ArcGIS Server 9.3 安全管理機制1–概述
| 內容來源於esri.com的training seminar,Implementing Security for ArcGIS Server dot net Solutions,由diligentpig翻譯整理。 |
連接ArcGIS Server的兩種方式:
Local:對於此種連接方式,客戶端(如Desktop)直接通過Local Connection連接到GIS Server(SOM&SOC),AGS通過Windows用戶組保證安全性,即agsusers和agsadmin組。添加到agsusers用戶組中的成員可以使用GIS Server,添加到agsadmin用戶組中的成員可以管理agsserver。9.2和9.3中都採用此種方式來保證GIS Server的安全性。
Internet:對於此種連接方式,客戶端(Desktop,Explorer或Web瀏覽器)通過www方式鏈接到Web Server(Web Services&Web Applications)。AGS通過ArcGIS Server Manager來管理Web Server的安全性。
如圖:
控制資源的訪問權限。對於Web Applications,不同的用戶對於app的訪問權限不同。比如,分析人員可以訪問用於地圖分析的web app,而製圖人員可以訪問用於地圖編輯的web app;對於Web Services,不同的用戶對於各種services的訪問權限也不同。比如,所有用戶都可以使用一臺GIS Server上的用於地圖瀏覽的service,而只有分析人員能夠使用具有地圖分析功能的service,製圖人員則可以訪問用於地圖編輯的service。如圖:
AGS通過三個步驟來實現自己的安全機制。
Users&Roles 用戶&角色。將不同需求的用戶賦予不同的角色(將用戶分組),同一個Role的用戶擁有相同的權限。
Authentication 識別。通過用戶名和密碼來識別用戶身份。
Authorization 授權。根據識別出來的用戶身份賦予其相應的權限。
存儲Users&Roles的途徑:Windows,SQL Server,自定義途徑。
Windows:如採取此種方式,則相同roles的用戶分到同一用戶組中。Authenticate(用戶身份識別)由IIS來完成。一般對局域網用戶採取此種方式,因爲本機上可能已經存儲了網內的賬戶信息。通過計算機管理,本地用戶和組來操作。如圖:首先禁用匿名賬戶訪問,然後根據需求使用下面不同的選項。
SQL Server:將用戶和角色信息存儲在SQL Server數據庫中(一般是SQL Server 2005 Express,因爲VS開發環境附帶此數據庫;Server的安裝盤上也有)。通過ArcGIS Server Manager來操作。Authentication的工作由ASP.NET完成。具體操作:進入manager,左側security,configure locations use SQL Server。如圖:
之後具體操作可根據屏幕提示完成。
自定義途徑:如Oracle Provider或XML Provider。Authentication的工作由ASP.NET完成。如果自定義的方式提供了相應api,則可以在ags manager中進行操作,否則使用與之配套的工具進行操作。獲得了custom provider後,通過修改ags的安全配置文件,在manager中增加操作選項。具體請參見幫助。略。
至此,完成了對用戶身份鑑別的準備工作。
爲方便後面描述,我們在manager中,security,roles中創建browser,analyst,editor三個角色,在security,users中創建一個user1用戶(用戶密碼至少由7個字符組成,並且須包含字母數字意外的字符,如_,#,$,%等),將此用戶添加到browser角色中。如圖:
