当使用轻量级目录访问协议 (LDAP) 验证用户身份时,可使用基于公钥基础设施 (PKI) 的客户端证书身份验证安全访问您的 ArcGIS Enterprise 组织。
要使用 LDAP 和 PKI,必须通过部署到 Java 应用程序服务器的 ArcGIS Web Adaptor (Java Platform) 设置基于客户端证书身份验证。 无法使用 ArcGIS Web Adaptor (IIS) 来按照 LDAP 执行客户端证书身份验证。
使用 LDAP 配置组织
默认情况下,ArcGIS Enterprise 组织将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许同时使用 HTTP 和 HTTPS 通信,则必须按照下列步骤将门户重新配置为仅使用 HTTPS 通信:
配置组织以对所有通信使用 HTTPS
要将组织配置为使用 HTTPS,请完成以下步骤:
- 以管理员的身份登录到组织网站。
URL 格式为 https://organization.example.com/<context>/home。
- 单击组织,再单击设置选项卡,然后单击页面左侧的安全性。
- 启用允许仅通过 HTTPS 访问门户。
使用 LDAP 用户和群组配置身份存储
然后,更新组织的身份存储以使用 LDAP 用户和群组。
- 以组织管理员身份登录到 ArcGIS Enterprise Manager。
URL 格式为 https://organization.example.com/<context>/manager。
- 单击安全性,然后单击身份存储。
- 单击用户存储和群组存储下的按钮,选择如何为组织管理用户和群组。
- 选择用户存储下的 LDAP。
对于 LDAP 用户,您可以使用内置的群组存储或 LDAP 群组存储。 用户存储和群组存储配置部分的输入框会根据所选群组存储的类型而变化。
- 在用户存储和群组存储配置部分中,输入各个字段的相关信息。
各个文本框的描述如下:
- Type- LDAP 或 LDAPS。
- Hostname (Required)- 运行 LDAP 目录的主机名称。
- Port (Required)- 主机上 LDAP 目录用于监听传入连接的端口号。
注:
对于安全连接,该端口号通常为 636。
- User Base DN (Required)- 用于保存用户信息的节点目录服务器上的可分辨名称 (DN),例如:ou=users,dc=example,dc=com。
- Group base DN (Required)- 用于保存群组信息的节点目录服务器上的可分辨名称 (DN),例如:ou=groups,dc=example,dc=com。
- Username (Required)- 可以访问包含用户信息的节点的 LDAP 用户帐户的可分辨名称 (DN)。 此帐户不需要管理访问权限。
- Password (Required)- 用于访问目录服务器的 LDAP 用户帐户的密码。
- LDAP URL for users- 用于连接到 LDAP 目录的用户的 LDAP URL。
注:
该 URL 为自动生成,但是可以根据需要更改。 - LDAP URL for groups- 用于连接到 LDAP 目录的群组的 LDAP URL。
注:
该 URL 为自动生成,但是可以根据需要更改。 - Are usernames case sensitive?- 是或否。
- User first name attribute (Required)- 用户名字的目录服务器属性。
- User last name attribute (Required)- 用户姓氏的目录服务器属性。
- User email attribute (Required)- 用户电子邮箱地址的目录服务器属性。
- Username attribute (Required)- 用户名的目录服务器属性。
- User search attribute- 仅当将 Enterprise 配置为在 Java web adaptor 上使用 Web 层身份验证时才需要的可选字段。 在某些情况下,Java Web Adaptor 可能以不同于上面指定的预期用户名的格式返回经身份验证的用户名。 例如,将 Java web adaptor 配置为使用客户端证书身份验证,并且从 Web 服务器返回用户的完整可分辨名称而非用户名时。 在此示例中,用户搜索属性需要设置为 distinguishedName。
- Member attribute (Required)- 作为某个群组成员的用户列表的目录服务器属性。
- Group name attribute (Required)- 群组名称的目录服务器属性。
- 输入完用于配置身份存储的信息后,请单击保存。
添加组织特定帐户
默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。
使用以下方法之一将帐户添加到组织中:
建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户。
添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。
配置 ArcGIS Web Adaptor 使用客户端证书身份验证
为组织安装并配置 ArcGIS Web Adaptor (Java Platform) 后,在 Java 应用程序服务器上配置 LDAP 域,并为 ArcGIS Web Adaptor 配置基于 PKI 的客户端证书身份验证。 有关说明,请咨询您的系统管理员,或参阅 Java 应用程序服务器的产品文档。
注:
要运行客户端证书身份验证,必须在 Java 应用程序服务器中禁用 TLS 1.3。
使用 LDAP 和客户端证书身份验证验证组织访问权限
要验证是否可以使用 LDAP 和客户端证书身份验证访问门户,请完成以下步骤:
- 打开 ArcGIS Enterprise 门户。
- 验证是否收到有关安全凭据的提示并能够访问网站。
防止用户创建自己的内置帐户
您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。