使用 Windows Active Directory 验证用户身份时,可以使用基于公钥基础设施 (PKI) 的客户端证书身份验证保证访问组织的安全。
要使用集成的 Windows 身份验证和客户端证书身份验证,必须使用部署到 Microsoft 的 IIS Web 服务器的 ArcGIS Web Adaptor (IIS)。 您无法使用 ArcGIS Web Adaptor (Java Platform) 来执行集成的 Windows 身份验证。 如果您尚未执行此操作,请通过门户安装并配置 ArcGIS Web Adaptor (IIS)。
使用 Windows Active Directory 配置您的门户
首先,将门户配置为对所有通信使用 SSL。 然后,更新门户的身份存储以使用 Windows Active Directory 用户和群组。
配置组织以对所有通信使用 HTTPS
要将组织配置为使用 HTTPS,请完成以下步骤:
- 以管理员的身份登录到组织网站。
URL 格式为 https://organization.example.com/<context>/home。
- 单击组织,再单击设置选项卡,然后单击页面左侧的安全性。
- 启用允许仅通过 HTTPS 访问门户。
使用 Active Directory 用户和群组配置身份存储
然后,更新组织的身份存储以使用 Windows Active Directory 用户和群组。
- 以组织管理员身份登录到 ArcGIS Enterprise Manager。
URL 格式为 https://site.example.com/<site context>/manager。
- 单击安全性 > 身份存储。
通过用户存储和群组存储下的选项按钮,您可以选择如何为组织管理用户和群组。
- 选择用户存储下的 Windows。
对于 Windows 用户,您可以使用内置的群组存储或 Windows 群组存储。 用户存储和群组存储配置部分的文本框会根据所选群组存储的类型而变化。
- 在用户存储和群组存储配置中,输入各个文本框的相关信息。各个文本框的描述如下:
- 用户名(必填项)
- 密码(必填项)
- 用户名是否区分大小写?- 是或否。
- 用户名字属性(必填项)- 用户名字的目录服务器属性。
- 用户姓氏属性(必填项)- 用户姓氏的目录服务器属性。
- 用户电子邮件属性(必填项)- 用户电子邮件地址的目录服务器属性。
- 域控制器(必填项)
- 域控制器映射
- 输入完用于配置身份存储的信息后,请单击保存。
添加组织特定帐户
默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。
使用以下方法之一将帐户添加到组织中:
建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户。
添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。
安装并启用 Active Directory 客户端证书映射身份验证
IIS 的默认安装中不提供 Active Directory 客户端证书映射。 您必须安装并启用该功能。
通过 Windows Server 2016 安装
完成以下步骤以通过 Windows Server 2016 安装客户端证书映射身份验证:
- 打开管理工具,然后单击 Server Manager。
- 在 Server Manager 层次结构窗格中,展开角色并单击 Web 服务器 (IIS)。
- 展开 Web 服务器和安全性角色。
- 在安全性角色部分,选择客户证书映射身份验证,然后单击下一步。
- 单击选择要素选项卡上的下一步,然后单击安装。
通过 Windows Server 2019 或 2022 安装
完成以下步骤以通过 Windows Server 2019 或 2022 安装客户端证书映射身份验证:
- 打开管理工具,然后单击 Server Manager。
- 在 Server Manager Dashboard 中,单击添加角色和功能。
- 接受默认设置,然后在开始之前、安装类型和服务器选择页面上单击下一步。
- 在服务器角色中,启用 Web 服务器 (IIS),然后单击下一步。
- 在功能页面上,单击下一步。
- 在 Web 服务器角色 (IIS) 页面中,单击下一步。
- 在角色服务页面上,展开安全性部分。
- 在安全性部分,选择 IIS 客户证书映射身份验证,然后单击下一步。
- 在确认页面上,单击安装。
启用 Active Directory 客户端证书映射身份验证
安装 Active Directory 客户端证书映射后,请完成以下步骤以启用该功能:
- 启动 Internet Information Server (IIS) 管理器。
- 在连接节点中,单击 web 服务器的名称。
- 在功能视图 窗口中,双击身份验证。
- 验证是否显示了 Active Directory 客户端证书身份验证。
如果功能未显示或不可用,则可能需要重新启动 web 服务器以完成 Active Directory 客户端证书身份验证功能的安装。
- 双击活动目录客户证书身份验证,并在操作窗口中选择启用。
随即显示一条消息,指示必须启用 SSL 才可使用 Active Directory 客户端证书身份验证。 您将在下一部分中对此进行解决。
配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书
完成以下步骤来配置 ArcGIS Web Adaptor 以获取 SSL 和客户端证书:
- 启动 Internet Information Services (IIS) 管理器。
- 展开连接节点并选择 ArcGIS Web Adaptor 站点。
- 在功能视图 窗口中,双击身份验证。
- 禁用所有形式的身份验证。
- 从连接列表中再次选择 ArcGIS Web Adaptor。
- 双击 SSL 设置。
- 启用要求 SSL 选项,然后选择客户端证书下的要求选项。
- 单击应用保存更改。
注:
要在 Microsoft Windows Server 2022 上运行客户端证书身份验证,必须在 HTTPS 站点绑定下禁用 TLS 1.3。
验证是否可以使用 Windows Active Directory 和客户端证书身份验证访问门户
完成以下步骤以验证是否可以使用 Windows Active Directory 和客户端证书身份验证访问门户:
- 打开门户。
URL 格式为 https://organization.example.com/<context>/home。
- 验证是否收到有关安全凭据的提示并能够访问网站。
防止用户创建自己的内置帐户
您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。