ArcGIS Server安全机制(dotNET版).docxVIP

第一篇：ArcGIS Server 9.3 安全管理机制（dotNET版）来源：/ESRI/viewthread.php?tid=36137/ESRI/viewthread.php?tid=36137一、概览1 连接ArcGIS Server的两种方式（1）Local：对于此种连接方式，客户端（如Desktop）直接通过Local Connection连接到GIS Server（SOMSOC），AGS通过Windows用户组保证安全性，即agsusers和agsadmin组。添加到agsusers 用户组中的成员可以使用GIS Server，添加到agsadmin用户组中的成员可以管理agsserver。9.2和9.3中都采用此种方式来保证GIS Server的安全性。（2）Internet：对于此种连接方式，客户端（Desktop,Explorer或Web浏览器）通过www方式链接到Web Server（Web ServicesWeb Applications）。AGS通过ArcGIS Server Manager来管理Web Server的安全性。如图：2 控制资源的访问权限对于Web Applications，不同的用户对于app的访问权限不同。比如，分析人员可以访问用于地图分析的web app，而制图人员可以访问用于地图编辑的web app；对于Web Services，不同的用户对于各种services的访问权限也不同。比如，所有用户都可以使用一台GIS Server上的用于地图浏览的service，而只有分析人员能够使用具有地图分析功能的service，制图人员则可以访问用于地图编辑的 service。如图：3 AGS通过三个步骤来实现自己的安全机制。UsersRoles用户角色。将不同需求的用户赋予不同的角色（将用户分组），同一个Role的用户拥有相同的权限。Authentication识别。通过用户名和密码来识别用户身份。Authorization授权。根据识别出来的用户身份赋予其相应的权限。4 存储UsersRoles的途径：Windows，SQL Server，自定义途径。（1）Windows：如采取此种方式，则相同roles的用户分到同一用户组中。Authenticate（用户身份识别）由IIS来完成。一般对局域网用户 采取此种方式，因为本机上可能已经存储了网内的账户信息。通过计算机管理，本地用户和组来操作。如图：首先禁用匿名账户访问，然后根据需求使用下面不同的选项。（2）SQL Server：将用户和角色信息存储在SQL Server数据库中（一般是SQL Server 2005 Express，因为VS开发环境附带此数据库；Server的安装盘上也有）。通过ArcGIS Server Manager来操作。Authentication的工作由ASP.NET完成。具体操作：进入manager，左侧 security,configure locations use SQL Server。如图：之后具体操作可根据屏幕提示完成。（3）自定义途径：如Oracle Provider或XML Provider。Authentication的工作由ASP.NET完成。如果自定义的方式提供了相应api，则可以在ags manager中进行操作，否则使用与之配套的工具进行操作。获得了custom provider后，通过修改ags的安全配置文件，在manager中增加操作选项。具体请参见帮助。略。至此，完成了对用户身份鉴别的准备工作。为方便后面描述，我们在manager中，security，roles中创建browser，analyst，editor三个角色，在 security，users中创建一个user1用户（用户密码至少由7个字符组成，并且须包含字母数字意外的字符，如_,#,$,%等），将此用户添加到browser角色中。如图：二、Web Applicaitons的安全管理1 定义用户与角色。（见上一节内容）2 设置web app权限。权限存储在app本身中，通过web.config来赋予不同角色不同的访问权限。如图：此图中，浏览器发出请求，根据user存储位置的不同，来判断是由IIS还是ASP.NET来完成识别用户身份和角色的工作；然后由ASP.NET根据用户身份赋予其一定权限来访问web app。需要注意的是，根据前面的设置，如果是由IIS完成Authentication，则需要禁用IIS中的匿名用户访问；如果是由ASP.NET完成Authentication，则可以继续启用IIS的匿名用户访问。接下来的操作：manager中，application,点击需要进行安全管理的应用程序后面的小锁，在弹出的对话框中