ArcGIS Enterprise 배포에서 보안 구성 방법을 결정하는 데 사용해야 하는 기본 요소는 포털의 사용자 원본, 그리고 필요한 경우 포털의 그룹입니다. 이 사용자 원본과 그룹을 ID 저장소라고 합니다. 내 기관의 내부 또는 외부 사용자와 그룹은 ID 저장소를 통해 관리됩니다.
ID 저장소 이해
포털의 ID 저장소(identity store)는 포털 계정의 자격 증명(credentials)이 저장되는 위치, 인증이 발생하는 방식, 그룹 멤버십이 관리되는 방식을 정의합니다. ArcGIS Enterprise 포털은 빌트인 및 기관별 ID 저장소 등 두 가지 ID 저장소 유형을 지원합니다.
빌트인 ID 저장소
구성원이 포털에서 계정과 그룹을 쉽게 생성할 수 있도록 ArcGIS Enterprise 포털을 구성할 수 있습니다. 활성화되면 포털 웹사이트 로그인 페이지에서 계정 생성 링크를 사용하여 포털에 빌트인 계정을 추가하고 기관에 콘텐츠를 제공하기 시작하거나 다른 구성원이 생성한 리소스에 접근할 수 있습니다. 이 방법으로 포털에서 계정 및 그룹을 생성함으로써 빌트인 ID 저장소를 활용하게 됩니다. 이는 인증을 수행하고 포털 계정 사용자 이름, 비밀번호, 역할, 그룹 멤버십 등을 저장합니다.
포털의 초기 관리자 계정을 생성할 때는 빌트인 ID 저장소를 사용해야 하지만 나중에 기관별 ID 저장소로 전환할 수 있습니다. 빌트인 ID 저장소는 포털을 시작하고 실행하는 데 유용하며 개발 및 테스트에도 유용합니다. 그러나 프로덕션 환경에서는 일반적으로 기관별 ID 저장소를 사용합니다.
기관별 ID 저장소
ArcGIS Enterprise 포털은 기관별 계정과 그룹을 사용하여 ArcGIS 기관에 대한 접속을 제어할 수 있도록 디자인되었습니다. 예를 들어 SAML(Security Assertion Markup Language) 2.0 Web Browser Single Sign-On을 지원하는 ID 공급자, LDAP(Lightweight Directory Access Protocol) 서버, 그리고 Active Directory 서버의 자격 증명을 사용하여 포털에 대한 접근을 제어할 수 있습니다. 이 문서에서는 이 프로세스를 기관별 로그인 설정이라고 부릅니다.
이 접근 방법의 장점은 포털에서 추가 계정을 생성할 필요가 없다는 것입니다. 구성원은 기관별 ID 저장소에 설정되어 있는 로그인을 사용합니다. 비밀번호 복잡성 및 만료에 대한 정책을 포함한 계정 자격 증명의 관리는 모두 포털 외부에서 이루어집니다. 이는 Single Sign On 환경을 가능하게 하므로 사용자가 자격 증명을 다시 입력할 필요가 없습니다.
마찬가지로, ID 저장소에 있는 기존 엔터프라이즈 그룹을 활용하여 포털 내에 그룹을 생성할 수 있습니다. 내 기관의 엔터프라이즈 그룹에서 기관별 계정을 일괄적으로 추가할 수도 있습니다. 구성원이 포털에 로그인한 경우 콘텐츠, 항목, 데이터에 대한 접근 권한은 엔터프라이즈 그룹에 정의된 멤버십 규칙에 의해 제어됩니다. 그룹 멤버십 관리는 모두 포털 외부에서 이루어집니다.
예를 들어 권장되는 방법은 포털에 대한 익명 접근을 비활성화하고 내 기관의 원하는 엔터프라이즈 그룹에 포털을 연결하며, 해당 그룹을 기반으로 기관별 계정을 추가하는 것입니다. 이러한 방식으로 내 기관의 특정 엔터프라이즈 그룹을 기반으로 포털에 대한 접근을 제한합니다.
내 기관이 비밀번호 만료 및 복잡성에 대한 정책을 설정하거나 기존 엔터프라이즈 그룹을 사용한 접근을 제어하거나 Windows 통합 인증(IWA) 또는 공개 키 기반 구조(PKI)를 통한 인증을 활용하려면 기관별 ID 저장소를 사용합니다. 인증은 웹 티어 수준(웹 티어 인증 사용), 포털-티어 수준(포털-티어 인증 사용) 또는 외부 ID 공급자(SAML 사용)를 통해 처리할 수 있습니다.
ArcGIS Enterprise는 Active Directory ID 저장소를 이용하여 포레스트가 하나만 있는 여러 도메인의 인증을 지원하지만, 포레스트 간 인증은 제공하지 않습니다. 여러 포레스트에서 기관별 사용자를 지원하려면 SAML 정보 조회 공급자가 필요합니다.
여러 ID 저장소 지원
SAML 2.0을 사용하면 여러 ID 저장소를 사용하여 포털에 대한 접근을 허용할 수 있습니다. 사용자는 빌트인 계정 및 SAML을 준수하고 서로를 신뢰하도록 구성된 여러 ID 공급자가 관리하는 계정으로 로그인할 수 있습니다. 이 방법은 내 기관 내부 또는 외부에 있는 사용자를 관리하기에 적합합니다. 자세한 내용은 포털에서 SAML을 준수하는 ID 공급자 구성을 참고하세요.
포털의 ID 저장소를 사용하여 빌트인 사용자 및 그룹 구성
빌트인 사용자 및 그룹을 사용할 경우 포털을 별도로 구성할 필요는 없습니다. 소프트웨어를 설치하는 즉시 빌트인 사용자 및 그룹을 사용할 수 있도록 포털이 준비됩니다. 기관별 사용자를 사용하는 경우 자세한 내용은 다음 섹션 및 관련 링크를 참고하세요.
기관별 로그인 구성
다음 기관별 ID 공급자는 포털에서 구성될 수 있습니다. 인증은 웹 티어(ArcGIS Web Adaptor 사용)나 포털 티어에서 처리할 수 있습니다.
웹 티어 인증
포털이 Windows 서버에서 실행되고 Windows Active Directory를 구성한 경우 Windows 통합 인증을 사용하여 포털에 연결할 수 있습니다. 이렇게 하면 웹 티어 인증을 통해 포털 사용자를 위한 자동 또는 Single Sign-On 환경이 만들어집니다. Windows 인증을 사용하려면 Microsoft의 IIS 웹서버에 Web Adaptor를 배포해야 합니다.
LDAP 디렉터리가 있는 경우 ArcGIS Enterprise 포털에서 사용할 수 있습니다. 자세한 내용은 포털에서 LDAP 및 웹티어 인증 사용을 참고하세요. LDAP를 사용하려면 Apache Tomcat, IBM WebSphere 또는 Oracle WebLogic과 같은 Java 응용프로그램 서버에 Web Adaptor를 배포합니다.
내 기관에 PKI가 있는 경우 인증서를 사용하여 HTTPS를 통한 포털과의 통신을 인증할 수 있습니다. 사용자 인증 시 Windows Active Directory 또는 LDAP(Lightweight Directory Access Protocol)를 사용할 수 있습니다. Windows 인증을 사용하려면 Microsoft의 IIS 웹서버에 Web Adaptor를 배포해야 합니다. LDAP를 사용하려면 Apache Tomcat, IBM WebSphere 또는 Oracle WebLogic과 같은 Java 응용프로그램 서버에 Web Adaptor를 배포해야 합니다. PKI를 사용할 때는 포털에 익명으로 접근할 수 없습니다.
포털 티어 인증
기관별 ID 저장소와 빌트인 ID 저장소를 모두 사용하여 포털에 접근을 허용하려면 포털 티어 인증을 사용하면 됩니다. 이는 Active Directory 또는 LDAP ID 저장소로 포털을 구성한 후 IIS 또는 Java 응용프로그램 서버에서 익명 접근을 활성화함으로써 수행됩니다. 사용자가 포털 로그인 페이지에 접근할 때 기관별 자격 증명이나 빌트인 자격 증명을 사용하여 로그인할 수 있게 됩니다. 기관별 사용자는 포털에 로그인할 때마다 계정 자격 증명을 입력해야 하고, 자동 또는 Single Sign-On을 사용할 수 없습니다. 또한 이러한 유형의 인증을 통해 익명 사용자가 모든 사용자와 공유되는 맵이나 기타 포털 리소스에 접근이 가능합니다.
포털-티어 인증을 사용하는 경우 구성원은 다음 구문을 사용하여 로그인합니다.
- Active Directory로 포털을 사용하는 경우 구문은 domain\username 또는 username@domain일 수 있습니다. 구성원이 로그인하는 방식과 관계없이, 사용자 이름은 포털 웹사이트에서 항상 username@domain으로 표시됩니다.
- LDAP로 포털을 사용하는 경우 구문은 항상 username입니다. 포털 웹사이트에서도 이 형식으로 계정을 보여 줍니다.
SAML을 사용한 기관별 로그인 구성
ArcGIS Enterprise 포털은 모든 SAML 준수 ID 공급자를 지원합니다. 다음 튜토리얼에서는 특정 일반 SAML 준수 ID 공급자를 포털에 구성하는 방법을 보여줍니다. 자세한 내용은 포털에서 SAML을 준수하는 ID 공급자 구성을 참고하세요.
계정 잠금 정책
소프트웨어 시스템은 종종 계정 잠금 정책을 시행하여 사용자의 비밀번호를 추측하기 위한 대량의 자동화된 시도로부터 시스템을 보호합니다. 사용자가 특정 시간 간격 내에 로그인을 일정 횟수만큼 실패할 경우, 시스템은 지정된 시간 동안 더 이상 시도할 수 없도록 거부할 수 있습니다. 이러한 정책은 때때로 사용자가 이름과 비밀번호를 잊어버려 로그인할 수 없게 되는 상황도 고려하였습니다.
시행되는 포털 잠금 정책은 사용 중인 ID 저장소 유형에 따라 다릅니다.
빌트인 ID 저장소
5회 연속으로 잘못된 시도를 하면 빌트인 ID 저장소가 잠깁니다. 잠금 상태는 15분간 지속됩니다. 이 정책은 초기 관리자 계정을 포함하여 ID 저장소의 모든 계정에 적용됩니다. 이 정책은 수정하거나 바꿀 수 없습니다.
기관별 ID 저장소
기관별 ID 저장소를 사용하는 경우 계정 잠금 정책은 저장소에서 상속됩니다. 이 저장소에 대한 계정 잠금 정책을 수정할 수 있습니다. 계정 잠금 정책을 변경하는 방법을 알아보려면 저장소 유형별 문서를 참고하세요.
실패한 로그인 시도 모니터링
Portal Directory에서 포털 로그인을 보고 실패한 로그인 시도를 모니터링할 수 있습니다. 실패한 모든 시도에 대해 잘못된 사용자 이름 또는 비밀번호의 조합으로 인해 로그인에 실패했다는 내용의 경고 수준 메시지가 나타납니다. 최대 로그인 시도 횟수를 초과하는 경우 계정이 잠겼다는 심각한 수준 메시지가 기록됩니다. 포털에서 실패한 로그인 시도를 모니터링하면 시스템에 잠재적인 암호 공격이 있는지 파악하는 데 도움이 됩니다.
자세한 내용은 포털 로그 사용을 참고하세요.