使用集成的 Windows 身份验证

可使用集成的 Windows 身份验证 (IWA) 安全访问组织。 使用 IWA 时,通过 Microsoft Windows Active Directory 管理登录帐户。 用户无需登录和登出组织,而是在打开网站时使用 Windows 登录帐户登录网站。

要使用集成的 Windows 身份验证,必须使用部署到 Microsoft IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。 如果您尚未执行此操作,请在组织中安装并配置 ArcGIS Web Adaptor (IIS)

配置组织以使用 Windows Active Directory

默认情况下,ArcGIS Enterprise 将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许同时使用 HTTP 和 HTTPS 通信,则必须按照下列步骤将门户重新配置为仅使用 HTTPS 通信:

注:

ArcGIS Enterprise 使用 Active Directory 身份存储,支持来自具有单个森林的多个域的身份验证,但不提供跨森林的身份验证。 要支持来自多个森林的组织特定的用户,需要 SAML 身份提供者。

配置组织以对所有通信使用 HTTPS

要将组织配置为使用 HTTPS,请完成以下步骤:

  1. 以管理员的身份登录到组织网站。

    URL 格式为 https://organization.example.com/<context>/home

  2. 单击组织,再单击设置选项卡,然后单击页面左侧的安全性
  3. 启用允许仅通过 HTTPS 访问门户

使用 Active Directory 用户和群组配置身份存储

接下来,更新您组织的身份存储以使用 Windows Active Directory 用户和群组。

  1. 以您组织的管理员身份登录到 ArcGIS Enterprise Manager

    URL 格式为 https://organization.example.com/<context>/manager

  2. 单击安全性,然后单击身份存储

    通过用户存储群组存储下的按钮,您可以选择如何为组织管理用户和群组。

  3. 选择用户存储下的 Windows

    对于 Windows 用户,您可以使用内置的群组存储或 Windows 群组存储。 用户存储和群组存储配置部分的输入框会根据所选群组存储的类型而变化。

  4. 用户存储和群组存储配置部分中,提供各个字段的相关信息。

    各个文本框的描述如下:

    • Username (Required)
    • Password (Required)
    • Are usernames case sensitive?- 是或否。
    • User first name attribute (Required)- 用户名字的目录服务器属性。
    • User last name attribute (Required)- 用户姓氏的目录服务器属性。
    • User email attribute (Required)- 用户电子邮箱地址的目录服务器属性。
    • Domain controller (Required)
    • Domain controller mapping

  5. 提供完用于配置身份存储的信息后,请单击保存

配置其他身份存储参数

还可使用 ArcGIS Enterprise 管理 API 修改其他身份存储配置参数。 这些参数包含限制组织特定用户登录组织时是否自动刷新群组、设置成员资格刷新间隔以及定义是否检查多个用户名格式。 有关详细信息,请参阅更新身份存储

添加组织特定帐户

默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

  • 单独或批量(逐一添加,通过 .csv 文件批量添加,或从现有的 Active Directory 组添加)
  • 自动

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。

配置 ArcGIS Web Adaptor 以使用 IWA

要配置 ArcGIS Web Adaptor 以使用 IWA,请完成以下步骤:

  1. 打开 Internet Information Server (IIS) Manager。
  2. 连接面板中,找到并展开托管 ArcGIS Web Adaptor 的网站。
  3. 单击 ArcGIS Web Adaptor 的名称。

    默认为 arcgis

  4. 主页面板中,双击身份验证
  5. 选择匿名身份验证,然后单击禁用
  6. 选择 Windows 身份验证,然后单击启用
  7. 关闭 Internet Information Server (IIS) Manager。

使用 IWA 验证门户访问

欲验证是否可以使用 IWA 访问门户,请执行以下步骤:

  1. 打开门户。

    URL 格式为 https://organization.example.com/<context>/home

  2. 验证系统将提示您输入组织特定的帐户凭据,还是使用组织特定的帐户自动登录。 如果未出现此行为,请确认您登录到计算机所使用的 Windows 帐户是否已被添加到门户中。

防止用户创建自己的内置帐户

您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。