安全的管理

发送反馈


SuperMap GIS 服务器提供了安全控制功能用以保障管理安全和服务安全。服务管理器是管理整个 GIS 系统的门户,关系到服务器的正常运转,只有管理员可以访问服务管理器。对于只有指定用户可以访问的受保护 GIS 服务,则只有授权的用户才能访问其服务资源。

安全配置

“安全配置”页面的所有配置信息将记录在系统配置文件 iserver-system.xml 中,因此除了界面操作,管理员还可以直接修改系统配置文件。

Token配置

请参考:配置 Token 共享密钥

安全信息存储

SuperMap GIS 服务器默认将用户信息存储在 SQLite 数据库中,同时支持将用户信息存储在 MySQL/Oracle/PostgreSQL 数据库中,以及其他自定义存储位置。

详细配置说明 ,请参考:安全信息存储

会话信息管理

SuperMap GIS 服务器支持配置集中式会话。集中式会话是指:将会话信息保存至第三方数据库,当需要再次建立相同的会话时,可直接从数据库中获取。

对于GIS服务器来说,开启集中式会话则意味着:用户使用同一浏览器,只需登录一次即可直接访问多个不同地址的 GIS 服务器,无需重复登录。相对来说,不开启集中式会话,即使用单一会话模式则意味着,用户每访问一台 GIS 服务器都需要登录一次,即使是同一用户也需登录,增加重复工作。

SuperMap GIS 服务器支持通过 Redis 数据库存储集中式会话信息,详细配置说明请参考:会话信息管理

密码安全设置

SuperMap GIS 服务器支持设置一段周期内允许的密码连续错误次数,以防暴力破解。同时,支持设置修改的新密码不能与前面几次的密码中的任何一个重复,支持管理员自定义设置不可重复次数。

详细配置说明请参考:密码安全设置

基于角色的服务访问控制

SuperMap 服务管理器中提供安全模块,通过基于用户身份识别的认证和授权,实现对服务的访问控制。无论是 SuperMap 服务的管理者、服务发布者还是服务的访问使用者都可以通过安全模块进行管理,且支持将单个服务实例授权给指定的角色并限制其操作权限。当安全模块启用后,服务就受到了保护,只有授权的角色所对应的用户才能访问该服务的资源。

基于角色的访问控制包括以下几个方面的管理:

服务安全开启后,用户访问服务实例时系统会跳转到登录界面。如果该用户尚未获得服务授权则无法通过授权验证,即使登录后也不能访问服务资源。此时就需要让用户关联某个已经授权的角色,或者为已经关联的角色进行角色授权

GIS系统安全

CAS 单点登录

SuperMap GIS 服务器支持基于 CAS 的单点登录,实现只需登录一次,就可以直接访问系统中的多个 GIS 产品、多台服务器节点。

Keycloak 认证授权

SuperMap GIS 服务器支持使用 Keycloak 进行认证授权,实现 SuperMap iServer/iPortal/iEdge 统一的账户管理以及它们之间的单点登录。

LDAP 账户登录

SuperMap GIS 服务器支持以 LDAP 认证方式登录,实现了直接使用 LDAP 服务器中的用户就可以登录访问 iServer 。

OAuth2账户登录

SuperMap GIS 服务器支持使用 QQ 以及新浪微博等第三方登录方式登录,第三方登录方式的实现可以降低用户记忆用户名/密码难度,带来更好的用户体验。

除 QQ 和新浪微博外,iServer 支持通过扩展的方式使用其它第三方登录方式登录。具体使用方式请参考:遵循 OAuth2 协议的第三方登录方式扩展

扩展支持第三方认证

SuperMap GIS 服务器支持对接第三方认证服务器,通过扩展开发和配置即可,具体使用方式请参考:扩展 iServer 支持第三方认证

三维缓存数据安全(已过时,不推荐使用该配置)

客户端浏览三维服务时默认会缓存三维数据到客户端本地,为保证三维服务及缓存数据的安全,iServer 提供了针对三维客户端浏览后缓存数据的加密机制。

通过这个加密机制,客户端下载的三维缓存只能被 iClient 直接使用,使用其他方式加载数据时均需提供密码。具体使用方式请参考:三维客户端缓存加密