使用 LDAP 或 Active Directory 和门户层身份验证

配置组织以对所有通信使用 HTTPS

默认情况下,ArcGIS Enterprise 将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许同时使用 HTTP 和 HTTPS 通信,则必须按照下列步骤将组织重新配置为仅使用 HTTPS 通信:

  1. 以组织管理员的身份登录到门户网站。 URL 格式为 https://organization.example.com/<context>/home
  2. 组织页面上,单击设置选项卡,然后单击安全性
  3. 选中允许仅通过 HTTPS 访问门户
  4. 单击保存应用更改。

更新组织的身份存储

使用 LDAP 更新身份存储

  1. 以组织管理员的身份登录 ArcGIS Enterprise Administrator Directory。
  2. 单击安全性 > 配置 > 更新身份存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 LDAP 用户配置信息(JSON 格式)。 或者,您可以将下列示例更新为特定于组织的用户信息。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    大多数情况下,只需要更改 useruserPasswordldapURLForUsers 参数值。 LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。 尽管以明文形式输入密码,但在单击更新身份存储(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true

  4. 如果想要在使用标识存储中的现有 LDAP 群组的门户中创建群组,请将组织的 LDAP 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 或者,您可以将下列示例更新为特定于组织的群组信息。 如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    大多数情况下,只需要更改 useruserPasswordldapURLForUsers 参数值。 LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。 尽管以明文形式输入密码,但在单击更新身份存储(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设为 true

  5. 单击更新身份存储保存更改。

使用 Active Directory 更新身份存储

  1. 以组织管理员的身份登录 ArcGIS Enterprise Administrator Directory。
  2. 单击安全性 > 配置 > 更新身份存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 Windows Active Directory 用户配置信息(JSON 格式)。 或者,您可以将下列示例更新为特定于组织的用户信息。

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新身份存储(如下所示)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找电子邮件地址和 Windows 帐户全名的权限。 如果可以,请指定密码未过期的帐户。

    在将 Windows Active Directory 配置为区分大小写的特殊情况下,请将 caseSensitive 参数设置为 true

  4. 要在使用标识存储中的现有 Active Directory 群组的门户中创建群组,请将组织的 Windows Active Directory 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 或者,您可以将下列示例更新为特定于组织的群组信息。 如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    大多数情况下,只需要更改 userPassworduser 参数值。 尽管以明文形式输入密码,但在单击更新身份存储(如下所示)时将对其进行加密。 为用户参数指定的帐户只需要具有在网络上查找 Windows 组的名称的权限。 如果可以,请指定密码未过期的帐户。

  5. 单击更新身份存储保存更改。

还可配置其他身份存储参数

还有其他身份存储配置参数,可使用 ArcGIS Enterprise Administrator Directory API 进行修改。 这些参数包含诸如限制组织特定用户登录门户时是否自动刷新群组、设置成员资格刷新间隔以及定义是否检查多个用户名格式等选项。 有关详细信息,请参阅更新身份存储

配置门户层身份验证

使用 Active DirectoryLDAP 身份存储配置组织后,需要通过 IIS 或 Java 应用程序服务器中的 Web Adaptor 启用匿名访问。当用户访问组织登录页面时,可以使用组织特定凭证或内置凭证进行登录。 组织特定的用户在每次登录至门户时均需要输入其帐户凭据;自动或单点登录将不可用。 这种类型的身份验证还允许匿名用户访问与所有人共享的地图或其他组织资源。

验证是否可以使用凭据访问门户

  1. 打开 ArcGIS Enterprise 门户。 URL 格式如下:https://organization.example.com/context/home
  2. 使用组织特定帐户凭据登录(示例语法如下)。

使用门户层身份验证时,成员将使用以下语法登录:

  • 如果通过活动目录使用门户,则语法为 domain\usernameusername@domain。 无论成员以何种方式登录,门户网站上的用户名始终显示为 username@domain
  • 语法始终为 username。 门户网站也以此格式显示帐户。

将组织特定的帐户添加到您的门户

默认情况下,组织特定用户可以访问门户网站。 然而,他们只能查看共享给组织中所有人的项目。 这是因为组织特定帐户未添加到门户中,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

帐户添加完成后,用户即可登录组织并访问内容。