcGIS 的多因子身份验证设置,请启用允许成员选择是否为其个人帐户设置多因子身份验证切换按钮。 在成员登录时,多因子身份验证还会要求提供除用户名和密码之外的验证码,从而提供提供更高的安全级别。

如果您启用了此项设置,则组织成员可通过其个人资料页面设置多因子身份验证,并在移动手机或平板电脑上接收来自所支持的身份验证应用程序的验证码(目前,Google Authenticator 用于 AndroidiOSAuthenticator 用于 Windows Phone)。 启用多因子身份验证的成员在组织页面的成员选项卡的成员表内“多因子身份验证”列 多因子身份验证 上具有复选标记。

如果为组织启用多因子身份验证,则必须指定至少两名管理员以根据成员帐户需要接收禁用多因子身份验证的电子邮件请求。 ArcGIS Enterprise 代表相应成员发送电子邮件,这些成员通过使用代码登录时遇到问题?链接(位于请求成员输入身份验证代码的页面上)请求多因子身份验证的帮助。 至少需要两个管理员,这样才能确保至少有一个管理员可帮助成员处理多因子身份验证问题。

多因子身份验证适用于支持 OAuth 2.0 的 Esri 应用程序。 其中包括门户网站、ArcGIS Pro、ArcGIS 应用程序和 My Esri

访问没有 OAuth 2.0 支持的应用程序时,必须禁用多因子身份验证。 其中包括执行路径分析和高程分析的地理编码服务和地理处理服务。 使用 Esri 高级内容存储凭据时也必须禁用多因子身份验证。

访问通知

您可以为访问站点的用户配置并显示条款通知。

您可以为组织成员、访问组织的所有用户或二者配置访问通知。 如果您为组织成员设置访问通知,则成员登录后将显示该通知。 如果您为所有用户设置访问通知,则当任何用户访问您的站点时,都会显示该通知。 如果您同时设置了两个访问通知,则组织成员将看到两个通知。

要为组织成员或所有用户配置访问通知,请在相应部分中单击设置访问通知,打开切换按钮以显示访问通知,并提供通知标题和文本。 如果您希望用户在接受访问通知后再继续访问站点,请选择接受和拒绝;如果您希望用户必须单击确定才能继续,请选择仅确定。 完成后单击保存

要编辑组织成员或所有用户的访问通知,请在相应的部分中单击编辑访问通知,以对标题、文本或操作按钮选项进行更改。 如果您不再希望显示访问通知,请使用切换按钮以禁用访问通知。 禁用访问通知后,如果将来重新启用访问通知,则系统会保留先前输入的文本和配置。 完成后单击保存

信息通栏

可以使用信息通栏向所有访问您组织的用户发出有关站点状态和内容的警报。 例如,通过创建显示在站点顶部和底部的自定义消息,来通知用户维护计划、分类信息警报和只读模式。 如果已在应用程序中启用,通栏将显示在主页、图库、Map Viewer、Scene Viewer、Notebook、群组、内容和组织页面以及在 ArcGIS Enterprise 站点中创建的站点上。

要为组织启用信息通栏,单击设置信息通栏,并打开显示信息通栏。 在通栏文本字段中添加文本,然后选择背景颜色和字体颜色。 所选文本和背景颜色的对比度随即显示。 对比度是基于 WCAG 2.1 可用性标准的可读性度量;根据这些标准,建议使用 4.5 的对比度。

您可以在预览窗格中预览信息通栏。 单击保存将通栏添加到组织。

要编辑信息通栏,请单击编辑信息通栏并更改通栏文本或样式。 如果您不再希望显示信息通栏,请使用切换按钮禁用信息通栏。 禁用信息通栏后,如果将来重新启用信息通栏,则系统会保留先前输入的文本和配置。 完成后单击保存

受信任服务器

对于受信任服务器,可配置受信任服务器列表,使其包含通过跨域资源共享 (CORS) 请求访问受 web 层身份验证保护的服务时,希望客户端发送凭据的目标服务器。 这主要用于运行 ArcGIS Server 的编辑独立(非联合)服务器上的安全要素服务,或查看安全 OGC 服务。 ArcGIS Server 受基于令牌的安全性保护的托管服务不需要添加到此列表。 添加到受信任服务器列表中的服务器必须支持 CORS。 托管在不支持 CORS 的服务器上的图层可能无法按预期运行。 默认情况下,ArcGIS Server 10.1 及更高版本支持 CORS。 要在非 ArcGIS 的服务器上配置 CORS,请参阅 web 服务器的供应商文档。

需要单独输入主机名。 请勿使用通配符,系统不接受通配符。 输入主机名时,其前面可以输入协议,也可以不输入。 例如,主机名 secure.esri.com 可以输入为 secure.esri.comhttps://secure.esri.com

注:

编辑受 web 层身份验证保护的要素服务时,需要启用了 CORS 的 web 浏览器。 最新版本的 Mozilla FirefoxGoogle ChromeSafari 已启用了 CORS。 要测试浏览器是否启用了 CORS,可打开 https://caniuse.com/cors

允许原点

默认情况下,对于来自任何域上的 Web 应用程序的跨域资源共享 (CORS) 请求,ArcGIS REST API 均为开放状态。 如果您的组织要限制能够通过 CORS 访问 ArcGIS REST API 的 Web 应用程序域,则必须明确指定这些域。 例如,要仅限制对 acme.com 上的 Web 应用程序的 CORS 访问,请单击添加并在文本框中输入 https://acme.com,然后单击添加域。 您可以最多为组织指定 100 个受信任的域。 不必将 arcgis.com 指定为受信任域,因为在 arcgis.com 域上运行的应用程序始终可以连接至 ArcGIS REST API

允许门户访问

配置想要共享安全内容的门户列表(例如 https://otherportal.domain.com/arcgis)。 这将允许组织成员使用组织特定登录帐户(包括 SAML 登录帐户)从这些门户访问并查看安全内容。 与您组织协作的门户将自动包括在内,因此无需添加到该列表。 这仅适用于 ArcGIS Enterprise 10.5 或更高版本的门户。 ArcGIS Online 组织共享安全内容时无需此设置。

必须单独输入门户 URL,且 URL 必须包括协议。 请勿使用通配符,系统不接受通配符。 如果添加的门户允许 HTTP 和 HTTPS 两种访问,则必须向该门户添加两个 URL(例如 http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 添加到列表的所有门户均需先经过验证,因此必须可通过浏览器访问。

应用程序

您可以指定组织成员可以访问哪些外部应用程序,并可选择在应用程序启动器中选择向组织成员提供已批准的 Web 应用程序。

已批准应用程序

所有 Esri 应用程序和许可应用程序都会自动批准成员访问。 要在没有请求权限提示的情况下授予组织成员访问其他类型的应用程序的权限,您必须为组织指定已批准的应用程序列表。 批准的应用程序可以包括托管在您的组织内或组织外的 Web、移动或原生应用程序。 要访问外部应用程序,您还可以将成员登录限制为仅那些添加到已批准应用程序列表中的应用程序。

注:

已批准 Web 应用程序也可以在应用程序启动器中提供给组织成员。 对于具有相应许可的成员,获得许可的应用程序将自动显示在应用程序启动器中。 有关详细信息,请参阅在应用程序启动器中管理应用程序

执行以下操作以批准组织成员访问应用程序:

  1. 确认您是否以默认管理员或管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面一侧的安全性,然后单击应用程序跳转到页面的应用程序部分。
  4. 已批准应用程序下,单击添加已批准应用程序
  5. 使用以下方法之一搜索应用程序:
    • 浏览至列表中的应用程序 - 默认情况下,列表中仅包括已注册到您组织的应用程序。
    • 按名称搜索
    • 按项目 URL 搜索 - 项目 URL 位于应用程序项目页面概览选项卡(URL 部分)上。
    • 按应用程序 ID 搜索 - 如果您拥有或有权访问应用程序项目,您可以在应用程序项目页面的设置选项卡(应用程序设置 > 注册信息)上找到应用程序 ID。 查找应用程序 ID 的另一种方法是在私人浏览器窗口中打开该应用程序,单击该应用程序的登录链接,然后在浏览器地址栏中显示的 URL 中查找 client_id 值。
  6. 选择要批准的应用程序。
  7. 如果您选择了 Web 应用程序,可选择关闭在应用程序启动器中显示切换按钮以在应用程序启动器中隐藏 Web 应用程序。

    要在应用程序启动器中显示 Web 应用程序,请保持此切换按钮处于打开状态,然后按照在应用程序启动器中管理应用程序中的步骤进行操作。

  8. 单击保存将应用程序添加到已批准应用程序列表。

电子邮件设置

您可以为组织配置电子邮件设置,该设置可用于向成员发送电子邮件通知。 可配置以下电子邮件通知:

  • 密码策略通知 - 更改密码策略时,系统会向您的管理联系人发送自动电子邮件通知。 如果未设置任何管理联系人,则组织中最早的管理员帐户或“初始管理员帐户”会收到相关的电子邮件通知。
  • 重置密码通知 - 管理员可以在成员选项卡上重置成员的密码,这将向该电子邮件发送包含临时密码的电子邮件。 成员在组织登录页面上指示忘记密码后,还可以请求重置密码链接。 电子邮件将发送到与成员的个人资料帐户相关联的电子邮件地址。
  • 多因子身份验证通知 - 您的组织必须配置电子邮件设置才能启用多因子身份验证。 如果配置了多因子身份验证,则指定的管理员将收到电子邮件通知,以根据需要禁用特定成员的多因子身份验证。
  • 项目评论通知 - 在组织中启用评论后,项目所有者将收到有关发布到其项目的新评论的电子邮件通知。
  • 配置文件和设置通知 - 将向成员通知其配置文件和设置的更改,例如密码、安全性问题和配置文件可见性。

  1. 要为您的组织配置电子邮件通知,请在电子邮件设置下,单击配置

    如果已经配置了电子邮件设置,请单击管理以打开配置电子邮件设置窗口。

  2. 在 SMTP 设置页面上,执行以下操作:
    1. 输入 SMTP 服务器地址。

      这是 SMTP 服务器的 IP 地址或完全限定域名 (FQDN),例如 smtp.domain.com

    2. 输入 SMTP 端口。

      这是 SMTP 服务器将通过其进行通信的端口。 一些最常见的通信端口是 25、465 和 587。 默认值为 25。

    3. 加密方法下,为从您的组织发送的电子邮件消息选择加密方法。

      您可以选择 PLAIN TEXTSTARTTLSSSL

    4. 如果需要身份验证才能连接指定的 SMTP 服务器,请打开所需的 SMTP 身份验证

      如果不需要 SMTP 身份验证,则可以关闭此选项。

    5. 如果上面启用了所需的 SMTP 身份验证,请输入有权访问 SMTP 服务器的用户的用户名和密码。
    6. 输入将从中发送组织电子邮件的电子邮件地址。

      建议将与此电子邮件地址相关联的成员列在您组织的管理联系人下。

    7. 输入将与所发送的发件人电子邮件地址一起显示的电子邮件地址标注。

      该信息将在所有电子邮件通知的“发件人”行中显示为发件人。 您可以使用与电子邮件地址相关联的名称,也可以使用诸如 DO NOT REPLY 之类的标注来阻止成员直接回复发件人电子邮件地址。

  3. 单击下一步

    建议您发送一封测试电子邮件,以确认您已正确配置了电子邮件设置。

  4. 输入您可以用来验证是否已成功提交测试电子邮件的电子邮件地址,然后单击发送电子邮件

    将会出现一条通知,指示电子邮件是否已成功发送。 有关详细信息,可查看门户日志。

  5. 单击完成以配置电子邮件设置。

如果想要禁用来自组织的电子邮件通知,请单击禁用电子邮件设置