集成安全

GIS 系统不仅仅是一个 GIS 服务器，而是由多台服务器构成的整个分布式系统，因此 GIS 系统的安全应将整个系统作为一个整体来考虑，也就是系统集成安全。

SuperMap GIS 服务器产品系列通过一系列安全措施来实现 GIS 系统的集成安全，包括：

• 安全信息存储设置

SuperMap GIS 服务器默认将用户信息存储在SQLite数据库中，同时支持将用户信息存储在MySQL/Oracle/PostgreSQL数据库中，以及其他自定义存储位置。

• 会话信息管理

SuperMap GIS 服务器支持配置集中式会话。集中式会话是指：将会话信息保存至第三方数据库，当需要再次建立相同的会话时，可直接从数据库中获取。

对于GIS服务器来说，开启集中式会话则意味着：用户使用同一浏览器，只需登录一次即可直接访问多个不同地址的 GIS 服务器，无需重复登录。相对来说，不开启集中式会话，即使用单一会话模式则意味着，用户每访问一台 GIS 服务器都需要登录一次，即使是同一用户也需登录，增加重复工作。

• 密码安全设置

SuperMap GIS 服务器支持设置一段周期内允许的密码连续错误次数，以防暴力破解。同时，支持设置修改的新密码不能与前面几次的密码中的任何一个重复，支持管理员自定义设置不可重复次数。

• CAS 单点登录

GIS 系统中包含多个服务器节点，访问各个服务器时需要分别登录，进行复杂操作时就可能需要频繁登陆。通过单点登录，就可以实现只登录一次，就可以直接访问系统中的多个 GIS 产品、多台服务器节点。

• 安全与集群

安全模块的作用是将 GIS 服务器保护起来，与外界隔离，只允许信任的用户和管理员访问，而分布式集群则是将多台服务器联合起来协同工作提高效率，处理好安全与集群的关系才能实现既保证服务器产品的安全又能充分利用集群的高效率优势。

当子节点向父节点报告以后，意味着其全部服务实例的安全可以有父节点来控制。即使某些服务实例集群子节点有，而父节点没有，这些服务实例的安全也由父节点控制。

• 配置使用 LDAP

LDAP（ Lightweight Directory Access Protocol ） 轻量目录访问协议应用广泛，很多服务器系统中使用了 LDAP 服务器来存储用户账户。SuperMap iPortal、 iServer 和 iEdge 支持使用已有的 LDAP 服务器中的用户账户，而不需要再重复创建用户。这样，GIS 系统就可以与组织单位内的其他应用系统共用一套用户体系，既可以减少建设用户体系的重复投入，又可以避免组织内的用户系统冗余。

• 配置使用 Keycloak 进行认证授权

SuperMap GIS 服务器支持使用 Keycloak 进行认证授权。将 SuperMap iServer、iPortal、iEdge 对接 Keycloak 后可以进行统一的账户管理，实现单点登录。

• 配置使用 OAuth2协议的账户

SuperMap iPortal、 iServer 和 iEdge 支持使用 OAuth 2.0协议下的第三方账户登录，如 QQ、新浪微博的账户。这些第三方账户可以直接登录 GIS 服务器，也可以与 GIS 服务器中已有的账户绑定。

• 扩展使用 OAuth2协议的账户

SuperMap iPortal、 iServer 和 iEdge 通过扩展的方式，支持所有 OAuth 2.0协议下的第三方账户登录，而不仅限于 QQ、新浪微博。

• 扩展使用自定义账户存储

SuperMap iServer 和 iEdge 支持通过扩展的方式使用其他方式存储的用户账户系统，如文件存储、关系数据库存储的用户。如果您在使用 GIS 服务器前，已经有了通过自定义方式存储的用户账户系统，那么就可以扩展到 GIS 系统中使用。

• 兼容第三方安全方案

SuperMap iPortal、 iServer 和 iEdge 支持第三方的安全框架和解决方案，比如 Java 中间件内置的安全方案、常见的 Java 安全框架等。