配置安全性设置

默认管理员以及具有正确权限的人员可以为策略、共享和搜索、密码策略、登录选项、多个因子身份验证、访问通知、受信任服务器和门户访问权限等配置安全设置。

提示:

有关深度安全、隐私和合规性信息,请访问 ArcGIS Trust Center

  1. 确认您是否以默认管理员或启用了管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 配置以下任一安全性设置:

访问和权限

根据需要更改以下任意策略设置:

  • 允许对您的组织网站进行匿名访问 - 启用此选项可允许匿名用户访问您组织的网站。 如果未选中此选项,则将匿名用户无法访问网站。 他们也无法通过 Bing Maps 查看您的地图(如果您的组织配置了 Bing Maps)。

    提示:

    如果您禁用匿名访问,则组织成员仍然可以使用公共 URL 共享公共项目

    如果启用匿名访问,请确保将为站点配置群组所选的群组与公众共享;否则,匿名用户将无法正常查看或访问这些群组的公共内容。

    注:

    经过验证的组织必须允许匿名访问组织。 如果已验证组织想要禁用匿名访问,必须先为其移除已验证状态

  • 在“登录”面板中显示一个选项,以允许其他组织的成员仅使用其 ArcGIS Online 凭据登录来访问您的成员与之共享的组织内容 - 启用此选项以允许其他 ArcGIS Online 组织的成员访问您的组织成员与之共享的项目。 启用此选项后,登录窗口底部会显示单独登录链接,以供用户通过 www.arcgis.com 进行登录并访问与其共享的项目。
  • 允许成员编辑个人信息以及可查看其个人资料的用户 - 启用此选项可允许成员修改个人资料中的个人信息以及可查看其个人资料的用户。
  • 允许成员从其设置页面下载许可的 Esri 应用程序,例如 ArcGIS Pro - 启用此选项,可供具有必需许可的组织成员使用其设置页面上的链接下载应用程序。 禁用此选项将隐藏成员的下载链接。

共享和搜索

根据需要更改以下任意共享和搜索设置:

  • 成员可公开共享内容 - 启用此选项可允许成员将其个人资料设置为所有人(公共)可见、与公众共享其 web 应用程序和其他项目,或在网站中嵌入地图或群组。

    如果禁用此设置,成员将无法向公众显示其个人资料、向公众共享其内容或在网站中嵌入内容。 同时将禁用社交媒体按钮。 作为管理员,您可与公众共享成员的项目。 您还可以向所有人(公共)显示成员的个人资料,以便成员可以受邀加入组织外的群组。

    如果您禁用了对组织的匿名访问,您可以通过与所有人(公共)共享项目并将项目的 URL 从组织的私有 URL 更改为公共的 ArcGIS Online URL (www.arcgis.com) 的方式实现对地图、应用程序和群组的共享。 例如,通过将 URL 从 https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 更改为 https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55,您可与匿名用户共享组织的一个地图。

  • 成员可搜索组织外内容 - 启用此选项可允许成员查看组织外用户拥有的地图、图层、应用程序和文件。

    如果禁用此设置,成员将无法访问组织外的内容。 管理员可以搜索组织外部的项目。

  • 在项目和群组页面中显示社交媒体链接 - 启用此选项可在项目和群组页面中包括 FacebookTwitter 链接。

密码策略

成员更改其密码时,必须符合组织的策略。 否则,会显示包含策略详细信息的消息。 组织的密码策略不适用于使用应用程序 ID 和应用程序密码提示问题的组织特点登录帐户,例如 SAML 登录帐户或应用程序凭据。

ArcGIS 默认密码策略要求密码必须至少为八个字符并至少包含一个字母和一个数字。 要更新组织的密码策略,请单击管理密码策略来配置密码长度、复杂性和 ArcGIS 帐户成员的历史要求。 您可以指定字符长度以及密码是否必须至少包含以下任一字符:大写字母、小字字母、数字或特殊字符。 您还可以配置密码的有效天数以及成员不得重新使用的旧密码的数量。 要随时恢复到 ArcGIS 默认策略,请单击使用默认 ArcGIS 策略

注:

将不会接受强度较弱的密码。 如果密码为常用密码(例如 password1)或者包含重复字符或序列字符(例如,aaaabbbb1234abcd),则密码将视为强度较弱。

登录帐户

您可以自定义组织的登录页面,允许成员使用以下任意方法进行登录:ArcGIS 登录帐户、Security Assertion Markup Language (SAML) 登录帐户(之前称为企业登录帐户)、OpenID Connect 登录帐户以及社交登录帐户。

您还可以自定义登录方法在组织的登录页面上显示的顺序。 要对登录方法重新排序,请单击其控点重新排序并将其拖动到新位置。 单击预览可查看登录页面的外观。

注:

使用 ArcGIS Hub 增值版的组织尚无法使用登录重新排序。

打开 ArcGIS 登录帐户切换按钮允许用户使用 ArcGIS 登录帐户登录到 ArcGIS。

如果希望成员使用您组织的现有 SAML 身份提供者登录 ArcGIS,请使用新建 SAML 登录帐户按钮来配置 SAML 登录帐户

如果您希望成员使用组织的现有 OpenID Connect 身份提供者进行登录,请使用新建 OpenID Connect 登录帐户按钮来配置 OpenID Connect 登录帐户

有关使用 SAMLOpenID Connect 等组织特定登录帐户的优势,请观看 5 次或更少的准备:组织特定的登录视频

您还可以允许组织成员注册,并使用其与社交网络(例如 FacebookGoogleGitHubApple)配合使用的登录帐户登录到 ArcGIS。 要支持社交登录帐户,请打开社交登录帐户切换按钮,并为您希望启用的社交网络打开切换按钮。

多因子身份验证

注:

此选项控制使用 ArcGIS 登录凭据的 ArcGIS 组织帐户的多因子身份验证。 要为特定于组织的(SAMLOpenID Connect)登录帐户配置多因素身份验证,请联系您的身份提供商以配置相应的选项。

使用社交登录帐户创建的 ArcGIS 组织帐户或 ArcGIS 公共帐户不支持多因子身份验证。

如果组织要为其成员提供登录 ArcGIS 的多因子身份验证设置,请启用允许成员选择是否为其个人帐户设置多因子身份验证切换按钮。 在成员登录时,多因子身份验证还会要求提供除用户名和密码之外的验证码,从而提供提供更高的安全级别。

如果您启用了此项设置,则组织成员可通过其个人资料页面设置多因子身份验证,并在移动手机或平板电脑上接收来自所支持的身份验证应用程序的验证码(目前,Google Authenticator 用于 AndroidiOSAuthenticator 用于 Windows Phone)。 启用多因子身份验证的成员在组织页面的成员选项卡的成员表内“多因子身份验证”列 多因子身份验证 上具有复选标记。

如果为组织启用多因子身份验证,则必须指定至少两名管理员以根据成员帐户需要接收禁用多因子身份验证的电子邮件请求。 ArcGIS Online 代表相应成员发送电子邮件,这些成员通过使用代码登录时遇到问题?链接(位于请求成员输入身份验证代码的页面上)请求多因子身份验证的帮助。 至少需要两个管理员,这样才能确保至少有一个管理员可帮助成员处理多因子身份验证问题。

多因子身份验证适用于支持 OAuth 2.0 的 Esri 应用程序中的 ArcGIS 帐户。 其中包括 ArcGIS Online 网站、ArcGIS Desktop 10.2.1 及更高版本、ArcGIS 应用程序、My Esri 以及 ArcGIS Marketplace 中的应用程序。 在 ArcGIS Desktop 10.2.1 及更高版本中,可使用多因子身份验证从目录窗口中的即用型服务节点连接到 ArcGIS Online 服务。

访问没有 OAuth 2.0 支持的应用程序时,必须禁用多因子身份验证。 对于某些支持 OAuth 2.0 的应用程序(例如 ArcGIS Desktop 10.2.1 及更高版本),在连接 ArcGIS Desktop 和作为 ArcGIS Online 组成部分的 ArcGIS Server 服务时仍必须禁用多因子身份验证。 其中包括执行路径分析和高程分析的地理编码服务和地理处理服务。 使用 Esri 高级内容存储凭据时也必须禁用多因子身份验证。

电子邮件验证

验证组织成员电子邮件地址的有效性有助于 ArcGIS Online 用户和管理员接收来自 ArcGIS Online 的关键信息,如密码重置和帐户更改。 可以选择性地打开切换按钮,以在成员登录到组织时提示使用未验证的电子邮件地址的成员验证其地址。

默认管理员和具有管理安全性和基础设施设置、管理成员和查看所有成员的管理权限的成员可以单击查看未验证成员以查看使用未验证的电子邮件地址的成员列表。 默认管理员也可以通过单击成员名称旁边的编辑电子邮件地址来确认和编辑任意未验证成员的电子邮件地址。

访问通知

您可以为访问站点的用户配置并显示条款通知。

您可以为组织成员、访问组织的所有用户或二者配置访问通知。 如果您为组织成员设置访问通知,则成员登录后将显示该通知。 如果您为所有用户设置访问通知,则当任何用户访问您的站点时,都会显示该通知。 如果您同时设置了两个访问通知,则组织成员将看到两个通知。

要为组织成员或所有用户配置访问通知,请在相应部分中单击设置访问通知,打开切换按钮以显示访问通知,并提供通知标题和文本。 如果您希望用户在接受访问通知后再继续访问站点,请选择接受和拒绝;如果您希望用户必须单击确定才能继续,请选择仅确定。 完成后单击保存

要编辑组织成员或所有用户的访问通知,请在相应的部分中单击编辑访问通知,以对标题、文本或操作按钮选项进行更改。 如果您不再希望显示访问通知,请使用切换按钮以禁用访问通知。 禁用访问通知后,如果将来重新启用访问通知,则系统会保留先前输入的文本和配置。 完成后单击保存

信息通栏

可以使用信息通栏向所有访问您组织的用户发出有关站点状态和内容的警报。 例如,通过创建显示在站点顶部和底部的自定义消息,来通知用户维护计划或分类信息警报。 通栏显示在主页、图库、Map ViewerMap Viewer 经典版、Scene Viewer、Notebook、群组、内容和组织页面上。

要为组织启用信息通栏,单击设置信息通栏,并打开显示信息通栏。 在通栏文本字段中添加文本,然后选择背景颜色和字体颜色。 所选文本和背景颜色的对比度随即显示。 对比度是基于 WCAG 2.1 可用性标准的可读性度量;根据这些标准,建议使用 4.5 的对比度。

您可以在预览窗格中预览信息通栏。 单击保存将通栏添加到组织。

要编辑信息通栏,请单击编辑信息通栏并更改通栏文本或样式。 如果您不再希望显示信息通栏,请使用切换按钮禁用信息通栏。 禁用信息通栏后,如果将来重新启用信息通栏,则系统会保留先前输入的文本和配置。 完成后单击保存

受信任服务器

对于受信任服务器,可配置受信任服务器列表,使其包含通过跨域资源共享 (CORS) 请求访问受 web 层身份验证保护的服务时,希望客户端发送凭据的目标服务器。 这主要用于运行 ArcGIS Server 的编辑独立(非联合)服务器上的安全要素服务,或查看安全 OGC 服务。 ArcGIS Server 受基于令牌的安全性保护的托管服务不需要添加到此列表。 添加到受信任服务器列表中的服务器必须支持 CORS。 此外,必须将 CORS 配置为允许特定域(将用于与服务器通信),例如 ArcGIS Online 组织域。 托管在不支持 CORS 的服务器上的图层可能无法按预期运行。 默认情况下,ArcGIS Server 10.1 及更高版本支持 CORS。 要在非 ArcGIS 的服务器上配置 CORS,请参阅 web 服务器的供应商文档。

需要单独输入主机名。 请勿使用通配符,系统不接受通配符。 输入主机名时,其前面可以输入协议,也可以不输入。 例如,主机名 secure.esri.com 可以输入为 secure.esri.comhttps://secure.esri.com

注:

编辑受 web 层身份验证保护的要素服务时,需要启用了 CORS 的 web 浏览器。 将在所有受支持的浏览器中启用 CORS。

允许原点

默认情况下,对于来自任何域上的 Web 应用程序的跨域资源共享 (CORS) 请求,ArcGIS REST API 均为开放状态。 如果您的组织要限制能够通过 CORS 访问 ArcGIS REST API 的 Web 应用程序域,则必须明确指定这些域。 例如,要仅限制对 acme.com 上的 Web 应用程序的 CORS 访问,请单击添加并在文本框中输入 https://acme.com,然后单击添加域。 您可以最多为组织指定 100 个受信任的域。 不必将 arcgis.com 指定为受信任域,因为在 arcgis.com 域上运行的应用程序始终可以连接至 ArcGIS REST API

允许门户访问

配置想要共享安全内容的门户列表(例如 https://otherportal.domain.com/arcgis)。 这将允许组织成员使用组织特定登录帐户(包括 SAML 登录帐户)从这些门户访问并查看安全内容。 这仅适用于 ArcGIS Enterprise 10.5 或更高版本的门户。 ArcGIS Online 组织之间共享安全内容时无需此设置。 要在组织间私下共享内容,请参阅与其他组织共享项目

必须单独输入门户 URL,且 URL 必须包括协议。 请勿使用通配符,系统不接受通配符。 如果添加的门户允许 HTTP 和 HTTPS 两种访问,则必须向该门户添加两个 URL(例如 http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 添加到列表的所有门户均需先经过验证,因此必须可通过浏览器访问。

应用程序

您可以指定组织成员可以访问哪些外部应用程序,并可选择在应用程序启动器中选择向组织成员提供已批准的 Web 应用程序。 您还可以指定应阻止成员访问的 Esri 应用程序列表,以符合法规、标准和最佳实践。

已批准应用程序

所有 Esri 应用程序、许可应用程序和从 ArcGIS Marketplace 购买的应用程序都会自动批准成员访问。要在没有请求权限提示的情况下授予组织成员访问其他类型的应用程序的权限,您必须为组织指定已批准的应用程序列表。 批准的应用程序可以包括托管在您的组织内或组织外的 Web、移动或原生应用程序。 要访问外部应用程序,您还可以将成员登录限制为仅那些添加到已批准应用程序列表中的应用程序。

注:

公开共享的已批准 Web 应用程序也可以在应用程序启动器中提供给组织成员。 对于具有相应许可的成员,获得许可的应用程序将自动显示在应用程序启动器中。 有关详细信息,请参阅在应用程序启动器中管理应用程序

执行以下操作以批准组织成员访问应用程序:

  1. 确认您是否以默认管理员或管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面一侧的安全性,然后单击应用程序跳转到页面的应用程序部分。
  4. 或者,打开成员只能登录到批准的外部应用程序切换按钮。

    如果您启用此设置,组织成员只能登录您添加到已批准应用程序列表的外部应用程序。 这适用于当前未在您的组织中注册的外部应用程序。 Esri 应用程序和从 ArcGIS Marketplace 购买的应用程序始终获得批准,并且不会使用此设置阻止访问。

  5. 已批准应用程序下,单击添加已批准应用程序
  6. 使用以下方法之一搜索应用程序:
    • 浏览至列表中的应用程序。
    • 按名称搜索 - 按应用程序名称搜索时,您只能找到在您的组织中托管的应用程序。
    • 按项目 URL 搜索 — 按项目 URL 搜索时,您只能找到与公众共享的应用程序。 项目 URL 位于应用程序项目页面概览选项卡(URL 部分)上。
    • 按应用程序 ID 搜索 - 如果您拥有或有权访问应用程序项目,您可以在应用程序项目页面的设置选项卡(应用程序设置 > 注册信息)上找到应用程序 ID。 查找应用程序 ID 的另一种方法是在私人浏览器窗口中打开该应用程序,单击该应用程序的登录链接,然后在浏览器地址栏中显示的 URL 中查找 client_id 值。
      提示:

      成员已登录的应用程序的 client_id 也会显示在组织报表中。

  7. 选择要批准的应用程序。
  8. 如果您选择了 Web 应用程序,可选择关闭在应用程序启动器中显示切换按钮以在应用程序启动器中隐藏 Web 应用程序。

    要在应用程序启动器中显示 Web 应用程序,请保持此切换按钮处于打开状态,然后按照在应用程序启动器中管理应用程序中的步骤进行操作。

  9. 单击保存将应用程序添加到已批准应用程序列表。

阻止的 Esri 应用程序

如果您的组织希望限定对用户类型所包含应用程序的访问权限,但无法通过许可控制这些应用程序,您可以选择配置阻止的应用程序列表。 您还可以阻止访问当前处于测试阶段的应用程序。

阻止的应用程序将被从应用程序启动器中移除,并且无法从内容页面或 web 地图创建其项目。 管理员在管理许可添加新成员时仍然可以看到阻止的应用程序,但无法对其进行选择。 在阻止某个应用程序之前创建的应用程序项目在组织中仍然可见,但是成员无法登录到其中。 如果与您的组织共享阻止的应用程序,则成员将无法登录和使用该应用程序。

打开在 Esri 应用程序测试阶段阻止切换按钮,以防止成员访问测试阶段应用程序。 您可以单击查看应用程序列表以查看当前处于测试阶段的应用程序。

要阻止不在测试阶段的应用程序,请单击管理阻止的 Esri 应用程序,选择要阻止的应用程序,然后单击保存。 列表包括当前处于测试阶段的应用程序,在此列表中选择它们会阻止对它们的访问,即使它们已结束测试阶段。

管理员可以通过在管理阻止的 Esri 应用程序窗口中取消选择它们,或单击列表中该应用程序旁边的移除按钮 移除,将其从组织的阻止的应用程序列表中移除。