默认管理员以及具有适当权限的用户可以为策略、共享和搜索、密码策略、登录选项、多因子身份验证、访问通知、受信任服务器和门户访问权限等配置安全性设置。
提示:
有关深度安全、隐私和合规性信息,请访问 ArcGIS Trust Center。
策略
根据组织需要更改与访问和权限以及共享和搜索相关的任何策略设置。
访问和权限
根据需要更改以下任意访问和权限设置:
允许对您的组织网站进行匿名访问 - 启用此选项可允许匿名用户访问您组织的网站。 如果未启用此选项,则匿名用户无法访问网站。 他们也无法通过 Bing Maps 查看您的地图(如果您的组织配置了 Bing Maps)。
提示:
如果您禁用匿名访问,则组织成员仍然可以使用公共 URL 共享公共项目。
如果启用匿名访问,请确保将为站点配置群组所选的群组共享给公众;否则,匿名用户将无法正常查看或访问这些群组的公共内容。
- 在“登录”面板中显示一个选项,以允许其他组织的成员仅使用其 ArcGIS Online 凭据登录来访问您的成员与之共享的组织内容 - 启用此选项以允许其他 ArcGIS Online 组织的成员访问您的组织成员与之共享的项目。 启用此选项后,登录窗口底部会显示单独登录链接,以供用户通过 www.arcgis.com 进行登录并访问与其共享的项目。
- 允许成员编辑个人信息以及可查看其个人资料的用户 - 启用此选项可允许成员修改个人资料中的个人信息以及可查看其个人资料的用户。
- 允许成员从其设置页面下载许可的 Esri 应用程序,例如 ArcGIS Pro - 启用此选项,可供具有必需许可的组织成员使用其设置页面上的链接下载应用程序。 禁用此选项将隐藏成员的下载链接。
共享和搜索
根据需要更改以下任意共享和搜索设置:
非管理员成员可以公开内容、群组和个人资料 - 启用此选项可允许成员将其个人资料或群组设置为所有人(公共)可见、与公众共享其 web 应用程序和其他项目,以及在网站中嵌入内容或群组。 如果禁用此选项,默认管理员和分配了与公众共享成员内容的管理权限的成员仍然可以公开其他成员的内容、群组和个人资料。
如果您禁用了对组织的匿名访问,您可以通过与所有人(公共)共享项目并将项目的 URL 从组织的私有 URL 更改为公共的 ArcGIS Online URL (www.arcgis.com) 的方式实现对地图、应用程序和群组的共享。 例如,通过将 URL 从 https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 更改为 https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55,您可与匿名用户共享组织的一个地图。
成员可搜索组织外内容 - 启用此选项可允许成员查看组织外用户拥有的地图、图层、应用程序和文件。
如果禁用此设置,成员将无法访问组织外的内容。 管理员可以搜索组织外部的项目。
- 在项目和群组页面中显示社交媒体链接 - 启用此选项可在项目和群组页面中包括 Facebook 和 Twitter 链接。
登录策略
根据需要为组织配置密码策略和锁定设置。
密码策略
成员更改其密码时,必须符合组织的策略。 否则,会显示包含策略详细信息的消息。 组织的密码策略不适用于使用应用程序 ID 和应用程序密码提示问题的组织特点登录账户,例如 SAML 登录账户或应用程序凭据。
ArcGIS 默认密码策略要求密码必须至少为八个字符并至少包含一个字母和一个数字。 要更新组织的密码策略,请单击管理密码策略来配置密码长度、复杂性和 ArcGIS 账户成员的历史要求。 您可以指定字符长度以及密码是否必须至少包含以下任一字符:大写字母、小字字母、数字或特殊字符。 您还可以配置密码的有效天数以及成员不得重新使用的旧密码的数量。 要随时恢复到 ArcGIS 默认策略,请单击使用默认 ArcGIS 策略。
注:
将不会接受强度较弱的密码。 如果密码为常用密码(例如 password1)或者包含重复字符或序列字符(例如,aaaabbbb 或 1234abcd),则密码将视为强度较弱。
锁定设置
默认情况下,当成员尝试使用 ArcGIS 登录账户登录其 ArcGIS Online 组织时,在 15 分钟内尝试失败 5 次后,他们将在 15 分钟内锁定在网站之外。 单击管理锁定设置以更改允许的失败登录尝试次数或超过该次数时的锁定持续时间,或同时更改两者。 单击恢复默认值以返回到默认锁定设置。
登录账户
您可以自定义组织的登录页面,允许成员使用以下任意方法进行登录:ArcGIS 登录账户、Security Assertion Markup Language (SAML) 登录账户(之前称为企业登录账户)、OpenID Connect 登录账户以及社交登录账户。
您还可以自定义登录方法在组织的登录页面上显示的顺序。 要对登录方法重新排序,请单击其控点并将其拖动到新位置。 单击预览可查看登录页面的外观。
注:
使用 ArcGIS Hub 增值版的组织尚无法使用登录重新排序。
打开 ArcGIS 登录账户切换按钮允许用户使用 ArcGIS 登录账户登录到 ArcGIS。 配置 SAML 或 OpenID Connect 登录后,您可以关闭 ArcGIS 登录开关按钮,将用户引导至外部身份提供者的登录页面而不是组织的登录页面。
注:
关闭ArcGIS 登录开关按钮时,仅隐藏组织登录页面上的 ArcGIS 登录选项。 您仍可以使用 URL www.arcgis.com 登录组织。
如果希望成员使用您组织的现有 SAML 身份提供者登录 ArcGIS,请使用新建 SAML 登录账户按钮来配置 SAML 登录账户。
如果您希望成员使用组织的现有 OpenID Connect 身份提供者进行登录,请使用新建 OpenID Connect 登录账户按钮来配置 OpenID Connect 登录账户。
有关使用 SAML 和 OpenID Connect 等组织特定登录账户的优势,请观看 5 次或更少的准备:组织特定的登录视频。
您还可以允许组织成员注册,并使用其与社交网络(例如 Facebook、Google、GitHub 和 Apple)配合使用的登录账户登录到 ArcGIS。 要支持社交登录账户,请打开社交登录账户切换按钮,并为您希望启用的社交网络打开切换按钮。
多因子身份验证
注:
此选项控制使用 ArcGIS 登录凭据的 ArcGIS 组织账户的多因子身份验证。 要为特定于组织的(SAML 或 OpenID Connect)登录账户配置多因素身份验证,请联系您的身份提供商以配置相应的选项。
使用社交登录账户创建的 ArcGIS 组织账户或 ArcGIS 公共账户不支持多因子身份验证。
如果组织希望允许成员设置登录 ArcGIS 的多因子身份验证,请打开为组织启用多因子身份验证切换按钮。 组织也可以强制实施多因子身份验证,方法是单击强制实施 MFA 按钮。 多因子身份验证要求在成员登录时提供其他信息,从而提供更高的安全级别。
如果您启用了其中一项设置,则组织成员可通过其设置页面设置多因子身份验证,并在移动手机或平板电脑上接收来自所支持的身份验证器应用程序的验证码。ArcGIS Online 支持使用基于时间的一次性密码 (TOTP) 算法的身份验证器应用程序,例如用于 Android 和 iOS 的 Google Authenticator。 您可以在所选应用商店中搜索 TOTP 身份验证器应用程序。
提示:
启用多因子身份验证的成员在组织页面的选项卡的成员表内多因子身份验证列 多因子身份验证 上具有复选标记。
设置多因子身份验证的成员还可以通过其设置页面注册安全密钥。 成员可以通过安全密钥在登录 ArcGIS 账户时更安全、更便捷地完成第二步验证。 支持的安全密钥选项可以包含 USB 安全密钥、面部 ID、指纹读取器和手机。
如果已为组织启用了多因子身份验证,则还可以打开允许使用恢复代码。 成员将负责将恢复代码存储在安全的位置。切换按钮。 这允许已通过其设置页面设置了多因子身份验证的成员打印或下载恢复代码。 恢复代码为一次性代码,用于在成员登录 ArcGIS 账户时提供第二步验证。 如果失去了对身份验证器应用程序的物理访问权限(例如在旅行时手机丢失或安全密钥被盗),则可以使用恢复代码。
如果为组织启用多因子身份验证,则必须指定至少两名管理员以根据成员账户需要接收禁用多因子身份验证的电子邮件请求。 ArcGIS Online 代表相应成员发送电子邮件,这些成员通过使用代码登录时遇到问题?链接(位于请求成员提供身份验证代码的页面上)请求多因子身份验证的帮助。 至少需要两个管理员,这样才能确保至少有一个管理员可帮助成员处理多因子身份验证问题。
多因子身份验证适用于支持 OAuth 2.0 的 Esri 应用程序中的 ArcGIS 账户。 其中包括 ArcGIS Online 网站、ArcGIS Desktop 10.2.1 及更高版本、ArcGIS 应用程序、My Esri 以及 ArcGIS Marketplace 中的应用程序。 在 ArcGIS Desktop 10.2.1 及更高版本中,可使用多因子身份验证从目录窗口中的即用型服务节点连接到 ArcGIS Online 服务。
访问没有 OAuth 2.0 支持的应用程序时,必须禁用多因子身份验证。 对于某些支持 OAuth 2.0 的应用程序(例如 ArcGIS Desktop 10.2.1 及更高版本),在连接 ArcGIS Desktop 和作为 ArcGIS Server 组成部分的 ArcGIS Online 服务时仍必须禁用多因子身份验证。 其中包括执行路径分析和高程分析的地理编码服务和地理处理服务。 使用 Esri 高级内容存储凭据时也必须禁用多因子身份验证。
强制执行多因子身份验证
管理员可以在整个组织中强制实施多因子身份验证,以确保使用 ArcGIS 登录账户的成员在登录 ArcGIS Online 时均遵循安全策略,由此提高组织的安全性。 当强制执行多因子身份验证时,具有 ArcGIS 登录账户的成员将需要为其账户设置多因子身份验证,才能进行登录。 成员将无法再为其自己的账户禁用多因子身份验证,并且其必须联系其管理员,才能重置其多因子身份验证设置。
禁用强制实施多因子身份验证允许成员为其自己的账户禁用多因子身份验证,但不会为已设置多因子身份验证的成员禁用多因子身份验证。 系统将继续提示其使用多因子身份验证进行登录。
管理员还可以豁免使用 ArcGIS 登录账户的成员设置多因子身份验证才能进行登录的要求。 豁免列表中的成员可以通过其设置页面为其自己的账户启用和禁用多因子身份验证。
注:
强制执行多因子身份验证将登出所有拥有 ArcGIS 登录账户,但尚未启用多因子身份验证的成员,由此中断所有正在进行的工作和进程。 在启用强制执行多因子身份验证之前,请提前联系您的成员,确保其拥有足够的时间来设置多因子身份验证。 为了避免意想不到的干扰,可以临时将成员添加至多因子身份验证豁免列表。
要强制实施多因子身份验证,请执行以下步骤:
- 确认您是否以默认管理员或管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
- 单击站点顶部的组织,然后单击设置选项卡。
- 在安全性下,单击强制实施 MFA。
提示:
可以单击管理豁免列表添加用户,这些用户将保留启用或禁用多因子身份验证的权限。 如果未强制实施多因子身份验证,则豁免列表无效果。 完成后单击保存。 - 随即显示一个窗口。 单击强制执行。
MFA 强制实施目前正在生效标注将显示在安全性设置的 MFA 强制实施下。
- 要禁用多因子身份验证,请单击禁用 MFA 强制实施。 要管理豁免列表,请单击管理豁免列表。
电子邮件验证
验证组织成员电子邮件地址的有效性有助于 ArcGIS Online 用户和管理员接收来自 ArcGIS Online 的关键信息,如密码重置和账户更改。 可以选择打开切换按钮,以提示具有未验证电子邮件地址的成员在登录到组织时验证其地址。
默认管理员以及具有管理安全性和基础架构设置、管理成员和查看所有成员的管理权限的成员可以单击查看未验证成员,以查看具有未验证电子邮件地址的成员列表。 默认管理员还可通过单击成员姓名旁边的编辑电子邮件地址来确认和编辑任何未验证成员的电子邮件地址。
访问通知
您可以为访问站点的用户配置并显示条款通知。
您可以为组织成员、访问组织的所有用户或二者配置访问通知。 如果您为组织成员设置访问通知,则成员登录后将显示该通知。 如果您为所有用户设置访问通知,则当任何用户访问您的站点时,都会显示该通知。 如果您同时设置了两个访问通知,则组织成员将看到两个通知。
要为组织成员或所有用户配置访问通知,请在相应部分中单击设置访问通知,打开切换按钮以显示访问通知,并提供通知标题和文本。 如果您希望用户在接受访问通知后再继续访问站点,请选择接受和拒绝;如果您希望用户必须单击确定才能继续,请选择仅确定。 完成后单击保存。
注:
访问通知中不允许使用 HTML 标记。
要编辑组织成员或所有用户的访问通知,请在相应的部分中单击编辑访问通知,以对标题、文本或操作按钮选项进行更改。 如果您不再希望显示访问通知,请使用切换按钮以禁用访问通知。 禁用访问通知后,如果将来重新启用访问通知,则系统会保留先前键入的文本和配置。 完成后单击保存。
信息通栏
可以使用信息通栏向所有访问您组织的用户发出有关站点状态和内容的警报。 例如,通过创建显示在站点顶部和底部的自定义消息,来通知用户维护计划或分类信息警报。 通栏显示在主页、图库、Map Viewer、Map Viewer 经典版、Scene Viewer、Notebook、群组、内容和组织页面上。
要为组织启用信息通栏,单击设置信息通栏,并打开显示信息通栏。 在通栏文本字段中添加文本,然后选择背景颜色和字体颜色。 所选文本和背景颜色的对比度随即显示。 对比度是基于 WCAG 2.1 可用性标准的可读性度量;根据这些标准,建议使用 4.5 的对比度。
注:
不允许在信息通栏中使用 HTML 标签。
您可以在预览窗格中预览信息通栏。 单击保存将通栏添加到组织。
要编辑信息通栏,请单击编辑信息通栏并更改通栏文本或样式。 如果您不再希望显示信息通栏,请使用切换按钮禁用信息通栏。 禁用信息通栏后,如果将来重新启用信息通栏,则系统会保留先前键入的文本和配置。 完成后单击保存。
受信任服务器
对于受信任服务器,可配置受信任服务器列表,使其包含通过跨域资源共享 (CORS) 请求访问受 web 层身份验证保护的服务时,希望客户端发送凭据的目标服务器。 这主要用于编辑运行 ArcGIS Server 的独立(非联合)服务器上的安全要素服务,或查看安全 Open Geospatial Consortium (OGC) 服务。 ArcGIS Server 受基于令牌的安全性保护的托管服务不需要添加到此列表。 添加到受信任服务器列表中的服务器必须支持 CORS。 此外,必须将 CORS 配置为允许特定域(将用于与服务器通信),例如 ArcGIS Online 组织域。 托管在不支持 CORS 的服务器上的图层可能无法按预期运行。 默认情况下,ArcGIS Server 10.1 及更高版本支持 CORS。 要在非 ArcGIS 的服务器上配置 CORS,请参阅 web 服务器的供应商文档。
需要单独提供主机名。 请勿使用通配符,系统不接受通配符。 提供主机名时,其前面可以输入协议,也可以不输入。 例如,主机名 secure.esri.com 可以作为 secure.esri.com 或 https://secure.esri.com 提供。
注:
编辑受 web 层身份验证保护的要素服务时,需要启用了 CORS 的 web 浏览器。 将在所有受支持的浏览器中启用 CORS。
允许原点
默认情况下,对于来自任何域上的 Web 应用程序的 CORS 请求,ArcGIS REST API 均为开放状态。 如果您的组织要限制能够通过 CORS 访问 ArcGIS REST API 的 Web 应用程序域,则必须明确指定这些域。 例如,要仅限制对 acme.com 上的 Web 应用程序的 CORS 访问,请单击添加并在文本框中键入 https://acme.com,然后单击添加域。 您可以最多为组织指定 100 个受信任的域。 不必将 arcgis.com 指定为受信任域,因为在 arcgis.com 域上运行的应用程序始终可以连接至 ArcGIS REST API。
注册以电子邮件形式发送的外部链接
拥有 ArcGIS Hub 基础或高级许可或者 ArcGIS Workflow Manager 组织扩展模块的 ArcGIS Online 组织可以向成员发送相应电子邮件,其中仅包含来自允许的域的链接。 例如,要允许来自 acme.com 的链接,请单击添加链接并在文本框中键入 https://acme.com,然后单击添加链接。 您可以最多为组织指定 100 个域。 您无需指定 arcgis.com 或 esri.com,因为这些域始终为允许的域。 要了解如何为您的 ArcGIS Hub 组织或社区组织配置此列表,请参阅 ArcGIS Hub 中的高级设置。
允许门户访问
配置想要共享安全内容的门户列表(例如 https://otherportal.domain.com/arcgis)。 这将允许组织成员使用组织特定登录账户(包括 SAML 登录账户)从这些门户访问并查看安全内容。 这仅适用于 ArcGIS Enterprise 10.5 或更高版本的门户。 在 ArcGIS Online 组织之间共享安全内容时无需此设置。 要在组织间私下共享内容,请参阅与其他组织共享项目。
必须单独提供门户 URL,且 URL 必须包括协议。 请勿使用通配符,系统不接受通配符。 如果添加的门户允许 HTTP 和 HTTPS 两种访问,则必须向该门户添加两个 URL(例如 http://otherportal.domain.com/arcgis 和 https://otherportal.domain.com/arcgis)。 添加到列表的所有门户均需先经过验证,因此必须可通过浏览器访问。
应用程序
您可以指定组织成员可以访问哪些外部应用程序,并可在应用程序启动器中向组织成员提供已批准的 Web 应用程序。 您还可以指定应阻止成员访问的 Esri 应用程序列表,以符合法规、标准和最佳实践。
批准应用程序
所有 Esri 应用程序、许可应用程序和从 ArcGIS Marketplace 购买的应用程序都会自动批准成员访问。 要在没有请求权限提示的情况下授予组织成员访问其他类型的应用程序的权限,您必须为组织指定已批准的应用程序列表。 批准的应用程序可以包括托管在您的组织内或组织外的 Web、移动或原生应用程序。 要访问外部应用程序,您还可以将成员登录限制为仅那些添加到已批准应用程序列表中的应用程序。
注:
公开共享的已批准 Web 应用程序也可以在应用程序启动器中提供给组织成员。 对于具有相应许可的成员,获得许可的应用程序将自动显示在应用程序启动器中。 有关详细信息,请参阅在应用程序启动器中管理应用程序。
执行以下操作以批准组织成员访问应用程序:
- 确认您是否以默认管理员或管理安全和基础设施的管理权限的自定义角色成员身份进行登录。
- 单击站点顶部的组织,然后单击设置选项卡。
- 单击页面一侧的安全性,然后单击应用程序以移动到页面的应用程序部分。
- 或者,打开成员只能登录到批准的外部应用程序切换按钮。
如果您启用此设置,组织成员只能登录您添加到已批准应用程序列表的外部应用程序。 这适用于当前未在您的组织中注册的外部应用程序。 Esri 应用程序和从 ArcGIS Marketplace 购买的应用程序始终获得批准,并且不会使用此设置阻止访问。
- 在已批准应用程序下,单击添加已批准应用程序。
- 使用以下方法之一搜索应用程序:
- 浏览至列表中的应用程序。
- 按名称搜索 - 按应用程序名称搜索时,您只能找到在您的组织中托管的应用程序。
- 按项目 URL 搜索 - 按项目 URL 搜索时,您只能找到与公众共享的应用程序。 项目 URL 位于应用程序项目页面的概览选项卡(URL 部分)上。
- 按应用程序 ID 搜索 - 如果您拥有或有权访问应用程序项目,您可以在应用程序项目页面的设置选项卡(应用程序设置 > 注册信息)上找到应用程序 ID。 查找应用程序 ID 的另一种方法是在私人浏览器窗口中打开该应用程序,单击该应用程序的登录链接,然后在浏览器地址栏中显示的 URL 中查找 client_id 值。
提示:
成员已登录的应用程序的 client_id 也会显示在组织报表中。
- 选择要批准的应用程序。
- 如果您选择了 Web 应用程序,可选择关闭在应用程序启动器中显示切换按钮以在应用程序启动器中隐藏 Web 应用程序。
要在应用程序启动器中显示 Web 应用程序,请保持此切换按钮处于打开状态,然后按照在应用程序启动器中管理应用程序中的步骤进行操作。
- 单击保存将应用程序添加到已批准应用程序列表。
阻止的 Esri 应用程序
如果您的组织希望限定对用户类型所包含应用程序的访问权限,但无法通过许可控制这些应用程序,您可以配置阻止的应用程序列表。 您还可以阻止访问当前处于测试阶段的应用程序。
阻止的应用程序将被从应用程序启动器中移除,并且无法从内容页面或 web 地图创建其项目。 管理员在管理许可和添加新成员时仍然可以看到阻止的应用程序,但无法选择它们。 在阻止某个应用程序之前创建的应用程序项目在组织中仍然可见,但是成员无法登录到其中。 如果阻止的应用程序已与您的组织共享,则成员将无法登录和使用该应用程序。
打开在 Esri 应用程序测试阶段阻止切换按钮,以防止成员访问测试阶段应用程序。 您可以单击查看应用程序列表以查看当前处于测试阶段的应用程序。
要阻止不在测试阶段的应用程序,请单击管理阻止的 Esri 应用程序,选择要阻止的应用程序,然后单击保存。 列表包括当前处于测试阶段的应用程序,在此列表中选择它们会阻止对它们的访问,即使它们已结束测试阶段。
管理员可以通过在管理阻止的 Esri 应用程序窗口中取消选择它们,或单击列表中该应用程序旁边的移除按钮 ,将其从组织的阻止的应用程序列表中移除。