العامل الأساسي الذي يجب استخدامه لتحديد كيفية القيام بتكوين الأمان في نشر Portal for ArcGIS هو مصدر مستخدمي البوابة الإلكترونية وكذلك - اختياريًا - مجموعاتها. يُطلق على هذا المصدر من المستخدمين والمجموعات بمخزن الهوية. تتم إدارة المستخدمين والمجموعات خارج المؤسسة التي تتم إدارتها من خلال مخزن الهوية.
- التعرف على مخازن الهوية
- تكوين المستخدمين المتضمنين باستخدام مخزن هوية البوابة الإلكترونية
- تكوين عمليات تسجيل الدخول المؤسسي باستخدام مصادقة طبقة الويب
- تكوين عمليات تسجيل الدخول المؤسسي باستخدام SAML
التعرف على مخازن الهوية
يُعرّف مخزن هوية البوابة الإلكترونية أماكن تخزين اعتمادات حسابات البوابة الإلكترونية وكيفية حدوث المصادقة وكيفية إدارة عضوية المجموعة. Portal for ArcGIS تدعم نوعين من مخازن الهوية: المُدمج والمؤسسي.
مخزن الهوية المُدمج
Portal for ArcGIS تم تكوينها مُسبقًا حتى يمكنك إنشاء الحسابات والمجموعات في البوابة الإلكترونية بسهولة. يمكنك استخدام رابط إنشاء حساب في الصفحة الرئيسية لموقع البوابة الإلكترونية لإضافة حساب مدمج للبوابة الإلكترونية وبدء مشاركة المحتوى مع المؤسسة أو الوصول إلى الموارد التي يقوم الأعضاء الآخرين بإنشائها. يُمكن أيضًا النقر على علامة تبويب مجموعات من صفحة البوابة الإلكترونية على الويب الرئيسية وكذلك إنشاء مجموعة لإدارة العناصر. عند إنشاء حسابات ومجموعات في البوابة الإلكترونية بخصوص هذا الشأن، فإنك بذلك تستفيد من مخزن الهوية المضنَن الذي يعمل على إجراء المصادقة وتخزين أسماء مستخدمي حساب البوابة الإلكترونية وكلمات المرور والأدوار الخاصة بهم وكذلك عضوية المجموعة.
يتعين عليك استخدام مخزن الهوية المضمَن لإنشاء حساب المسئول الأولي للبوابة الإلكترونية، إلا أنه يمكنك التحويل لاحقًا إلى مخزن هوية مؤسسي. يُعد مخزن الهوية المضمَن مفيدًا في تهيئة البوابة الإلكترونية والتشغيل وكذلك التطوير والاختبار. ومع ذلك، تستفيد بيئات الإنتاج من مخزن الهوية المؤسسي بنفس الطريقة.
مخزن الهوية المؤسسي
Portal for ArcGIS صُمّم حتى يمكنك استخدام الحسابات المؤسسية والمجموعات للتحكم في الوصول إلى مؤسسة ArcGIS. على سبيل المثال، يمكنك التحكم في الوصول إلى البوابة الإلكترونية عن طريق استخدام بيانات الاعتماد من خادم البروتوكول الخفيف لتغيير بيانات الدليل (LDAP)، وخادم الدليل النشط، وتعريف الموفرين الذين يدعمون تسجيل الدخول الفردي على الويب بلغة تمييز التأكيدات الأمنية (SAML). يتم وصف العملية من خلال مستند إعداد تسجيلات دخول المؤسسة.
تعد ميزة هذا النهج هو أنه لا يتعين عليك إنشاء حسابات إضافية داخل البوابة الإلكترونية. يستخدم الأعضاء تسجيل الدخول الذي يتم إعداده بالفعل في مخزن الهوية المؤسسي. تُعد إدارة بيانات اعتماد الحساب مهمة خارجية بالكامل في Portal for ArcGIS. ويُمكِنك هذا من تجربة تسجيل دخول فردي وبالتالي لن يتيعن على المستخدمين إعادة إنشاء بيانات اعتمادهم.
وبطريقة مماثلة، يمكنك أيضًا إنشاء مجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. يُمكن أيضًا إضافة الحسابات المؤسسية بشكل مُجمع من المجموعات المؤسسية داخل المؤسسة. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قبل أدوار العضوية المُعرفة في مجموعة المؤسسة. تعد إدارة عضوية المجموعة مهمة خارجية بالكامل في Portal for ArcGIS.
مثال، الممارسة الأفضل هي لتعطيل الوصول المجهول إلى البوابة الإلكترونية واتصال البوابة الإلكترونية بالمجموعات المؤسسية المطلوبة في المؤسسة و إضافة الحسابات المؤسسية المستندة إلى هذه المجموعات. في هذا السلوك، سيستند الوصول المجهول إلى البوابة الإلكترونية إلى المجموعات المؤسسية المحددة داخل المؤسسة.
استخدم مخزن الهوية المؤسسي إذا كان لدى المؤسسة رغبة في تعيين سياسات لانتهاء صلاحية وتعقيد كلمة المرور أو التحكم في الوصول باستخدام المجموعات المؤسسية أو زيادة المصادقة على مصادقة Windows المتكاملة (IWA) أو البنية التحتية للمفتاح العام (PKI). يُمكن معالجة المصادقة في طبقة الويب(باستخدام مصادقة طبقة الويب)، في طبقة البوابة الإلكترونية (باستخدام مصادقة طبقة البوابة الإلكترونية)، أو من خلال موفر الهوية الخارجي (باستخدام SAML).
دعم العديد من مخازن الهوية
باستخدام SAML 2.0، يمكن السماح بالوصول إلى البوابة الإلكترونية باستخدام العديد من مخازن الهوية. يمكن للمستخدمين تسجيل الدخول مع الحسابات المضمَنة والحسابات التي يتم إدراتها في العديد من موفري الهوية المتوافق مع SAML التي تم تكوينها لوضع الثقة في أخر. ويعتبر ذلك أسلوب جيد لإدارة المستخدمين اللذين قد يتم تهيئتها داخل المؤسسة أو خارجها. للحصول على التفاصيل بالكامل، راجع موضوع تكوين موفر الهوية المتوافق مع SAML باستخدام البوابة الإلكترونية.
تكوين المستخدمين والمجموعات المتضمنين باستخدام مخزن هوية البوابة الإلكترونية
لا تتطلب أي خطوات لتكوين البوابة الإلكترونية عند استخدام المستخدمين والمجموعات المتضمنين؛ وتكون البوابة الإلكترونية جاهزة للمستخدمين والمجموعات المتضمنين في الحال بعد تثبيت البرنامج. في حالة استخدام المستخدمين المؤسسين، راجع الأقسام التالية والروابط ذات الصلة ااحصول على مزيد من المعلومات.
تكوين عمليات تسجيل الدخول المؤسسي
يمكن تكوين موفري الهوية المؤسسي التاليين مع البوابة الإلكترونية. يمكن معالجة المصادقة في طبقة الويب (باستخدام ArcGIS Web Adaptor) أو في طبقة البوابة الإلكترونية.
مصادقة طبقة الويب
في حالة تشغيل البوابة الإلكترونية على خادم Windows ولديك دليل Windows النشط تم تكوينه، يمكن استخدام مصادقة Windows المتكاملة للاتصال بالبوابة الإلكترونية. ويعمل هذا على تمكين مستخدمي البوابة الإلكترونية من تجربة التسجيل الفردي التلقائي من خلال مصادقة طبقة الويب. لاستخدام مصادقة Windows، يجب نشر محول الويب على خادم الويب Microsoft 's IIS.
إذا كان لديك دليل LDAP، يمكنك استخدامه في Portal for ArcGIS. راجع استخدام البوابة الإلكترونية مع LDAP ومُصادقة طبقة الويب لمزيد من المعلومات. إذا كنت ترغب في استخدام LDAP، قم بنشر محول الويب على خادم تطبيق الجافا مثل Apache Tomcat أو IBM WebSphere أو Oracle WebLogic.
إذا كان للمؤسسة PKI، يمكنك استخدام الشهادات لمصادقة الاتصال بالبوابة الإلكترونية باستخدام HTTPS. عند مصادقة المستخدمين، سيصبح لديك خيار استخدام Windows Active Directory أو Lightweight Directory Access Protocol (LDAP). لاستخدام مصادقة Windows، يجب نشر محول الويب على خادم الويب Microsoft 's IIS. لاستخدام LDAP، يجب نشر محول الويب على خادم تطبيق الجافا مثل Apache Tomcat أو IBM WebSphere أو Oracle WebLogic. لا يمكن تمكين وصول مجهول إلى البوابة الإلكترونية عند استخدام PKI.
مصادقة طبقة البوابة الإلكترونية
إذا كنت ترغب في السماح بالوصول إلى البوابة الإلكترونية باستخدام كل من متاجر المؤسسة والداخلية بدون استخدام SAML، سيصبح بالإمكان استخدام مصادقة طبقة البوابة الإلكترونية. تم التحقق من ذلك بواسطة تكوين البوابة الإلكترونية مع الدليل النشط أو مخزن الهوية LDAP ، ثم قم بتمكين الوصول المجهول في IIS أو خادم تطبيق Java. عند وصول مستخدم إلى صفحة تسجيل الدخول على البوابة الإلكترونية، سيصبح بالإمكان تسجيل الدخول باستخدام إما اعتمادات المؤسسة أو الاعتمادات الداخلية. سوف يتطلب من مستخدمي المؤسسة بإدخال بيانات اعتماد حسابهم كل مرة يتم فيها تسجيل الدخول على البوابة الإلكترونية؛ ولن يتوفر التسجيل التلقائي أو التسجيل الفردي. يسمح هذا النوع من المصادقة أيضًا وصول مستخدم مجهول إلى الخرائط أو موارد البوابة الإلكترونية الأخرى التي تكون مشتركة مع الجميع.
عند استخدام مصادقة طبقة البوابة الإلكترونية، سيصبح بإمكان الأعضاء تسجيل الدخول باستخدام بناء الجملة التالي:
- عند استخدام البوابة الإلكترونية مع الدليل النشط، يُمكن أن يكون بناء الجملة domain\username or username@domain. بغض النظر عن كيفية تسجيل دخول الأعضاء، سيتم عرض اسم المستخدم دائمًا ليكون username@domain في موقع البوابة الإلكترونية على الويب.
- عند استخدام البوابة الإلكترونية مع LDAP، سيكون بناء الجملة دائمًا username. سيعرض موقع البوابة الإلكترونية على الويب الحساب في هذا التنسيق.
تكوين عمليات تسجيل الدخول المؤسسي باستخدام SAML
لقد تم اعتماد موفري الهوية المتوافق مع SAML التاليين للاستخدام مع Portal for ArcGIS. للحصول على مزيد من المعلومات، راجع موضوع تكوين موفر الهوية المتوافق مع SAML باستخدام البوابة الإلكترونية.
سياسة تأمين الحساب
غالبًا ما تقوم أنظمة البرنامج بتعزيز سياسة تأمين الحساب للحماية ضد المحاولات التلقائية الشاملة لتوقع كلمة مرور المستخدم. إذا قام المستخدم بعدد معين من المحاولات الفاشلة لتسجيل الدخول ضمن فترة زمنية محددة، فإنهم قد يرفضو المحاولات الإضافية لفترة زمنية محددة. يتم توازن هذه السياسات مقابل واقع أن المستخدمين أحيانًا سوف ينسوا أسمائهم وكلمات المرور وبالتالي سوف يفشلون في تسجيل الدخول بنجاح.
تعتمد سياسة التأمين التي يتم تعزيزها بواسطة Portal for ArcGIS على نوع مخزن الهوية الذي تقوم باستخدامه:
مخزن الهوية المُدمج
يقوم مخزن الهوية المضمَن بتأمين مستخدم بعد إجراء عشر محاولات غير صحيحة. تستمر عملية التأمين عشر دقائق. تنطبق هذه السياسة على جميع الحسابات في مخزن الهوية، بما في ذلك حساب المسئول الأولي. يتعذر تعديل أو استبدال هذه السياسة.
مخزن الهوية المؤسسي
عند استخدام مخزنة الهوية المؤسسي، يتم إرث سياسة تأمين الحساب من المخزن. قد يكون من الممكن تعديل سياسة تأمين الحساب الخاص بالمخزن. راجع الوثاق الخاصة بنوع المخزن لمعرفة كيفية تغيير سياسة تأمين الحساب.
مراقبة محاولات تسجيل الدخول الفاشلة
يُمكن مراقبة محاولات تسجيل الدخول الفاشلة بواسطة عرض سجلات البوابة الإلكترونية في دليل Portal for ArcGIS. تنتج أي محاولات فاشلة في رسالة مستوى التحذير والتي توضح فشل المستخدم في تسجيل الدخول بسبب دمج اسم المستخدم أو كلمة المرور غير الصحيح. إذا تجاوز المستخدم الحد الأدنى لمحاولات تسجيل الدخول، توضح رسالة مستوى الخادم ان الخادم تم تأمينه. يُمكن أن تقوم مراقبة سجلات البوابة الإلكترونية لمحاولات تسجيل الدخول الفاشلة في المساعدة في فهم ما إذا تم انتهاك كلمة المرور المحتملة على النظام.
لمزيد من المعلومات، راجع التعامل مع سجلات البوابة الإلكترونية.