Skip To Content

Limitare la funzionalità proxy del portale

In alcuni scenari, Portal for ArcGIS funge da server proxy. Questa funzionalità viene utilizzata nelle seguenti situazioni:

  • Si prova ad accedere ad una risorsa da un dominio differente rispetto al portale e il supporto Cross Origin Resource Sharing (CORS) non è disponibile. CORS è una specifica che consente ad un server Web e ad un browser Web di interagire e determinare se una richiesta cross-origin può essere autorizzata.
  • Si tenta di condividere una risorsa protetta con altri utenti ma si desidera nascondere le credenziali dell'utente, richieste per accedere alla risorsa.

Per impostazione predefinita, la funzionalità proxy del portale è illimitata. Pertanto, il portale può essere utilizzato impropriamente per lanciare attacchi DoS (Denial of Service) o SSRF (Server Side Request Forgery) verso qualsiasi computer a cui può accedere il server del portale. Per ridurre questa vulnerabilità potenziale, si consiglia di limitare la funzionalità proxy del portale definendo un elenco di indirizzi Web approvati. Portal for ArcGIS sarà in grado di fungere da proxy solo per le richieste degli indirizzi presenti nell'elenco. Le altre richieste verranno bloccate. Se ArcGIS Server è stato federato con il portale, l'elenco deve contenere gli indirizzi di tutti i computer nel sito, nonché tutte le risorse condivise come elementi nel portale.

Per definire un elenco degli indirizzi approvati, attenersi alla seguente procedura.

  1. Aprire un browser Web e accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Configurazione > Aggiorna configurazione di protezione.
  3. Nel campo Configurazione, aggiungere la allowedProxyHosts proprietà e specificare l'elenco degli indirizzi approvati, ad esempio:
    {
        "disableServicesDirectory": false,
        "enableAutomaticAccountCreation": false,
        "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    Nota:

    Utilizzare il formato (.*).domain.com per consentire le richieste del proxy a tutti i computer in un determinato dominio. Utilizzare i caratteri jolly (*) con cautela; gli utenti non autorizzati potrebbero inavvertitamente essere autorizzati ad accedere ai computer con restrizioni.

  4. Fare clic su Aggiorna configurazione.