العامل الأساسي الذي يجب استخدامه لتحديد كيفية القيام بتكوين الأمان في مؤسسة ArcGIS Enterprise هو مصدر المستخدمين وكذلك - اختياريًا - مجموعاتها. يُطلق على هذا المصدر من المستخدمين والمجموعات بمخزن الهوية. تتم إدارة المستخدمين والمجموعات داخل المؤسسة أو خارجها من خلال متجر الهوية.
- التعرف على مخازن الهوية
- تكوين المستخدمين المتضمنين باستخدام مخزن هوية البوابة الإلكترونية
- تكوين عمليات تسجيل الدخول الخاصة بالمؤسسة باستخدام مصادقة طبقة الويب
- تكوين عمليات تسجيل الدخول الخاصة بالمؤسسة باستخدام SAML
التعرف على مخازن الهوية
يُعرّف مخزن هوية المؤسسة أماكن تخزين اعتمادات حسابات البوابة الإلكترونية وكيفية حدوث المصادقة وكيفية إدارة عضوية المجموعة. مؤسسة ArcGIS Enterprise تدعم نوعين من مخازن الهوية: مخازن الهوية المُدمجة والخاصة بالمؤسسة.
مخزن الهوية المُدمج
يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية للسماح للأعضاء بإنشاء حسابات ومجموعات في بوابتك بسهولة. يمكنك استخدام رابط إنشاء حساب عند تمكينه في صفحة تسجيل الدخول لموقع البوابة الإلكتروني لإضافة حساب مدمج للبوابة وبدء مشاركة المحتوى مع المؤسسة أو الوصول إلى الموارد التي يقوم الأعضاء الآخرين بإنشائها. عندما تقوم بإنشاء حسابات ومجموعات في البوابة الإلكترونية بهذه الطريقة، فإنك تستفيد من مخزن الهوية المضمن، والذي يقوم بإجراء المصادقة ويخزن أسماء مستخدمي حساب البوابة الإلكترونية وكلمات السر والأدوار وعضوية المجموعة.
يتعين عليك استخدام مخزن الهوية المضمَن لإنشاء حساب المسؤول الأولي لمؤسستك، إلا أنه يمكنك التحويل لاحقًا إلى مخزن هوية خاص بالمؤسسة. يُعد مخزن الهوية المضمَن مفيدًا في تهيئة البوابة الإلكترونية والتشغيل وكذلك التطوير والاختبار. ومع ذلك، تستفيد بيئات الإنتاج عادة من مخزن الهوية الخاص بالمؤسسة.
ملاحظة:
إذا كنت بحاجة إلى العودة من مخزن هوية خاص بالمؤسسة إلى مخزن هوية مضمن، يمكنك القيام بذلك عن طريق حذف أي معلومات في تكوين مخزن المستخدم ومربعات تكوين مخزن المجموعة النصية في صفحة تحديث متجر الهوية داخل دليل مسؤول البوابة الإلكترونية. لمزيد من المعلومات، راجع وثائق ArcGIS REST API.
مخزن الهوية الخاص بالمؤسسة
صُمّمت ArcGIS Enterprise بحيث يمكنك استخدام الحسابات والمجموعات الخاصة بالمؤسسة للتحكم في الوصول إلى مؤسسة ArcGIS. على سبيل المثال، يمكنك التحكم في الوصول إلى البوابة الإلكترونية عن طريق استخدام بيانات الاعتماد من خادم البروتوكول الخفيف لتغيير بيانات الدليل (LDAP)، وخادم الدليل النشط، وتعريف الموفرين الذين يدعمون تسجيل الدخول الفردي على مستعرض الويب بلغة تمييز التأكيدات الأمنية 2.0 (SAML). يتم وصف هذه العملية في الوثائق على أنها إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة.
تعد ميزة هذا النهج هو أنه لا يتعين عليك إنشاء حسابات إضافية داخل البوابة الإلكترونية. يستخدم الأعضاء تسجيل الدخول الذي يتم إعداده بالفعل في مخزن الهوية الخاص بالمؤسسة. تعد إدارة بيانات اعتماد الحساب، بما في ذلك سياسات تعقيد كلمة المرور وانتهاء صلاحيتها، خارجية تمامًا بالنسبة للبوابة الإلكترونية. يتيح هذا تجربة تسجيل دخول واحد بحيث لا يحتاج المستخدمون إلى إعادة إدخال بيانات اعتمادهم.
وبطريقة مماثلة، يمكنك أيضًا إنشاء مجموعات في البوابة الإلكترونية تعمل على زيادة مجموعات دليل Active Directory أو LDAP أو SAML الحالية في مخزن الهوية الخاص بك. يمكن أيضًا إضافة الحسابات الخاصة بالمؤسسة بشكل مجمّع من مجموعات دليل Active Directory أو LDAP أو SAML في مؤسستك. عندما يقوم الأعضاء بتسجيل الدخول إلى البوابة الإلكترونية، يتم التحكم في إمكانية الوصول إلى المحتوى والعناصر والبيانات بواسطة قواعد العضوية المحددة في مجموعة دليل Active Directory أو LDAP أو SAML. تُعد عضوية المجموعة مهمة خارجية بالكامل للبوابة.
من الممارسات الموصى بها، على سبيل المثال، أن يتم تعطيل الوصول المجهول إلى البوابة الإلكترونية، وتوصيل البوابة الإلكترونية بمجموعات Active Directory، أو LDAP، أو SAML المطلوبة في مؤسستك، وإضافة الحسابات المؤسسية استنادًا إلى تلك المجموعات. بهذه الطريقة، فإنك تقيد الوصول إلى البوابة الإلكترونية بناءً على مجموعات دليل Active Directory أو LDAP أو SAML في مؤسستك.
استخدم مخزن هوية خاص بالمؤسسة إذا كانت مؤسستك ترغب في تعيين سياسات لانتهاء صلاحية كلمة المرور ومدى تعقيدها، أو التحكم في الوصول باستخدام مجموعات دليل Active Directory أو LDAP أو SAML الحالية، أو زيادة المصادقة عبر مصادقة Windows المتكاملة (IWA) أو البنية الأساسية للمفتاح العام (PKI). يمكن معالجة المصادقة على مستوى طبقة الويب (باستخدام مصادقة طبقة الويب)، أو على مستوى طبقة البوابة الإلكترونية(باستخدام مصادقة طبقة البوابة الإلكترونية)، أو من خلال موفر هوية خارجي (باستخدام SAML).
باستخدام مخزن هوية الدليل النشط، يدعم ArcGIS Enterprise المصادقة من مجالات متعددة مع مجموعة تفرعات واحدة، ولكن لا يوفر مصادقة عبر مجموعة التفرعات. لدعم المستخدمين الخاصين بالمؤسسة من تفرعات متعددة، تكون هناك حاجة لموفر هوية SAML.
دعم العديد من مخازن الهوية
باستخدام SAML 2.0، يمكن السماح بالوصول إلى البوابة الإلكترونية باستخدام العديد من مخازن الهوية. يمكن للمستخدمين تسجيل الدخول مع الحسابات المضمَنة والحسابات التي يتم إدراتها في العديد من موفري الهوية المتوافق مع SAML التي تم تكوينها لوضع الثقة في أخر. ويعتبر ذلك أسلوب جيد لإدارة المستخدمين اللذين قد يتم تهيئتها داخل المؤسسة أو خارجها. للحصول على التفاصيل بالكامل، راجع موضوع تكوين موفر الهوية المتوافق مع SAML باستخدام البوابة الإلكترونية.
تكوين المستخدمين المضمنين والمجموعات المضمنة باستخدام مخزن هوية البوابة الإلكترونية
لا تتطلب أي خطوات لتكوين البوابة الإلكترونية عند استخدام المستخدمين والمجموعات المتضمنين؛ وتكون البوابة الإلكترونية جاهزة للمستخدمين والمجموعات المتضمنين في الحال بعد تثبيت البرنامج. في حالة استخدام المستخدمين الخاصين بالمؤسسة، راجع الأقسام التالية والروابط ذات الصلة للمزيد من المعلومات.
تكوين عمليات تسجيل الدخول الخاصة بالمؤسسة
يمكن تكوين ما يلي من موفري الهوية الخاصين بالمؤسسة باستخدام البوابة الإلكترونية. يمكن معالجة المصادقة في طبقة الويب (باستخدام ArcGIS Web Adaptor) أو في طبقة البوابة الإلكترونية.
مصادقة طبقة الويب
في حالة تشغيل البوابة الإلكترونية على خادم Windows ولديك دليل Windows النشط تم تكوينه، يمكن استخدام مصادقة Windows المتكاملة للاتصال بالبوابة الإلكترونية. ويعمل هذا على تمكين مستخدمي البوابة الإلكترونية من تجربة التسجيل الفردي التلقائي من خلال مصادقة طبقة الويب. لاستخدام مصادقة Windows، يجب نشر Web Adaptor على خادم ويب IIS الخاص بـ Microsoft.
إذا كان لديك دليل LDAP، يمكنك استخدامه مع بوابة ArcGIS Enterprise. راجع استخدام البوابة الإلكترونية مع LDAP ومُصادقة طبقة الويب لمزيد من المعلومات. إذا كنت ترغب في استخدام LDAP، قم بنشر محول الويب على خادم تطبيق الجافا مثل Apache Tomcat أو IBM WebSphere أو Oracle WebLogic.
إذا كان للمؤسسة PKI، يمكنك استخدام الشهادات لمصادقة الاتصال بالبوابة الإلكترونية باستخدام HTTPS. عند مصادقة المستخدمين، سيصبح لديك خيار استخدام Windows Active Directory أو Lightweight Directory Access Protocol (LDAP). لاستخدام مصادقة Windows، يجب نشر Web Adaptor على خادم ويب IIS الخاص بـ Microsoft. لاستخدام LDAP، يجب نشر محول الويب على خادم تطبيق الجافا مثل Apache Tomcat أو IBM WebSphere أو Oracle WebLogic. لا يمكن تمكين وصول مجهول إلى البوابة الإلكترونية عند استخدام PKI.
مصادقة طبقة البوابة الإلكترونية
إذا كنت ترغب في السماح بالوصول إلى البوابة الإلكترونية باستخدام كل من متاجر الهوية الخاصة بالمؤسسة والمضمنة بدون استخدام SAML، يمكنك استخدام مصادقة طبقة البوابة الإلكترونية. يتم تحقيق ذلك بواسطة تكوين البوابة الإلكترونية مع الدليل النشط أو مخزن هوية LDAP، ثم تمكين الوصول المجهول في IIS أو خادم تطبيق Java. عند وصول مستخدم إلى صفحة تسجيل الدخول إلى البوابة الإلكترونية، سيتمكن من تسجيل الدخول إما باستخدام بيانات اعتماد المؤسسة أو بيانات الاعتمادات المضمنة. سيُطلب من المستخدمين الخاصين بالمؤسسة إدخال بيانات اعتماد حسابهم في كل مرة يتم فيها تسجيل الدخول إلى البوابة الإلكترونية؛ ولا يتوفر تسجيل الدخول التلقائي أو تسجيل الدخول الفردي. يسمح هذا النوع من المصادقة أيضًا وصول مستخدم مجهول إلى الخرائط أو موارد البوابة الإلكترونية الأخرى التي تكون مشتركة مع الجميع.
عند استخدام مصادقة طبقة البوابة الإلكترونية، سيسجل الأعضاء الدخول باستخدام الصيغة التالية:
- إذا اُستخدمت البوابة الإلكترونية مع الدليل النشط، فيُمكن أن تكون الصيغة domain\username أو username@domain. بغض النظر عن كيفية تسجيل دخول الأعضاء، سيتم عرض اسم المستخدم دائمًا ليكون username@domain في موقع البوابة الإلكترونية على الويب.
- عند استخدام البوابة الإلكترونية مع LDAP، ستكون الصيغة دائمًا username. سيعرض موقع البوابة الإلكترونية على الويب الحساب في هذا التنسيق.
تكوين عمليات تسجيل الدخول الخاصة بالمؤسسة باستخدام SAML
تدعم بوابة ArcGIS Enterprise الإلكترونية جميع موفري الهوية المتوافقين مع SAML. توضح البرامج التعليمية التالية كيفية تكوين موفري الهوية المحددين والشائعين المتوافقين مع SAML في البوابة. للحصول على مزيد من المعلومات، راجع موضوع تكوين موفر الهوية المتوافق مع SAML باستخدام البوابة الإلكترونية.
سياسة تأمين الحساب
غالبًا ما تقوم أنظمة البرنامج بتعزيز سياسة تأمين الحساب للحماية ضد المحاولات التلقائية الشاملة لتوقع كلمة مرور المستخدم. إذا قام المستخدم بعدد معين من المحاولات الفاشلة لتسجيل الدخول ضمن فترة زمنية محددة، فإنهم قد يرفضو المحاولات الإضافية لفترة زمنية محددة. يتم توازن هذه السياسات مقابل واقع أن المستخدمين أحيانًا سوف ينسوا أسمائهم وكلمات المرور وبالتالي سوف يفشلون في تسجيل الدخول بنجاح.
تعتمد سياسة تأمين البوابة الإلكترونية المفروضة على نوع مخزن الهوية الذي تستخدمه:
مخزن الهوية المُدمج
يقوم مخزن الهوية المضمَن بتأمين مستخدم بعد إجراء خمس محاولات غير صحيحة. تستمر عملية التأمين 15 دقيقة. تنطبق هذه السياسة على جميع الحسابات في مخزن الهوية، بما في ذلك حساب المسئول الأولي. يتعذر تعديل أو استبدال هذه السياسة.
مخزن الهوية الخاص بالمؤسسة
عند استخدام متجر هوية خاص بمؤسسة، يتم اكتساب سياسة تأمين الحساب من المتجر. قد يكون من الممكن تعديل سياسة تأمين الحساب الخاص بالمخزن. راجع الوثاق الخاصة بنوع المخزن لمعرفة كيفية تغيير سياسة تأمين الحساب.
مراقبة محاولات تسجيل الدخول الفاشلة
يُمكن مراقبة محاولات تسجيل الدخول الفاشلة بواسطة عرض سجلات البوابة الإلكترونية في دليل البوابة. تنتج أي محاولات فاشلة في رسالة مستوى التحذير والتي توضح فشل المستخدم في تسجيل الدخول بسبب دمج اسم المستخدم أو كلمة المرور غير الصحيح. إذا تجاوز المستخدم الحد الأدنى لمحاولات تسجيل الدخول، توضح رسالة مستوى الخادم ان الخادم تم تأمينه. يُمكن أن تقوم مراقبة سجلات البوابة الإلكترونية لمحاولات تسجيل الدخول الفاشلة في المساعدة في فهم ما إذا تم انتهاك كلمة المرور المحتملة على النظام.
لمزيد من المعلومات، راجع التعامل مع سجلات البوابة الإلكترونية.