Uno degli aspetti chiave correlati alla pianificazione di una distribuzione di ArcGIS Enterpriseconsiste nel decidere come gestire gli account che accederanno al portale e nel definire i privilegi concessi a tali account. Per stabilire la modalità di gestione degli account, è necessario scegliere un archivio identità.
Informazioni sugli archivi identità
L'archivio identità del portale consente di definire la posizione in cui vengono archiviate le credenziali degli account del portale, come viene eseguita l'autenticazione e come viene gestita l'appartenenza ai gruppi. Il portale ArcGIS Enterprise supporta due tipi di archivi identità: predefiniti e specifici dell'organizzazione.
Archivio identità incorporato
Il portale ArcGIS Enterprise può essere configurato per consentire ai membri di creare facilmente account e gruppi nel portale. Se abilitato, è possibile utilizzare il collegamento Crea account nella pagina Accedi del Portale Web per aggiungere un account incorporato al portale e iniziare a contribuire ai contenuti dell'organizzazione o accedere alle risorse create da altri membri. Quando si creano account e gruppi nel portale in questo modo, si sta sfruttando l'archivio identità integrato, che esegue l'autenticazione e archivia i nomi utente degli account del portale, le password, i ruoli e l'appartenenza ai gruppi.
È necessario utilizzare l'archivio identità predefinito per creare l'account amministratore iniziale per il portale ma, in seguito, è possibile passare all'archivio identità specifico dell'organizzazione. L'archivio identità predefinito è utile per rendere operativo il portale, oltre che per lo sviluppo ed il testing. Negli ambienti di produzione, in genere, viene invece utilizzato un archivio identità specifico dell'organizzazione.
Archivio identità specifico dell'organizzazione
Il portaleArcGIS Enterprise è progettato in modo da poter utilizzare account e gruppi specifici dell'organizzazione per controllare l'accesso all'organizzazione ArcGIS. Ad esempio, è possibile controllare l'accesso al portale mediante le credenziali provenienti dal server LDAP (Lightweight Directory Access Protocol), Active Directory e dai provider di identità che supportano Browser Web Single Sign-On SAML (Security Assertion Markup Language) 2.0. Nella documentazione tale processo è descritto come "configurazione di account di accesso specifica dell'organizzazione".
Questo approccio è vantaggioso perché non richiede la creazione di account aggiuntivi nel portale. I membri utilizzano l'account di accesso già configurato nell'archivio identità specifico dell'organizzazione. La gestione delle credenziali dell'account, inclusi i criteri relativi alla complessità e alla scadenza della password, è completamente esterna al portale. Questa operazione abilita l'esperienza Single-Sign-On, cosicché gli utenti non devono reimmettere le loro credenziali.
Analogamente, nel portale è inoltre possibile creare gruppi che sfruttano i gruppi aziendali esistenti nell'archivio identità. Inoltre, è possibile aggiungere gli account specifici dell'organizzazione in blocco dai gruppi aziendali nell'organizzazione. Quando i membri si registrano nel portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. La gestione dell'appartenenza ai gruppi è completamente esterna al portale.
Ad esempio, si consiglia di disabilitare l'accesso anonimo al portale, collegare il portale ai gruppi aziendali desiderati nell'organizzazione, e aggiungere gli account specifici dell'organizzazione basati su tali gruppi. In questo modo, è possibile limitare l'accesso al portale ai gruppi aziendali specifici dell'organizzazione.
Utilizzare un archivio identità specifico dell'organizzazione se l'organizzazione desidera impostare criteri per la scadenza e la complessità della password, controllare l'accesso mediante gruppi aziendali esistenti o sfruttare l'autenticazione integrata di Windows (IWA, Integrated Windows Authentication)LDAP o l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). È possibile gestire l'autenticazione a livello Web (mediante l'autenticazione a livello Web), a livello del portale (utilizzando l'autenticazione a livello del portale) o tramite un provider di identità esterno (tramite SAML).
Utilizzando un archivio di identità Active Directory, ArcGIS Enterprise supporta l'autenticazione da più domini con una singola foresta, ma non fornisce l'autenticazione tra foreste. Per supportare gli utenti specifici dell'organizzazione provenienti da più foreste, è necessario un fornitore di identificazione SAML.
Supportare più archivi identità
Con SAML 2.0 si può consentire l'accesso al portale tramite più archivi identità. Gli utenti possono accedere con account predefiniti e con account gestiti in più provider di identità conformi a SAML configurati per la conferma dell'attendibilità reciproca. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa. Per i dettagli completi, consultare Configurare un provider di identità conforme a SAML con il portale.
Comprendere i privilegi di accesso
Una volta stabilito come verranno gestiti gli account in ArcGIS Enterprise, è necessario decidere i privilegi da assegnare agli utenti che accedono all'organizzazione ArcGIS. Per definire i privilegi, è necessario considerare se l'utente che accede al portale è o meno membro dell'organizzazione ArcGIS.
Gli utenti che accedono al portale senza disporre di un account aziendale ArcGIS possono solo effettuare ricerche ed utilizzare elementi pubblici. Ad esempio, se una mappa Web pubblica è incorporata in un sito Web, gli utenti che osservano la mappa potranno accedere ad un elemento del portale anche se non dispongono di un account. È responsabilità dell'amministratore scegliere se abilitare questo tipo di accesso. È sempre possibile disabilitare l'accesso per le persone che non appartengono già all'organizzazione ArcGIS. Per scoprire come fare questo, vedere Disabilita accesso anonimo.
Gli utenti possono accedere al portale con privilegi elevati se sono membri dell'organizzazione ArcGIS. I membri dell'organizzazione ArcGIS sono elencati nella pagina Organizzazione del Portale Web. I membri di un'organizzazione sono organizzati in base ai tipi di utente che corrispondono a vari ruoli con privilegi diversi. Per ulteriori informazioni, vedere Tipi di utente, ruoli e privilegi.
Quando un nuovo account aziendale ArcGIA viene aggiunto al portale, è garantito il ruolo di utente per impostazione predefinita. L'amministratore del portale può tuttavia modificare il ruolo in qualsiasi momento.
Gestisci account aziendali ArcGIS
Un account aziendale ArcGIS è un account utente che è stato aggiunto al pannello dell'organizzazione del Portale Web. Nella documentazione e nell'interfaccia utente del Portale Web questi utenti vengono in genere definiti membri dell'organizzazione.
È compito degli amministratori controllare con cura non solo i privilegi concessi a ciascuno dei membri dell'organizzazione ArcGIS ma gli utenti autorizzati a diventarne membri.
Il numero massimo di account aziendali ArcGIS nel portale è definito dal file di licenza utilizzato per assegnare la licenza al portale. In un qualunque momento, è possibile paragonare il numero totale dei membri cui è stato assegnato un tipo di utente e le licenze di tipi di utenti disponibili rimanenti dalle schede Panoramica o Licenze nella pagina Organizzazione sul sito Web del portale. Sulla scheda Panoramica, è possibile visualizzare le licenze totali assegnate e disponibili nella panoramica Membri. Sulla scheda Licenze, è possibile visualizzare le licenza assegnate e disponibili per il tipo di utente su la scheda Tipi utente.
Gestisci gli account tramite l'archivio incorporato
Quando si utilizza l'archivio incorporato, è possibile configurare il sito Web del portale in modo tale che visualizzi un collegamento utilizzabile dagli utenti per iscriversi all'organizzazione ArcGIS. Pur agevolando gli utenti che possono iscriversi più facilmente all'organizzazione, questo metodo non consente gli amministratori di mantenere il controllo sulle iscrizioni; chiunque può infatti accedere al portale e creare un account. Per disporre di maggior controllo, è possibile disabilitare questa esperienza self-service ed eseguire il provisioning in blocco del portale con un numero predefinito di account. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.
Gestire gli account tramite un archivio identità specifico dell'organizzazione
Il portaleArcGIS Enterprise non consente di eliminare, modificare o creare nuovi account nell'archivio identità, tuttavia è possibile registrare account specifici dell'organizzazione esistenti nell'organizzazione.Per questo motivo la pagina di registrazione nel Portale Web non sarà disponibile quando si configura il portale con un archivio identità specifico dell'organizzazione.
Gli amministratori selezionano in genere gli account di accesso specifici dell'organizzazione che desiderano aggiungere in blocco all'organizzazione. Per ulteriori informazioni sulla creazione di account aziendali ArcGIS in blocco, consultare Aggiungere membri al portale. È inoltre possibile rimuovere membri dal Portale Web o modificarne i privilegi in qualsiasi momento.
In alternativa, è possibile aggiungere un account specifico dell'organizzazione che si connette automaticamente al portale o ad uno dei relativi elementi. Per ulteriori informazioni, consultare Registrazione automatica degli account specifici dell'organizzazione.
È importante sottolineare che quando il portale è configurato con un archivio identità specifico dell'organizzazione, l'accesso anonimo all'organizzazione ArcGIS risulta disabilitato; questo significa che tutti gli utenti che accedono al portale devono prima eseguire l'autenticazione con l'archivio identità. Una volta effettuata l'autenticazione, i privilegi dell'utente saranno diversi a seconda che dispongano o meno di un'account aziendale ArcGIS.
Legacy:
InPortal for ArcGIS 10.2, gli account specifici dell'organizzazione venivano automaticamente registrati come membri dell'organizzazione. Questo significa che l'organizzazione potrebbe aver superato il numero massimo di membri. Quando si aggiornaPortal for ArcGIS 10.2 a una versione successiva, il comportamento precedente persiste; gli account vengono ancora registrati automaticamente per impostazione predefinita. Al contrario, le nuove installazioni diPortal for ArcGIS non consentono la creazione automatica degli account. Se è stato effettuato l'aggiornamento del portale dalla versione 10.2 ad una versione successiva, è consigliabile disattivare questo comportamento per disporre di un maggiore controllo sull'aggiunta degli utenti come membri dell'organizzazione. Per informazioni dettagliate, consultare Registrazione automatica degli account specifici dell'organizzazione.
Criterio di blocco dell'account
Spesso i sistemi software applicano un criterio di blocco dell'account per garantire la protezione da tentativi automatici effettuati in massa per individuare la password di un utente. Se un utente effettua un certo numero di tentativi di accesso non riusciti in un determinato intervallo di tempo, a tale utente può essere negata la possibilità di effettuare ulteriori tentativi per un periodo di tempo designato. Questi criteri vengono applicati tenendo presente che a volte gli utenti dimenticano i propri nomi utente e password e non riescono ad effettuare l'accesso correttamente.
Il criterio di blocco forzato del portale dipende dal tipo di archivio identità in uso:
Archivio identità incorporato
L'archivio identità predefinito blocca un utente dopo cinque tentativi consecutivi non validi. Il blocco dura 15 minuti. Questo criterio si applica a tutti gli account nell'archivio identità, incluso l'account amministratore iniziale. Non è possibile modificare o sostituire questo criterio.
Archivio identità specifico dell'organizzazione
Quando si utilizza un archivio identità specifico dell'organizzazione, il criterio di blocco dell'account viene ereditato dall'archivio. È possibile modificare il criterio di blocco dell'account per l'archivio. Per informazioni su come modificare il criterio di blocco dell'account, consultare la documentazione specifica al tipo di archivio.