用于确定如何在 ArcGIS Enterprise 组织中配置安全性的主要因素应为用户源,或者也可以是群组源。 此用户和群组源被称作标识存储。 通过标识存储管理组织内部或外部的用户和群组。
理解标识存储
组织的标识存储定义了门户账户凭据的存储位置、身份验证的方式以及管理群组成员资格的方式。 ArcGIS Enterprise 组织支持两种类型的标识存储:内置标识存储和组织特定的标识存储。
内置标识存储
在组织中创建内置账户和群组时,您使用的是内置标识存储,这将执行身份验证并存储账户用户名称、密码、角色以及群组成员资格。 您必须使用内置标识存储为组织创建初始管理员账户,但是稍后可以切换到组织特定的标识存储。 内置标识存储对于启动和运行门户以及进行开发和测试很有用。 但生产环境通常使用组织特定的标识存储。
组织特定的标识存储
ArcGIS Enterprise 的设计旨在使您能够通过使用组织特定的账户和群组来控制对于 ArcGIS 组织的访问。 本文档中将此过程描述为设置组织特定的登录账户。
此方法的优势在于您无需在门户中创建额外的账户。 成员使用已在组织特定的标识存储中设置的登录账户。 账户凭据的管理(包括密码复杂程度和有效期的策略)完全在门户的外部完成。 可以在门户层(使用门户层的身份验证)执行身份验证,或者通过外部身份提供者执行身份验证(使用 SAML)。
同样,您也可以在门户中创建相应群组,这些群组将链接到标识存储中的现有 Windows Active Directory、LDAP 或 SAML 群组。 这样就可以使群组成员资格的管理完全在门户的外部完成。 当成员登录到门户后,对内容、项目和数据的访问权限将由 Active Directory、LDAP 或 SAML 群组中定义的成员规则控制。 此外,您也可以从组织中的 Active Directory、LDAP 或 SAML 群组中批量添加组织特定的账户。
例如,建议对您的组织禁用匿名访问,将您的门户连接到组织中所需的 Active Directory、LDAP 或 SAML 群组,然后在这些群组的基础上添加组织特定的账户。 通过这样的方式,您可以根据组织中的特定 Active Directory、LDAP 或 SAML 群组来限制对门户的访问。
支持多个标识存储
通过使用 SAML 2.0,您可以使用多个标识存储来访问您的门户。 用户可以使用内置账户登录,也可以使用在多个 SAML 兼容标识提供者中管理的账户进行配置,以相互信任。 这是管理可能驻留在组织内部或外部的用户的好方法。 有关详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
使用门户的标识存储配置内置用户和群组
使用内置用户和群组时,无需任何门户配置步骤;在安装软件后,门户可立即用于内置用户和群组。 如果您使用的是组织特定的用户,有关详细信息,请参阅以下各部分和相关链接。
配置组织特定的登录账户
以下组织特定的身份提供者可以使用门户进行配置。 可以在 web 层(使用 ArcGIS Enterprise on Kubernetes Web Adaptor)或门户层处理身份验证。
Web 层身份验证
如果您的组织已配置外部标识存储,则可以为 ArcGIS Enterprise on Kubernetes 部署配置 web 层身份验证。 有关信息,请参阅 Web 层身份验证。
门户层身份验证
要允许在不使用 SAML 的情况下使用组织特定的标识存储和内置标识存储来访问门户,则可以使用门户层身份验证。 完成方式为使用 Active Directory 或 LDAP 标识存储配置门户。 当访问您门户的登录页面时,用户能够使用组织特定的凭据或者内置凭据进行登录。 组织特定的用户在每次登录至门户时均需要输入其账户凭据;自动或单点登录将不可用。
当使用门户层身份验证时,成员将使用以下语法登录:
- 如果通过 Active Directory 使用门户,则语法为 domain\username 或 username@domain。 无论成员以何种方式登录,门户网站上的用户名始终显示为 username@domain。
- 如果通过 LDAP 使用门户,则语法可以由管理员进行定义。 门户网站也以此格式显示账户。
使用 SAML 配置组织特定的登录账户
ArcGIS Enterprise 门户支持所有 SAML 兼容身份提供者。 有关详细信息,请参阅在门户中配置 SAML 兼容身份提供者。
账户锁定策略
软件系统通常强制执行账户锁定策略,以防止大规模的自动猜测用户密码的尝试。 如果用户在特定时间间隔内进行了一定数量的失败登录尝试,则可能会拒绝他们在指定时间段内进行进一步尝试。 这些策略与有时用户会忘记其名称和密码而无法成功登录的实际情况相平衡。
强制的门户锁定策略取决于您所使用的标识存储类型:
内置标识存储
内置标识存储会将连续五次登录失败的用户锁定。 锁定持续 15 分钟。 此策略适用于标识存储中的所有账户,包括初始管理员账户。 无法修改或替换该策略。
组织特定的标识存储
当使用组织特定的标识存储时,账户锁定策略将从该存储继承。 您可能可以修改存储的账户锁定策略。 要了解如何更改账户锁定策略,请参阅特定于存储类型的文档。
监控失败的登录尝试
可通过在 ArcGIS Enterprise Manager 中查看组织的日志来监控失败的登录尝试。 任何一次失败登录后都将显示一条警报级别的消息,提示用户由于无效的用户名或密码组合而导致登录失败。 如果用户超过了登录尝试的最大次数,则将记录一条严重级别的消息,提示账户已被锁定。 监控日志以便获得关于失败登录尝试的信息可以帮助您确定系统中是否存在潜在的密码攻击。
有关详细信息,请参阅使用系统日志。