Il principale fattore da tenere in considerazione per determinare come configurare la sicurezza nella distribuzione diArcGIS Enterprise è costituito dall'origine dei dati sugli utenti e, facoltativamente, sui gruppi, nel portale. L'origine dei dati sugli utenti e sui gruppi è denominata archivio identità. I membri interni o esterni all'organizzazione vengono gestiti tramite l'archivio identità.
- Informazioni sugli archivi identità
- Configurare utenti predefiniti mediante l'archivio identità del portale
- Configurare account di accesso specifici dell'organizzazione mediante l'autenticazione a livello Web.
- Configurare account di accesso specifici dell'organizzazione mediante SAML.
Informazioni sugli archivi identità
L'archivio identità del portale consente di definire la posizione in cui vengono archiviate le credenziali degli account del portale, come viene eseguita l'autenticazione e come viene gestita l'appartenenza ai gruppi. Il portale ArcGIS Enterprise supporta due tipi di archivi identità: predefiniti e specifici dell'organizzazione.
Archivio identità incorporato
Il portale ArcGIS Enterprise può essere configurato per consentire ai membri di creare facilmente account e gruppi nel portale. Se abilitato, è possibile utilizzare il collegamento Crea account nella pagina Accedi del Portale Web per aggiungere un account incorporato al portale e iniziare a contribuire ai contenuti dell'organizzazione o accedere alle risorse create da altri membri. Quando si creano account e gruppi nel portale in questo modo, si sta sfruttando l'archivio identità integrato, che esegue l'autenticazione e archivia i nomi utente degli account del portale, le password, i ruoli e l'appartenenza ai gruppi.
È necessario utilizzare l'archivio identità predefinito per creare l'account amministratore iniziale per il portale ma, in seguito, è possibile passare all'archivio identità specifico dell'organizzazione. L'archivio identità predefinito è utile per rendere operativo il portale, oltre che per lo sviluppo ed il testing. Negli ambienti di produzione, in genere, viene invece utilizzato un archivio identità specifico dell'organizzazione.
Archivio identità specifico dell'organizzazione
Il portaleArcGIS Enterprise è progettato in modo da poter utilizzare account e gruppi specifici dell'organizzazione per controllare l'accesso all'organizzazione ArcGIS. Ad esempio, è possibile controllare l'accesso al portale mediante le credenziali provenienti dal server LDAP (Lightweight Directory Access Protocol), Active Directory e dai provider di identità che supportano Browser Web Single Sign-On SAML (Security Assertion Markup Language) 2.0. Nella documentazione tale processo è descritto come "configurazione di account di accesso specifica dell'organizzazione".
Questo approccio è vantaggioso perché non richiede la creazione di account aggiuntivi nel portale. I membri utilizzano l'account di accesso già configurato nell'archivio identità specifico dell'organizzazione. La gestione delle credenziali dell'account, inclusi i criteri relativi alla complessità e alla scadenza della password, è completamente esterna al portale. Questa operazione abilita l'esperienza Single-Sign-On, cosicché gli utenti non devono reimmettere le loro credenziali.
Analogamente, nel portale è inoltre possibile creare gruppi che sfruttano i gruppi aziendali esistenti nell'archivio identità. Inoltre, è possibile aggiungere gli account specifici dell'organizzazione in blocco dai gruppi aziendali nell'organizzazione. Quando i membri si registrano nel portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. La gestione dell'appartenenza ai gruppi è completamente esterna al portale.
Ad esempio, si consiglia di disabilitare l'accesso anonimo al portale, collegare il portale ai gruppi aziendali desiderati nell'organizzazione, e aggiungere gli account specifici dell'organizzazione basati su tali gruppi. In questo modo, è possibile limitare l'accesso al portale ai gruppi aziendali specifici dell'organizzazione.
Utilizzare un archivio identità specifico dell'organizzazione se l'organizzazione desidera impostare criteri per la scadenza e la complessità della password, controllare l'accesso mediante gruppi aziendali esistenti o sfruttare l'autenticazione integrata di Windows (IWA, Integrated Windows Authentication)LDAP o l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). È possibile gestire l'autenticazione a livello Web (mediante l'autenticazione a livello Web), a livello del portale (utilizzando l'autenticazione a livello del portale) o tramite un provider di identità esterno (tramite SAML).
Utilizzando un archivio di identità Active Directory, ArcGIS Enterprise supporta l'autenticazione da più domini con una singola foresta, ma non fornisce l'autenticazione tra foreste. Per supportare gli utenti specifici dell'organizzazione provenienti da più foreste, è necessario un fornitore di identificazione SAML.
Supportare più archivi identità
Con SAML 2.0 si può consentire l'accesso al portale tramite più archivi identità. Gli utenti possono accedere con account predefiniti e con account gestiti in più provider di identità conformi a SAML configurati per la conferma dell'attendibilità reciproca. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa. Per i dettagli completi, consultare Configurare un provider di identità conforme a SAML con il portale.
Configurare utenti predefiniti e gruppi mediante l'archivio identità del portale
Per configurare il portale per l'uso da parte degli utenti e dei gruppi predefiniti non è necessario eseguire alcuna operazione perché, una volta installato il software, il portale è già pronto per questo tipo di utilizzo. Se è previsto l'accesso da parte di utenti specifici dell'organizzazione, consultare le sezioni successive ed i relativi collegamenti per ulteriori informazioni.
Configurare account di accesso specifici dell'organizzazione
È possibile configurare con il portale i seguenti provider di identità specifici dell'organizzazione. È possibile gestire l'autenticazione a livello Web (mediante ArcGIS Web Adaptor) o a livello del portale.
Autenticazione a livello web
Se il portale viene eseguito in un server Windows in cui è configurato il servizio Windows Active Directory, per connettersi al portale è possibile utilizzare l'autenticazione integrata di Windows. In questo modo gli utenti possono usufruire di un'esperienza Single Sign-On del portale tramite l'autenticazione a livello Web. Per utilizzare l'autenticazione di Windows, il Web Adaptor deve essere distribuito nel server Web IIS di Microsoft.
Se è disponibile una directory LDAP, è possibile utilizzarla con il portale ArcGIS Enterprise. Per ulteriori informazioni, consultare Utilizzare il portale con LDAP e l'autenticazione a livello Web. Per utilizzare LDAP, distribuire Web Adaptor in un server applicazioni Java, come Apache Tomcat, IBM WebSphere o Oracle WebLogic.
Se l'organizzazione dispone di una PKI, è possibile utilizzare i certificati per autenticare le comunicazioni con il portale tramite HTTPS. Per autenticare gli utenti, è possibile scegliere di utilizzare Windows Active Directory o LDAP (Lightweight Directory Access Protocol). Per utilizzare l'autenticazione di Windows, il Web Adaptor deve essere distribuito nel server Web IIS di Microsoft. Per utilizzare LDAP, è necessario distribuire Web Adaptor in un server applicazioni Java, come Apache Tomcat, IBM WebSphere o Oracle WebLogic. Se si utilizza PKI, non è possibile abilitare l'accesso anonimo al portale. .
Autenticazione a livello del portale
Se si desidera consentire l'accesso al portale utilizzando sia gli archivi identità integrati che specifici dell'organizzazione senza usare SAML, è possibile utilizzare l'autenticazione a livello del portale. A tale scopo, configurare il portale con l'archivio identità Active Directory o LDAP, consentendo così l'accesso anonimo in IIS o al server di applicazioni Java. Quando un utente si connette alla pagina di accesso del portale può collegarsi utilizzando le credenziali specifiche dell'organizzazione o predefinite. Agli utenti specifici dell'organizzazione verrà richiesto di inserire le credenziali dell'account ogni volta che accedono al portale; la funzione di accesso automatico o Single Sign-On non è disponibile. Inoltre, questo tipo di autenticazione consente agli utenti anonimi di accedere alle mappe o ad altre risorse condivise del portale.
Quando si utilizza l'autenticazione a livello del portale, i membri possono accedere mediante la seguente sintassi:
- Se si utilizza il portale con Active Directory, la sintassi può esseredomain\username o username@domain. Indipendentemente dalla modalità di accesso dei membri, nel portale Web il nome utente viene visualizzato sempre come username@domain.
- Se si utilizza il portale con LDAP, la sintassi è sempre username. Sul Portale Web, l'account viene visualizzato anche in questo formato.
Configurare account di accesso specifici dell'organizzazione mediante SAML.
Il portaleArcGIS Enterprise supporta tutti i provider di identità conformi a SAML. Nelle seguenti esercitazioni viene illustrato come configurare diversi provider di identità conformi a SAML con il portale. Per ulteriori informazioni, consultare Configurare un provider di identità conforme a SAML con il portale.
Criterio di blocco dell'account
Spesso i sistemi software applicano un criterio di blocco dell'account per garantire la protezione da tentativi automatici effettuati in massa per individuare la password di un utente. Se un utente effettua un certo numero di tentativi di accesso non riusciti in un determinato intervallo di tempo, a tale utente può essere negata la possibilità di effettuare ulteriori tentativi per un periodo di tempo designato. Questi criteri vengono applicati tenendo presente che a volte gli utenti dimenticano i propri nomi utente e password e non riescono ad effettuare l'accesso correttamente.
Il criterio di blocco forzato del portale dipende dal tipo di archivio identità in uso:
Archivio identità incorporato
L'archivio identità predefinito blocca un utente dopo cinque tentativi consecutivi non validi. Il blocco dura 15 minuti. Questo criterio si applica a tutti gli account nell'archivio identità, incluso l'account amministratore iniziale. Non è possibile modificare o sostituire questo criterio.
Archivio identità specifico dell'organizzazione
Quando si utilizza un archivio identità specifico dell'organizzazione, il criterio di blocco dell'account viene ereditato dall'archivio. È possibile modificare il criterio di blocco dell'account per l'archivio. Per informazioni su come modificare il criterio di blocco dell'account, consultare la documentazione specifica al tipo di archivio.
Monitorare i tentativi di accesso non riusciti.
È possibile monitorare i tentativi di accesso non riusciti visualizzando i log del portale nella Portal Directory. Per ogni tentativo di accesso non riuscito verrà visualizzato un messaggio di avviso per segnalare all'utente che l'accesso non è riuscito poiché è stata inserita una combinazione errata di nome utente e password. Se l'utente supera il numero massimo di tentativi di accesso viene visualizzato un messaggio di livello grave per segnalare che l'account è stato bloccato. Monitorare i tentativi di accesso non riusciti mediante i log del portale consente di comprendere se è in corso un potenziale attacco al sistema.
Per ulteriori informazioni, consultare Utilizzare i log del portale.