Skip To Content

Gestire l'accesso al portale

Uno degli aspetti chiave correlati alla pianificazione di una distribuzione di ArcGIS Enterprise consiste nel decidere come gestire gli account che accederanno al portale e nel definire i privilegi concessi a tali account. Per stabilire la modalità di gestione degli account, è necessario scegliere un archivio identità.

Informazioni sugli archivi identità

L'archivio identità del portale consente di definire la posizione in cui vengono archiviate le credenziali degli account del portale, come viene eseguita l'autenticazione e come viene gestita l'appartenenza ai gruppi. Il portale ArcGIS Enterprise supporta due tipi di archivi identità: predefiniti e aziendali.

Archivio identità incorporato

Il portale ArcGIS Enterprise può essere configurato per consentire ai membri di creare facilmente account e gruppi nel portale. Se abilitato, è possibile utilizzare il collegamento Crea account nella pagina Accedi del Portale Web per aggiungere un account incorporato al portale e iniziare a contribuire ai contenuti dell'organizzazione o accedere alle risorse create da altri membri. È inoltre possibile fare clic sulla scheda Gruppi nella home page del Portale Web e su Crea gruppo per gestire gli elementi. Quando si creano account e gruppi nel portale in questo modo, è possibile sfruttare l'archivio identità predefinito, che esegue l'autenticazione ed in cui sono archiviati i nomi utente, le password, i ruoli e l'appartenenza ai gruppi.

È necessario utilizzare l'archivio identità predefinito per creare l'account amministratore iniziale per il portale ma, in seguito, è possibile passare all'archivio identità aziendale. L'archivio identità predefinito è utile per rendere operativo il portale, oltre che per lo sviluppo ed il testing. Negli ambienti di produzione, in genere, viene invece utilizzato un archivio identità aziendale.

Archivio identità aziendale

Il portale ArcGIS Enterprise è progettato in modo da poter utilizzare account e gruppi aziendali per controllare l'accesso all'organizzazione ArcGIS. Ad esempio, è possibile controllare l'accesso al portale mediante le credenziali provenienti dal server LDAP (Lightweight Directory Access Protocol) e dai provider di identità che supportano Single Sign-On Web SAML (Security Assertion Markup Language) 2.0. Nella documentazione tale processo è descritto come configurazione di account di accesso aziendali.

Questo approccio è vantaggioso perché non richiede la creazione di account aggiuntivi nel portale. I membri utilizzano l'account di accesso già configurato nell'archivio identità aziendale. La gestione delle credenziali dell'account è completamente esterna al portale. Questo consente di usufruire di un'esperienza Single Sign-On in modo che agli utenti non venga richiesto di inserire nuovamente le credenziali.

Analogamente, nel portale è inoltre possibile creare gruppi che sfruttano i gruppi aziendali esistenti nell'archivio identità. Inoltre, è possibile aggiungere gli account aziendali in blocco dai gruppi aziendali nell'organizzazione. Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. La gestione dell'appartenenza ai gruppi è completamente esterna al portale.

Ad esempio, si consiglia di disabilitare l'accesso anonimo al portale, collegare il portale ai gruppi aziendali desiderati nell'organizzazione ed aggiungere gli account aziendali basati su tali gruppi. In questo modo, è possibile limitare l'accesso al portale ai gruppi aziendali specifici dell'organizzazione.

Utilizzare un archivio identità aziendale se l'organizzazione desidera impostare criteri per la scadenza e la complessità delle password, controllare l'accesso mediante gruppi aziendali esistenti o sfruttare l'LDAP o l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). È possibile gestire l'autenticazione a livello Web (mediante l'autenticazione a livello Web), a livello del portale (utilizzando l'autenticazione a livello del portale) o tramite un provider di identità esterno (tramite SAML).

Supportare più archivi identità

Con SAML 2.0 si può consentire l'accesso al portale tramite più archivi identità. Gli utenti possono accedere con account predefiniti e con account gestiti in più provider di identità conformi a SAML configurati per la conferma dell'attendibilità reciproca. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa. Per i dettagli completi, consultare Configurare un provider di identità conforme a SAML con il portale.

Informazioni sui privilegi di accesso

Una volta stabilito come verranno gestiti gli account in ArcGIS Enterprise, è necessario decidere i privilegi da assegnare agli utenti che accedono all'organizzazione ArcGIS. Per definire i privilegi, è necessario considerare se l'utente che accede al portale è o meno membro dell'organizzazione ArcGIS.

Gli utenti che accedono al portale senza disporre di un account aziendale ArcGIS possono solo effettuare ricerche ed utilizzare elementi pubblici. Ad esempio, se una mappa Web pubblica è incorporata in un sito Web, gli utenti che osservano la mappa potranno accedere ad un elemento del portale anche se non dispongono di un account. È responsabilità dell'amministratore scegliere se abilitare questo tipo di accesso. È sempre possibile disabilitare l'accesso per le persone che non appartengono già all'organizzazione ArcGIS. Per ulteriori informazioni a questo proposito, consultare Disabilitare l'accesso anonimo.

Gli utenti possono accedere al portale con privilegi elevati se sono membri dell'organizzazione ArcGIS. I membri dell'organizzazione ArcGIS sono elencati nella pagina Organizzazione del Portale Web. I membri di un'organizzazione sono organizzati in base ai tipi di utente che corrispondono a vari ruoli con privilegi diversi. Per ulteriori informazioni, vedere Tipi di utente, ruoli e privilegi.

Per impostazione predefinita, ad un nuovo account aziendale ArcGIS aggiunto al portale viene concesso il ruolo utente. L'amministratore del portale può tuttavia modificare il ruolo in qualsiasi momento.

Gestire account aziendali ArcGIS

Un account aziendale ArcGIS è un account utente che è stato aggiunto al pannello dell'organizzazione del Portale Web. Nella documentazione e nell'interfaccia utente del Portale Web questi utenti vengono in genere definiti membri dell'organizzazione.

È compito degli amministratori controllare con cura non solo i privilegi concessi a ciascuno dei membri dell'organizzazione ArcGIS ma gli utenti autorizzati a diventarne membri.

Il numero massimo di account aziendali ArcGIS nel portale è definito dal file di licenza utilizzato per assegnare la licenza al portale. In un qualunque momento, è possibile paragonare il numero totale dei membri cui è stato assegnato un tipo di utente e le licenze di tipi di utenti disponibili rimanenti dalle schede Panoramica o Licenze nella pagina Organizzazione sul sito Web del portale. Nella sezione Panoramica è possibile visualizzare le licenze totali assegnati e disponibile nella panoramica dei Membri. Nella scheda Licenze, è possibile visualizzare le licenze assegnate e disponibili per tipo di utente nella scheda Tipi di utente.

Gestire gli account tramite l'archivio incorporato

Quando si utilizza l'archivio incorporato, è possibile configurare il sito Web del portale in modo tale che visualizzi un collegamento utilizzabile dagli utenti per iscriversi all'organizzazione ArcGIS. Pur agevolando gli utenti che possono iscriversi più facilmente all'organizzazione, questo metodo non consente gli amministratori di mantenere il controllo sulle iscrizioni; chiunque può infatti accedere al portale e creare un account. Per disporre di maggior controllo, è possibile disabilitare questa esperienza self-service ed eseguire il provisioning in blocco del portale con un numero predefinito di account. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.

Gestire gli account tramite un archivio identità aziendale

Il portale ArcGIS Enterprise non consente di eliminare, modificare o creare nuovi account nell'archivio aziendale, tuttavia è possibile registrare account aziendali esistenti nell'organizzazione. Per questo motivo la pagina di registrazione nel Portale Web non sarà disponibile quando si configura il portale con un archivio identità aziendale.

Gli amministratori selezionano in genere gli account di accesso aziendali che desiderano aggiungere in blocco all'organizzazione. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.

In alternativa, è possibile aggiungere un account aziendale che si connette automaticamente al portale o ad uno dei relativi elementi. Per ulteriori informazioni, consultare Registrazione automatica degli account aziendali.

È importante sottolineare che quando il portale è configurato con un archivio identità aziendale, l'accesso anonimo all'organizzazione ArcGIS risulta disabilitato; questo significa che tutti gli utenti che accedono al portale devono prima eseguire l'autenticazione con l'archivio identità aziendale. Una volta effettuata l'autenticazione, i privilegi dell'utente saranno diversi a seconda che dispongano o meno di un'account aziendale ArcGIS.

Legacy:

In Portal for ArcGIS 10.2 gli account aziendali venivano automaticamente registrati come membri dell'organizzazione. Questo significa che l'organizzazione potrebbe aver superato il numero massimo di membri. Quando si aggiorna Portal for ArcGIS 10.2 a una versione successiva, il comportamento precedente persiste; gli account vengono ancora registrati automaticamente per impostazione predefinita. Al contrario, le nuove installazioni di Portal for ArcGIS non consentono la creazione automatica degli account. Se è stato effettuato l'aggiornamento del portale dalla versione 10.2 ad una versione successiva, è consigliabile disattivare questo comportamento per disporre di un maggiore controllo sull'aggiunta degli utenti come membri dell'organizzazione. Per le istruzioni complete, consultare Registrazione automatica degli account aziendali.

Criterio di blocco dell'account

Spesso i sistemi software applicano un criterio di blocco dell'account per garantire la protezione da tentativi automatici effettuati in massa per individuare la password di un utente. Se un utente effettua un certo numero di tentativi di accesso non riusciti in un determinato intervallo di tempo, a tale utente può essere negata la possibilità di effettuare ulteriori tentativi per un periodo di tempo designato. Questi criteri vengono applicati tenendo presente che a volte gli utenti dimenticano i propri nomi utente e password e non riescono ad effettuare l'accesso correttamente.

Il criterio di blocco applicato da Portal for ArcGIS dipende dal tipo di archivio identità in uso:

Archivio identità incorporato

L'archivio identità predefinito blocca un utente dopo cinque tentativi consecutivi non validi. Il blocco dura 15 minuti. Questo criterio si applica a tutti gli account nell'archivio identità, incluso l'account amministratore iniziale. Non è possibile modificare o sostituire questo criterio.

Archivio identità aziendale

Quando si utilizza un archivio identità aziendale, il criterio di blocco dell'account viene ereditato dall'archivio. È possibile modificare il criterio di blocco dell'account per l'archivio. Per informazioni su come modificare il criterio di blocco dell'account, consultare la documentazione specifica al tipo di archivio.