Uno degli aspetti chiave correlati alla pianificazione di una distribuzione di ArcGIS Enterpriseconsiste nel decidere come gestire gli account che accederanno al portale e nel definire i privilegi concessi a tali account. Per stabilire la modalità di gestione degli account, è necessario scegliere un archivio identità.
Informazioni sugli archivi identità
Gli archivi di identità per la tua organizzazione definiscono dove vengono memorizzate le credenziali dei tuoi account del portale, come avviene l'autenticazione e come viene gestita l'appartenenza al gruppo. L'organizzazione ArcGIS Enterprise supporta due tipi di archivi di identità: archivi di identità incorporati e specifici dell'organizzazione.
Archivio identità incorporato
Il portale ArcGIS Enterprise può essere configurato per consentire ai membri di creare facilmente account e gruppi nel portale. Se abilitato, è possibile utilizzare il collegamento Crea account nella pagina Accedi del Portale Web per aggiungere un account incorporato al portale e iniziare a contribuire ai contenuti dell'organizzazione o accedere alle risorse create da altri membri. Quando si creano account e gruppi nel portale in questo modo, si sta sfruttando l'archivio identità integrato, che esegue l'autenticazione e archivia i nomi utente degli account del portale, le password, i ruoli e l'appartenenza ai gruppi.
Devi usare l'archivio di identità incorporato per creare l'account di amministratore iniziale per la tua organizzazione, ma in seguito puoi passare a un archivio di identità specifico dell'organizzazione. L'archivio identità predefinito è utile per rendere operativo il portale, oltre che per lo sviluppo ed il testing. Negli ambienti di produzione, in genere, viene invece utilizzato un archivio identità specifico dell'organizzazione.
Nota:
Se è necessario ripristinare l'archivio identità predefinito da un archivio identità specifico per l'organizzazione, è possibile farlo cancellando tutte le informazioni nelle caselle di testo di Configurazione archivio utente e Configurazione archivio gruppo nella pagina Aggiorna archivio identità nella Administrator Directory del portale. Per ulteriori informazioni, consultare la documentazione API REST ArcGIS.
Archivio identità specifico dell'organizzazione
ArcGIS Enterprise è progettato in modo da poter utilizzare account e gruppi specifici dell'organizzazione per controllare l'accesso alla propria organizzazione ArcGIS. Ad esempio, è possibile controllare l'accesso al portale mediante le credenziali provenienti dal server LDAP (Lightweight Directory Access Protocol), Active Directory e dai provider di identità che supportano Browser Web Single Sign-On SAML (Security Assertion Markup Language) 2.0. Nella documentazione tale processo è descritto come "configurazione di account di accesso specifica dell'organizzazione".
Questo approccio è vantaggioso perché non richiede la creazione di account aggiuntivi nel portale. I membri utilizzano l'account di accesso già configurato nell'archivio identità specifico dell'organizzazione. La gestione delle credenziali dell'account, inclusi i criteri relativi alla complessità e alla scadenza della password, è completamente esterna al portale. Questa operazione abilita l'esperienza Single-Sign-On, cosicché gli utenti non devono reimmettere le loro credenziali.
Analogamente, nel portale è inoltre possibile creare gruppi che sfruttano i gruppi Active Directory, LDAP o SAML esistenti nell'archivio identità. Inoltre, è possibile aggiungere gli account specifici dell'organizzazione in blocco dai gruppi Active Directory, LDAP o SAML nell'organizzazione. Quando i membri si registrano nel portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo Active Directory, LDAP o SAML. La gestione dell'appartenenza ai gruppi è completamente esterna al portale.
Ad esempio, si consiglia di disabilitare l'accesso anonimo al portale, collegare il portale ai gruppi Active Directory, LDAP o SAML desiderati nell'organizzazione, e aggiungere gli account specifici dell'organizzazione basati su tali gruppi. In questo modo, è possibile limitare l'accesso al portale ai gruppi Active Directory, LDAP o SAML specifici dell'organizzazione.
Utilizzare un archivio identità specifico dell'organizzazione se l'organizzazione desidera impostare criteri per la scadenza e la complessità della password, controllare l'accesso mediante gruppi Active Directory, LDAP o SAML esistenti o sfruttare l'autenticazione integrata di Windows (IWA, Integrated Windows Authentication)LDAP o l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). È possibile gestire l'autenticazione a livello Web (mediante l'autenticazione a livello Web), a livello del portale (utilizzando l'autenticazione a livello del portale) o tramite un provider di identità esterno (tramite SAML).
Utilizzando un archivio di identità Active Directory, ArcGIS Enterprise supporta l'autenticazione da più domini con una singola foresta, ma non fornisce l'autenticazione tra foreste. Per supportare gli utenti specifici dell'organizzazione provenienti da più foreste, è necessario un fornitore di identificazione SAML.
Supportare più archivi identità
Con SAML 2.0 si può consentire l'accesso al portale tramite più archivi identità. Gli utenti possono accedere con account predefiniti e con account gestiti in più provider di identità conformi a SAML configurati per la conferma dell'attendibilità reciproca. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa. Per i dettagli completi, consultare Configurare un provider di identità conforme a SAML con il portale.
Comprendere i privilegi di accesso
Una volta stabilito come gli account saranno gestiti in ArcGIS Enterprise, dovete decidere quali privilegi volete che gli utenti che accedono alla vostra organizzazione ArcGIS abbiano. Per definire i privilegi, è necessario considerare se l'utente che accede al portale è o meno membro dell'organizzazione ArcGIS.
Gli utenti che accedono al portale senza un account organizzativo ArcGIS possono solo cercare e utilizzare elementi pubblici. Ad esempio, se una mappa Web pubblica è incorporata in un sito Web, gli utenti che osservano la mappa potranno accedere ad un elemento del portale anche se non dispongono di un account. È responsabilità dell'amministratore scegliere se abilitare questo tipo di accesso. È sempre possibile disabilitare l'accesso alle persone che non appartengono già all'organizzazione ArcGIS. Per sapere come farlo, vedi Disabilitare l'accesso anonimo.
Gli utenti possono accedere al portale con privilegi elevati se sono membri dell'organizzazione ArcGIS. I membri dell'organizzazione ArcGIS sono elencati nella pagina Organizzazione del Portale Web. I membri di un'organizzazione sono organizzati in base ai tipi di utente che corrispondono a vari ruoli con privilegi diversi. Per saperne di più, vedi Tipi di utenti, ruoli e privilegi.
Quando un nuovo account aziendale ArcGIA viene aggiunto al portale, è garantito il ruolo di utente per impostazione predefinita. L'amministratore del portale può tuttavia modificare il ruolo in qualsiasi momento.
Gestisci account aziendali ArcGIS
Un account aziendale ArcGIS è un account utente che è stato aggiunto al pannello dell'organizzazione del Portale Web. Nella documentazione e nell'interfaccia utente del Portale Web questi utenti vengono in genere definiti membri dell'organizzazione.
È compito degli amministratori controllare con cura non solo i privilegi concessi a ciascuno dei membri dell'organizzazione ArcGIS ma gli utenti autorizzati a diventarne membri.
Il numero massimo di account aziendali ArcGIS nel portale è definito dal file di licenza utilizzato per assegnare la licenza al portale. In qualsiasi momento, puoi confrontare il numero totale di membri assegnati a un tipo di utente e le licenze rimanenti disponibili per il tipo di utente dalle schede Panoramica o Licenze nella pagina Organizzazione nel sito web del portale. Nella scheda Panoramica, puoi visualizzare le licenze totali assegnate e disponibili nella panoramica dei Membri. Nella scheda Licenze, è possibile visualizzare le licenze assegnate e disponibili per tipo di utente nella scheda Tipi di utente.
Gestisci gli account tramite l'archivio incorporato
Quando si utilizza l'archivio incorporato, è possibile configurare il sito Web del portale in modo tale che visualizzi un collegamento utilizzabile dagli utenti per iscriversi all'organizzazione ArcGIS. Pur agevolando gli utenti che possono iscriversi più facilmente all'organizzazione, questo metodo non consente gli amministratori di mantenere il controllo sulle iscrizioni; chiunque può infatti accedere al portale e creare un account. Per disporre di maggior controllo, è possibile disabilitare questa esperienza self-service ed eseguire il provisioning in blocco del portale con un numero predefinito di account. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.
Gestire gli account tramite un archivio identità specifico dell'organizzazione
Il portaleArcGIS Enterprise non consente di eliminare, modificare o creare nuovi account nell'archivio identità, tuttavia è possibile registrare account specifici dell'organizzazione esistenti nell'organizzazione.Per questo motivo la pagina di registrazione nel Portale Web non sarà disponibile quando si configura il portale con un archivio identità specifico dell'organizzazione.
Come amministratore, di solito selezioni i login specifici dell'organizzazione che vuoi aggiungere all'organizzazione e li aggiungi in blocco. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.
In alternativa, è possibile aggiungere un account specifico dell'organizzazione che si connette automaticamente al portale o ad uno dei relativi elementi. Per ulteriori informazioni, consultare Registrazione automatica degli account specifici dell'organizzazione.
È importante sottolineare che quando il portale è configurato con un archivio identità specifico dell'organizzazione, l'accesso anonimo all'organizzazione ArcGIS risulta disabilitato; questo significa che tutti gli utenti che accedono al portale devono prima eseguire l'autenticazione con l'archivio identità. Una volta effettuata l'autenticazione, i privilegi dell'utente saranno diversi a seconda che dispongano o meno di un'account aziendale ArcGIS.
Legacy:
InPortal for ArcGIS 10.2, gli account specifici dell'organizzazione venivano automaticamente registrati come membri dell'organizzazione. Questo significa che l'organizzazione potrebbe aver superato il numero massimo di membri. Quando si aggiornaPortal for ArcGIS 10.2 a una versione successiva, il comportamento precedente persiste; gli account vengono ancora registrati automaticamente per impostazione predefinita. Al contrario, le nuove installazioni diPortal for ArcGIS non consentono la creazione automatica degli account. Se è stato effettuato l'aggiornamento del portale dalla versione 10.2 ad una versione successiva, è consigliabile disattivare questo comportamento per disporre di un maggiore controllo sull'aggiunta degli utenti come membri dell'organizzazione. Per informazioni dettagliate, consultare Registrazione automatica degli account specifici dell'organizzazione.
Criterio di blocco dell'account
Spesso i sistemi software applicano un criterio di blocco dell'account per garantire la protezione da tentativi automatici effettuati in massa per individuare la password di un utente. Se un utente effettua un certo numero di tentativi di accesso non riusciti in un determinato intervallo di tempo, a tale utente può essere negata la possibilità di effettuare ulteriori tentativi per un periodo di tempo designato. Questi criteri vengono applicati tenendo presente che a volte gli utenti dimenticano i propri nomi utente e password e non riescono ad effettuare l'accesso correttamente.
Il criterio di blocco forzato del portale dipende dal tipo di archivio identità in uso:
Archivio identità incorporato
L'archivio identità predefinito blocca un utente dopo cinque tentativi consecutivi non validi. Il blocco dura 15 minuti. Questo criterio si applica a tutti gli account nell'archivio identità, incluso l'account amministratore iniziale. Non è possibile modificare o sostituire questo criterio.
Archivio identità specifico dell'organizzazione
Quando si utilizza un archivio identità specifico dell'organizzazione, il criterio di blocco dell'account viene ereditato dall'archivio. È possibile modificare il criterio di blocco dell'account per l'archivio. Per informazioni su come modificare il criterio di blocco dell'account, consultare la documentazione specifica al tipo di archivio.