تُقرر أحد العوامل الأساسية لتخطيط نشر ArcGIS Enterprise كيفية إدارة الحسابات التي ستصل إلى البوابة الإلكترونية وكيفية منح الامتيازات للحسابات. يُعد تحديد كيفية إدارة الحسابات بمثابة اختيار مخزن للهوية.
ملاحظة:
يتطلب كل عضو في ArcGIS Enterprise و ArcGIS Online رخصة خاصة به. على الرغم من ذلك، يدعم كل من المنتجين تسجيل الدخول الخاص بالمؤسسة باستخدام SAML و OpenID Connect، بحيث يمكنك تبسيط عملية المصادقة بين الأنظمة. هذا يعني أنه يمكنك استخدام نفس اسم المستخدم وكلمة المرور لكلتا المؤسستين - ولكن لا يمكنك تسجيل الدخول إلى ArcGIS Enterprise وتوقع رؤية نفس المحتوى الذي ستراه عند تسجيل الدخول إلى حسابك في ArcGIS Online. إنهما مؤسستين منفصلتين، لكل منهما مخزن هوية خاص به ومجموعة من المحتوى المرتبط به.
التعرف على مخازن الهوية
يُعرّف مخزن هوية المؤسسة أماكن تخزين اعتمادات حسابات البوابة الإلكترونية وكيفية حدوث المصادقة وكيفية إدارة عضوية المجموعة. مؤسسة ArcGIS Enterprise تدعم نوعين من مخازن الهوية: مخازن الهوية المُدمجة والخاصة بالمؤسسة.
مخزن الهوية المُدمج
يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية للسماح للأعضاء بإنشاء حسابات ومجموعات في بوابتك الإلكترونية. يمكنك استخدام رابط إنشاء حساب عند تمكينه في صفحة تسجيل الدخول لموقع البوابة الإلكتروني لإضافة حساب مدمج للبوابة وبدء مشاركة المحتوى مع المؤسسة أو الوصول إلى الموارد التي يقوم الأعضاء الآخرين بإنشائها. عندما تقوم بإنشاء حسابات ومجموعات في البوابة الإلكترونية بهذه الطريقة، فإنك تستفيد من مخزن الهوية المضمن، والذي يقوم بإجراء المصادقة ويخزن أسماء مستخدمي حساب البوابة الإلكترونية وكلمات السر والأدوار وعضوية المجموعة.
يتعين عليك استخدام مخزن الهوية المضمَن لإنشاء حساب المسؤول الأولي لمؤسستك، إلا أنه يمكنك التحويل لاحقًا إلى مخزن هوية خاص بالمؤسسة. يُعد مخزن الهوية المضمَن مفيدًا في تهيئة البوابة الإلكترونية والتشغيل وكذلك التطوير والاختبار. ومع ذلك، تستخدم بيئات الإنتاج عادة مخزن الهوية الخاص بالمؤسسة.
ملاحظة:
إذا كنت بحاجة إلى العودة من مخزن هوية خاص بالمؤسسة إلى مخزن هوية مضمن، يمكنك القيام بذلك عن طريق حذف أي معلومات في تكوين مخزن المستخدم ومربعات تكوين مخزن المجموعة النصية في صفحة تحديث متجر الهوية داخل دليل مسؤول البوابة الإلكترونية. للحصول على مزيد من المعلومات، راجع وثائق ArcGIS REST API.
مخزن الهوية الخاص بالمؤسسة
صُمّمت ArcGIS Enterprise بحيث يمكنك استخدام الحسابات والمجموعات الخاصة بالمؤسسة للتحكم في الوصول إلى مؤسسة ArcGIS. على سبيل المثال، يمكنك التحكم في الوصول إلى البوابة الإلكترونية عن طريق استخدام بيانات الاعتماد من خادم البروتوكول الخفيف لتغيير بيانات الدليل (LDAP)، وخادم الدليل النشط، وتعريف الموفرين الذين يدعمون تسجيل الدخول الفردي على مستعرض الويب بلغة تمييز التأكيدات الأمنية 2.0 (SAML). يتم وصف هذه العملية في الوثائق على أنها إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة.
تعد ميزة هذا النهج هو أنه لا يتعين عليك إنشاء حسابات إضافية داخل البوابة الإلكترونية. يستخدم الأعضاء تسجيل الدخول الذي يتم إعداده بالفعل في مخزن الهوية الخاص بالمؤسسة. تعد إدارة بيانات اعتماد الحساب، بما في ذلك سياسات تعقيد كلمة المرور وانتهاء صلاحيتها، خارجية تمامًا بالنسبة للبوابة الإلكترونية. يتيح هذا تجربة تسجيل دخول واحد بحيث لا يحتاج المستخدمون إلى إعادة إدخال بيانات اعتمادهم.
وبطريقة مماثلة، يمكنك أيضًا إنشاء مجموعات في البوابة الإلكترونية التي تستخدم مجموعات دليل Active Directory أو LDAP أو SAML الحالية في مخزن الهوية. يمكن أيضًا إضافة الحسابات الخاصة بالمؤسسة بشكل مجمّع من مجموعات دليل Active Directory أو LDAP أو SAML في مؤسستك. عندما يقوم الأعضاء بتسجيل الدخول إلى البوابة الإلكترونية، يتم التحكم في إمكانية الوصول إلى المحتوى والعناصر والبيانات بواسطة قواعد العضوية المحددة في مجموعة دليل Active Directory أو LDAP أو SAML. تُعد عضوية المجموعة مهمة خارجية بالكامل للبوابة.
من الممارسات الموصى بها، على سبيل المثال، أن يتم تعطيل الوصول المجهول إلى البوابة الإلكترونية، وتوصيل البوابة الإلكترونية بمجموعات Active Directory، أو LDAP، أو SAML المطلوبة في مؤسستك، وإضافة الحسابات المؤسسية استنادًا إلى تلك المجموعات. بهذه الطريقة، فإنك تقيد الوصول إلى البوابة الإلكترونية بناءً على مجموعات دليل Active Directory أو LDAP أو SAML في مؤسستك.
استخدم مخزن هوية خاص بالمؤسسة إذا كانت مؤسستك ترغب في تعيين سياسات لانتهاء صلاحية كلمة المرور ومدى تعقيدها، أو التحكم في الوصول باستخدام مجموعات دليل Active Directory أو LDAP أو SAML الحالية، أو استخدام المصادقة عبر مصادقة Windows المتكاملة (IWA) أو المصادقة بشهادة العميل القائمة على البنية الأساسية للمفتاح العام (PKI). يمكن معالجة المصادقة على مستوى طبقة الويب (باستخدام مصادقة طبقة الويب)، أو على مستوى طبقة البوابة الإلكترونية(باستخدام مصادقة طبقة البوابة الإلكترونية)، أو من خلال موفر هوية خارجي (باستخدام SAML).
باستخدام مخزن هوية الدليل النشط، يدعم ArcGIS Enterprise المصادقة من مجالات متعددة مع مجموعة تفرعات واحدة، ولكن لا يوفر مصادقة عبر مجموعة التفرعات. لدعم المستخدمين الخاصين بالمؤسسة من تفرعات متعددة، تكون هناك حاجة لموفر هوية SAML.
دعم العديد من مخازن الهوية
باستخدام SAML 2.0، يمكن السماح بالوصول إلى البوابة الإلكترونية باستخدام العديد من مخازن الهوية. يمكن للمستخدمين تسجيل الدخول مع الحسابات المضمَنة والحسابات التي يتم إدراتها في العديد من موفري الهوية المتوافق مع SAML التي تم تكوينها لوضع الثقة في أخر. هذه طريقة جيدة لإدارة المستخدمين الذين قد يكونون متواجدين داخل المؤسسة أو خارجها. للحصول على التفاصيل، راجع موضوع تكوين موفر الهوية المتوافق مع SAML باستخدام البوابة الإلكترونية.
التعرف على امتيازات الوصول
بمجرد أن تقرر كيفية إدارة الحسابات في ArcGIS Enterprise، سيتعين عليك تحديد الامتيازات التي تريد أن يحصل عليها المستخدمون الذين يصلون إلى مؤسسة ArcGIS. تُحدد الامتيازات وفقًا لكون وصول المستخدم إلى بوابتك الإلكترونية جزءًا من مؤسسة ArcGIS أم لا.
يمكن للمستخدمين الذين يصلون إلى البوابة الإلكترونية دون إنشاء حساب ArcGIS مؤسسي البحث عن العناصر العامة واستخدامها فقط. على سبيل المثال، إذا تم تضمين خريطة ويب عامة في موقع ويب، يُمكن للمستخدمين الذين يشاهدون الخريطة الوصول إلى عنصر في البوابة الإلكترونية حتى إذا لم يكن لديهم حساب. يرجع أمر تمكين هذا النوع من الوصول إليك. يمكنك دائمًا تعطيل وصول الأشخاص الذين لا ينتمون إلى مؤسسة ArcGIS بالفعل. لمعرفة كيفية القيام بذلك، راجع تعطيل الوصول المجهول.
يُمكن للمستخدمين الوصول إلى البوابة الإلكترونية بامتيازات أعلى إذا كانوا أعضاءً في منظمة ArcGIS. سيتم إدراج أعضاء مؤسسة ArcGIS على صفحة المؤسسة في موقع البوابة الإلكترونية على الويب يتم تنظيم أعضاء المؤسسة وفقًا لأنواع المستخدمين، التي تتوافق مع أدوار متنوعة بامتيازات مختلفة. لمعرفة المزيد، راجع أنواع المستخدمين وأدوارهم وامتيازاتهم.
عند إضافة حساب ArcGIS مؤسسي جديد إلى البوابة الإلكترونية، يتم منحه دور المستخدم افتراضيًا. مع ذلك، يُمكن لمسئول البوابة الإلكترونية تغيير الدور في أي وقت.
إدارة حسابات ArcGIS المؤسسية
الحساب على منظمة ArcGIS هو حساب مستخدم تم إضافته إلى لوحة المنظمة في موقع البوابة الإلكترونية. خلال الوثائق وتجربة المستخدم في موقع البوابة الإلكترونية، يُشار إلى هؤلاء المستخدمين عادةً على أنهم أعضاء في المؤسسة.
بصفتك مسئول، يصبح من الضروري التحكم بشكل كامل ليس في الامتيازات الممنوحة لكل عضو في مؤسسة ArcGIS لكن أيضًا التحكم في من المسموح لهم أن يكونوا أعضاءًا فيها.
يتم تعريف العدد الأقصى للحسابات على مؤسسة ArcGIS في البوابة الإلكترونية من خلال ملف ترخيص الذي استخدمته لترخيص البوابة. في أي وقت، يمكنك مقارنة العدد الإجمالي للأعضاء الذين تم تعيين نوع المستخدم الخاص بهم وتراخيص نوع المستخدم المتاحة من علامتي التبويب نظرة عامة أو التراخيص في صفحة المؤسسة بموقع البوابة الإلكترونية. في علامة التبويب نظرة عامة، يمكنك رؤية إجمالي التراخيص التي تم تعيينها والمتاحة في نظرة عامة على الأعضاء. في علامة التبويب التراخيص، يمكنك عرض التراخيص المعينة والمتاحة لكل نوع مستخدم في علامة التبويب أنواع المستخدمين.
إدارة الحسابات عند استخدام المخزن المُدمج
عند استخدام المخزن المُدمج، يمكنك تكوين موقع البوابة الإلكترونية لعرض رابط يمكن لأي مستخدم استخدامه للانضمام إلى مؤسسة ArcGIS. مما يجعل من السهل للأشخاص الانضمام إلى المنظمة، ولكن يتعذر عليك تقييد الأشخاص المنضمين، ويمكن لأي مستخدم لديه حق الوصول إلى البوابة الإلكترونية إنشاء حساب. إذا كنت ترغب في المزيد من التحكم، يمكنك تعطيل تجربة الخدمة الذاتية هذه وتزويد بوابتك الإلكترونية بعدد محدد مسبقًا من الحسابات المجمعة. لمعرفة المزيد عن إنشاء حسابات ArcGIS مؤسسية مُجمعة، راجع موضوع إضافة أعضاء إلى بوابتك الإلكترونية. يُمكن أيضًا إزالة الأعضاء من موقع البوابة الإلكترونية على الويب أو تغيير الامتيازات في أي وقت.
إدارة الحسابات عند استخدام مخزن هوية خاص بالمؤسسة
لن تسمح بوابة ArcGIS Enterprise الإلكترونية بحذف الحسابات أو تحريرها أو إنشائها في مخزن الهوية، ولكن يمكنك تسجيل الحسابات الحالية الخاصة بالمؤسسة في المؤسسة. لهذا السبب، لن تتوفر صفحة التسجيل في موقع البوابة الإلكترونية عند تكوين البوابة الإلكترونية باستخدام مخزن هوية خاص بالمؤسسة.
باعتبارك مسئولاً، ستحدد عادة تسجيلات الدخول الخاصة بالمؤسسة المراد إضافتها إلى المؤسسة وإضافتها مُجمعة. لمعرفة المزيد عن إنشاء حسابات ArcGIS المؤسسية المُجمعة، راجع موضوع إضافة أعضاء إلى بوابتك الإلكترونية. يُمكن أيضًا إزالة الأعضاء من موقع البوابة الإلكترونية على الويب أو تغيير الامتيازات في أي وقت.
عوضًا عن ذلك، يُمكن إضافة أي حسابات خاصة بالمؤسسة تتصل بالبوابة الإلكترونية أو أي من عناصرها تلقائيًا. لمعرفة المزيد، راجع التسجيل التلقائي للحسابات الخاصة بالمؤسسة.
من الضروري معرفة أنه إذا تم تكوين البوابة الإلكترونية بمخزن هوية خاص بالمؤسسة، سيتم تعطيل الوصول المجهول إلى مؤسسة ArcGIS، وهو ما يعني أنه يتعين على أي مستخدم يصل إلى البوابة الإلكترونية المصادقة مقابل مخزن الهوية أولاً. بمجرد المصادقة، سيتم تحديد امتيازات المستخدم عن طريق ما إذا كان له حساب مؤسسي على ArcGIS.
ملاحظة:
افتراضيًا، تم تعطيل إنشاء حساب تلقائي في المؤسسة. لتمكين تسجيل حساب تلقائي، راجع موضوع تكوين التسجيل التلقائي لحسابات المؤسسة للحصول على مزيد من المعلومات.
سياسة تأمين الحساب
غالبًا ما تقوم أنظمة البرنامج بتعزيز سياسة تأمين الحساب للحماية ضد المحاولات التلقائية الشاملة لتوقع كلمة مرور المستخدم. إذا قام المستخدم بعدد معين من المحاولات الفاشلة لتسجيل الدخول ضمن فترة زمنية محددة، فإنهم قد يرفضو المحاولات الإضافية لفترة زمنية محددة. يتم توازن هذه السياسات مقابل واقع أن المستخدمين أحيانًا سوف ينسوا أسمائهم وكلمات المرور وبالتالي سوف يفشلون في تسجيل الدخول بنجاح.
تعتمد سياسة تأمين البوابة الإلكترونية المفروضة على نوع مخزن الهوية الذي تستخدمه:
مخزن الهوية المُدمج
يقوم مخزن الهوية المضمَن بتأمين مستخدم بعد إجراء خمس محاولات غير صحيحة. تستمر عملية التأمين 15 دقيقة. تنطبق هذه السياسة على جميع الحسابات في مخزن الهوية، بما في ذلك حساب المسئول الأولي. يتعذر تعديل أو استبدال هذه السياسة.
مخزن الهوية الخاص بالمؤسسة
عند استخدام متجر هوية خاص بمؤسسة، يتم اكتساب سياسة تأمين الحساب من المتجر. قد يكون من الممكن تعديل سياسة تأمين الحساب الخاص بالمخزن. راجع الوثاق الخاصة بنوع المخزن لمعرفة كيفية تغيير سياسة تأمين الحساب.