Il principale fattore da tenere in considerazione per determinare come configurare la sicurezza nella distribuzione di ArcGIS Enterprise è costituito dall'origine dei dati sugli utenti e, facoltativamente, sui gruppi, nel portale. L'origine dei dati sugli utenti e sui gruppi è denominata archivio identità. Gli utenti e i gruppi interni o esterni all'organizzazione vengono gestiti mediante l'archivio identità.
- Informazioni sugli archivi identità
- Configurare utenti predefiniti mediante l'archivio identità del portale
- Configurare account di accesso aziendali mediante l'autenticazione a livello Web
- Configurare account di accesso aziendali mediante SAML
Informazioni sugli archivi identità
L'archivio identità del portale consente di definire la posizione in cui vengono archiviate le credenziali degli account del portale, come viene eseguita l'autenticazione e come viene gestita l'appartenenza ai gruppi. Il portale ArcGIS Enterprise supporta due tipi di archivi identità: predefiniti e aziendali.
Archivio identità incorporato
Il portale ArcGIS Enterprise può essere configurato per consentire ai membri di creare facilmente account e gruppi nel portale. Se abilitato, è possibile utilizzare il collegamento Crea account nella pagina Accedi del Portale Web per aggiungere un account incorporato al portale e iniziare a contribuire ai contenuti dell'organizzazione o accedere alle risorse create da altri membri. È inoltre possibile fare clic sulla scheda Gruppi nella home page del Portale Web e su Crea gruppo per gestire gli elementi. Quando si creano account e gruppi nel portale in questo modo, è possibile sfruttare l'archivio identità predefinito, che esegue l'autenticazione ed in cui sono archiviati i nomi utente, le password, i ruoli e l'appartenenza ai gruppi.
È necessario utilizzare l'archivio identità predefinito per creare l'account amministratore iniziale per il portale ma, in seguito, è possibile passare all'archivio identità aziendale. L'archivio identità predefinito è utile per rendere operativo il portale, oltre che per lo sviluppo ed il testing. Negli ambienti di produzione, in genere, viene invece utilizzato un archivio identità aziendale.
Archivio identità aziendale
Il portale ArcGIS Enterprise è progettato in modo da poter utilizzare account e gruppi aziendali per controllare l'accesso all'organizzazione ArcGIS. Ad esempio, è possibile controllare l'accesso al portale mediante le credenziali provenienti dal server LDAP (Lightweight Directory Access Protocol), Active Directory e dai provider di identità che supportano Single Sign-On Web SAML (Security Assertion Markup Language) 2.0. Nella documentazione tale processo è descritto come configurazione di account di accesso aziendali.
Questo approccio è vantaggioso perché non richiede la creazione di account aggiuntivi nel portale. I membri utilizzano l'account di accesso già configurato nell'archivio identità aziendale. La gestione delle credenziali dell'account è completamente esterna al portale. Questo consente di usufruire di un'esperienza Single Sign-On in modo che agli utenti non venga richiesto di inserire nuovamente le credenziali.
Analogamente, nel portale è inoltre possibile creare gruppi che sfruttano i gruppi aziendali esistenti nell'archivio identità. Inoltre, è possibile aggiungere gli account aziendali in blocco dai gruppi aziendali nell'organizzazione. Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. La gestione dell'appartenenza ai gruppi è completamente esterna al portale.
Ad esempio, si consiglia di disabilitare l'accesso anonimo al portale, collegare il portale ai gruppi aziendali desiderati nell'organizzazione ed aggiungere gli account aziendali basati su tali gruppi. In questo modo, è possibile limitare l'accesso al portale ai gruppi aziendali specifici dell'organizzazione.
Utilizzare un archivio identità aziendale se l'organizzazione desidera impostare criteri per la scadenza e la complessità delle password, controllare l'accesso mediante gruppi aziendali esistenti o sfruttare l'autenticazione integrata di Windows (IWA, Integrated Windows Authentication) o l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). È possibile gestire l'autenticazione a livello Web (mediante l'autenticazione a livello Web), a livello del portale (utilizzando l'autenticazione a livello del portale) o tramite un provider di identità esterno (tramite SAML).
Utilizzando un archivio di identità Active Directory, ArcGIS Enterprise supporta l'autenticazione da più domini con una singola foresta, ma non fornisce l'autenticazione tra foreste. Per supportare gli utenti aziendali provenienti da più foreste, sarebbe necessario un fornitore di identificazione SAML.
Supportare più archivi identità
Con SAML 2.0 si può consentire l'accesso al portale tramite più archivi identità. Gli utenti possono accedere con account predefiniti e con account gestiti in più provider di identità conformi a SAML configurati per la conferma dell'attendibilità reciproca. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa. Per i dettagli completi, consultare Configurare un provider di identità conforme a SAML con il portale.
Configurare utenti e gruppi predefiniti mediante l'archivio identità del portale
Per configurare il portale per l'uso da parte degli utenti e dei gruppi predefiniti non è necessario eseguire alcuna operazione perché, una volta installato il software, il portale è già pronto per questo tipo di utilizzo. Se è previsto l'accesso da parte di utenti aziendali, consultare le sezioni successive ed i relativi collegamenti per ulteriori informazioni.
Configurare account di accesso aziendali
È possibile configurare con il portale i seguenti provider di identità aziendali. È possibile gestire l'autenticazione a livello Web (mediante ArcGIS Web Adaptor) o del portale.
Autenticazione a livello web
Se il portale viene eseguito in un server Windows in cui è configurato il servizio Windows Active Directory, per connettersi al portale è possibile utilizzare l'autenticazione integrata di Windows. In questo modo gli utenti possono usufruire di un'esperienza Single Sign-On del portale tramite l'autenticazione a livello Web. Per utilizzare l'autenticazione di Windows, è necessario implementare Web Adaptor nel server Web Microsoft IIS.
Se è disponibile una directory LDAP, è possibile utilizzarla con il portale ArcGIS Enterprise. Per ulteriori informazioni, consultare Utilizzare il portale con LDAP e l'autenticazione a livello Web. Per utilizzare LDAP, distribuire Web Adaptor in un server applicazioni Java, come Apache Tomcat, IBM WebSphere o Oracle WebLogic.
Se l'organizzazione dispone di una PKI, è possibile utilizzare i certificati per autenticare le comunicazioni con il portale tramite HTTPS. Per autenticare gli utenti, è possibile scegliere di utilizzare Windows Active Directory o LDAP (Lightweight Directory Access Protocol). Per utilizzare l'autenticazione di Windows, è necessario implementare Web Adaptor nel server Web Microsoft IIS. Per utilizzare LDAP, è necessario distribuire Web Adaptor in un server applicazioni Java, come Apache Tomcat, IBM WebSphere o Oracle WebLogic. Se si utilizza PKI, non è possibile abilitare l'accesso anonimo al portale.
Autenticazione a livello del portale
Se si desidera consentire l'accesso al portale utilizzando sia gli archivi identità integrati che aziendali mediante SAML, è possibile utilizzare l'autenticazione a livello del portale. A tale scopo, configurare il portale con l'archivio identità Active Directory o LDAP, consentendo così l'accesso anonimo in IIS o al server di applicazioni Java. Quando un utente si connette alla pagina di accesso del portale può collegarsi utilizzando le credenziali aziendali o predefinite. Agli utenti aziendali verrà richiesto di inserire le credenziali dell'account ogni volta che accedono al portale; la funzione di acceso automatico o Single Sign-On non sarà disponibile. Inoltre, questo tipo di autenticazione consente agli utenti anonimi di accedere alle mappe o ad altre risorse condivise del portale.
Quando si utilizza l'autenticazione a livello del portale, i membri dell'azienda possono accedere mediante la seguente sintassi:
- Se si utilizza il portale con Active Directory, la sintassi può essere domain\username or username@domain. Indipendentemente dalla modalità di accesso dei membri, nel portale Web il nome utente viene visualizzato sempre come username@domain.
- Se si utilizza il portale con LDAP, la sintassi è sempre username. Sul Portale Web, l'account viene visualizzato anche in questo formato.
Configurare account di accesso aziendali mediante SAML
Il portale ArcGIS Enterprise supporta tutti i provider di identità conformi a SAML. Nelle seguenti esercitazioni viene illustrato come configurare diversi provider di identità conformi a SAML con il portale. Per ulteriori informazioni, consultare Configurare un provider di identità conforme a SAML con il portale.
Criterio di blocco dell'account
Spesso i sistemi software applicano un criterio di blocco dell'account per garantire la protezione da tentativi automatici effettuati in massa per individuare la password di un utente. Se un utente effettua un certo numero di tentativi di accesso non riusciti in un determinato intervallo di tempo, a tale utente può essere negata la possibilità di effettuare ulteriori tentativi per un periodo di tempo designato. Questi criteri vengono applicati tenendo presente che a volte gli utenti dimenticano i propri nomi utente e password e non riescono ad effettuare l'accesso correttamente.
Il criterio di blocco applicato da Portal for ArcGIS dipende dal tipo di archivio identità in uso:
Archivio identità incorporato
L'archivio identità predefinito blocca un utente dopo cinque tentativi consecutivi non validi. Il blocco dura 15 minuti. Questo criterio si applica a tutti gli account nell'archivio identità, incluso l'account amministratore iniziale. Non è possibile modificare o sostituire questo criterio.
Archivio identità aziendale
Quando si utilizza un archivio identità aziendale, il criterio di blocco dell'account viene ereditato dall'archivio. È possibile modificare il criterio di blocco dell'account per l'archivio. Per informazioni su come modificare il criterio di blocco dell'account, consultare la documentazione specifica al tipo di archivio.
Monitorare i tentativi di accesso non riusciti.
È possibile monitorare i tentativi di accesso non riusciti visualizzando i log del portale nella Portal Directory. Per ogni tentativo di accesso non riuscito verrà visualizzato un messaggio di avviso per segnalare all'utente che l'accesso non è riuscito poiché è stata inserita una combinazione errata di nome utente e password. Se l'utente supera il numero massimo di tentativi di accesso viene visualizzato un messaggio di livello grave per segnalare che l'account è stato bloccato. Monitorare i tentativi di accesso non riusciti mediante i log del portale consente di comprendere se è in corso un potenziale attacco al sistema.
Per ulteriori informazioni, consultare Utilizzare i log del portale.