ArcGIS Enterprise 배포 계획의 주요 측면 중 하나는 포털에 접근할 계정을 관리하는 방법과 계정에 부여된 권한을 결정하는 것입니다. 계정 관리 방법을 결정하는 것은 ID 저장소를 선택하는 것과 관련됩니다.
ID 저장소 이해
포털의 ID 저장소(identity store)는 포털 계정의 자격 증명(credentials)이 저장되는 위치, 인증이 발생하는 방식, 그룹 멤버십이 관리되는 방식을 정의합니다. ArcGIS Enterprise 포털은 빌트인 및 기관별 ID 저장소 등 두 가지 ID 저장소 유형을 지원합니다.
빌트인 ID 저장소
구성원이 포털에서 계정과 그룹을 쉽게 생성할 수 있도록 ArcGIS Enterprise 포털을 구성할 수 있습니다. 활성화되면 포털 웹사이트 로그인 페이지에서 계정 생성 링크를 사용하여 포털에 빌트인 계정을 추가하고 기관에 콘텐츠를 제공하기 시작하거나 다른 구성원이 생성한 리소스에 접근할 수 있습니다. 이 방법으로 포털에서 계정 및 그룹을 생성함으로써 빌트인 ID 저장소를 활용하게 됩니다. 이는 인증을 수행하고 포털 계정 사용자 이름, 비밀번호, 역할, 그룹 멤버십 등을 저장합니다.
포털의 초기 관리자 계정을 생성할 때는 빌트인 ID 저장소를 사용해야 하지만 나중에 기관별 ID 저장소로 전환할 수 있습니다. 빌트인 ID 저장소는 포털을 시작하고 실행하는 데 유용하며 개발 및 테스트에도 유용합니다. 그러나 프로덕션 환경에서는 일반적으로 기관별 ID 저장소를 사용합니다.
기관별 ID 저장소
ArcGIS Enterprise 포털은 기관별 계정과 그룹을 사용하여 ArcGIS 기관에 대한 접속을 제어할 수 있도록 디자인되었습니다. 예를 들어 SAML(Security Assertion Markup Language) 2.0 Web Browser Single Sign-On을 지원하는 ID 공급자, LDAP(Lightweight Directory Access Protocol) 서버, 그리고 Active Directory 서버의 자격 증명을 사용하여 포털에 대한 접근을 제어할 수 있습니다. 이 문서에서는 이 프로세스를 기관별 로그인 설정이라고 부릅니다.
이 접근 방법의 장점은 포털에서 추가 계정을 생성할 필요가 없다는 것입니다. 구성원은 기관별 ID 저장소에 설정되어 있는 로그인을 사용합니다. 비밀번호 복잡성 및 만료에 대한 정책을 포함한 계정 자격 증명의 관리는 모두 포털 외부에서 이루어집니다. 이는 Single Sign On 환경을 가능하게 하므로 사용자가 자격 증명을 다시 입력할 필요가 없습니다.
마찬가지로, ID 저장소에 있는 기존 엔터프라이즈 그룹을 활용하여 포털 내에 그룹을 생성할 수 있습니다. 내 기관의 엔터프라이즈 그룹에서 기관별 계정을 일괄적으로 추가할 수도 있습니다. 구성원이 포털에 로그인한 경우 콘텐츠, 항목, 데이터에 대한 접근 권한은 엔터프라이즈 그룹에 정의된 멤버십 규칙에 의해 제어됩니다. 그룹 멤버십 관리는 모두 포털 외부에서 이루어집니다.
예를 들어 권장되는 방법은 포털에 대한 익명 접근을 비활성화하고 내 기관의 원하는 엔터프라이즈 그룹에 포털을 연결하며, 해당 그룹을 기반으로 기관별 계정을 추가하는 것입니다. 이러한 방식으로 내 기관의 특정 엔터프라이즈 그룹을 기반으로 포털에 대한 접근을 제한합니다.
내 기관이 비밀번호 만료 및 복잡성에 대한 정책을 설정하거나 기존 엔터프라이즈 그룹을 사용한 접근을 제어하거나 Windows 통합 인증(IWA) 또는 공개 키 기반 구조(PKI)를 통한 인증을 활용하려면 기관별 ID 저장소를 사용합니다. 인증은 웹 티어 수준(웹 티어 인증 사용), 포털-티어 수준(포털-티어 인증 사용) 또는 외부 ID 공급자(SAML 사용)를 통해 처리할 수 있습니다.
ArcGIS Enterprise는 Active Directory ID 저장소를 이용하여 포레스트가 하나만 있는 여러 도메인의 인증을 지원하지만, 포레스트 간 인증은 제공하지 않습니다. 여러 포레스트에서 기관별 사용자를 지원하려면 SAML 정보 조회 공급자가 필요합니다.
여러 ID 저장소 지원
SAML 2.0을 사용하면 여러 ID 저장소를 사용하여 포털에 대한 접근을 허용할 수 있습니다. 사용자는 빌트인 계정 및 SAML을 준수하고 서로를 신뢰하도록 구성된 여러 ID 공급자가 관리하는 계정으로 로그인할 수 있습니다. 이 방법은 내 기관 내부 또는 외부에 있는 사용자를 관리하기에 적합합니다. 자세한 내용은 포털에서 SAML을 준수하는 ID 공급자 구성을 참고하세요.
접근 권한 이해
계정이 ArcGIS Enterprise에서 관리되는 방식을 결정한 후에는 ArcGIS 기관에 접근하는 사용자에 대해 원하는 권한을 결정해야 합니다. 권한은 포털에 접근하는 사용자가 ArcGIS 기관의 구성원인지 여부에 따라 정의됩니다.
ArcGIS 기관 계정 없이 포털에 접근하는 사용자는 공용 항목만 검색하고 사용할 수 있습니다. 예를 들어 공용 웹 맵이 웹사이트에 임베드된 경우 맵을 나타낸 사용자는 계정이 없는 경우에도 포털의 항목에 접근할 수 있습니다. 이 유형의 접근 권한을 사용할지 여부는 관리자가 결정합니다. ArcGIS 기관에 속하지 않은 사용자에 대한 접근을 언제든지 비활성화할 수 있습니다. 이 작업 방법에 대한 자세한 내용은 익명 접근 금지를 참고하세요.
사용자는 ArcGIS 기관의 구성원인 경우 상승된 권한으로 포털에 접근할 수 있습니다. ArcGIS 기관의 구성원은 포털 웹사이트의 기관 페이지에 나와 있습니다. 기관 구성원은 권한이 서로 다른 여러 역할에 해당하는 사용자 유형으로 구성됩니다. 자세한 내용은 사용자 유형, 역할, 권한을 참고하세요.
새 ArcGIS 기관 계정이 포털에 추가된 경우 기본 설정에 따라 사용자 역할이 부여됩니다. 그러나 포털 관리자는 언제든지 해당 역할을 변경할 수 있습니다.
ArcGIS 기관 계정 관리
ArcGIS 기관 계정은 포털 웹사이트의 기관 패널에 추가된 사용자 계정입니다. 포털 웹사이트의 UX와 설명서에서 이러한 사용자는 일반적으로 기관의 구성원을 의미합니다.
관리자는 ArcGIS 기관의 각 구성원에게 부여된 권한뿐 아니라 그 각각의 구성원으로 허용된 사용자에게 부여된 권한에 대한 모든 권한을 가집니다.
포털에서 허용되는 ArcGIS 기관 계정의 최대 수는 포털에 라이선스를 부여하는 데 사용한 라이선스 파일을 통해 정의됩니다. 포털 웹사이트의 기관 페이지에 있는 오버뷰 또는 라이선스 탭에서 사용자 유형이 배정된 총 구성원 수와 남아 있는 사용 가능한 사용자 유형 라이선스 수를 언제든지 비교할 수 있습니다. 오버뷰 탭의 구성원 오버뷰에서 배정된 라이선스 수와 사용 가능한 라이선스 수를 확인할 수 있습니다. 라이선스 탭의 사용자 유형 탭에서는 사용자 유형별 배정된 라이선스와 사용 가능한 라이선스를 볼 수 있습니다.
빌트인 저장소를 사용하여 계정 관리
빌트인 저장소를 사용할 경우 모든 사용자가 ArcGIS 기관에 가입하는 데 사용할 수 있는 링크를 표시하도록 포털 웹사이트를 구성할 수 있습니다. 이를 통해 사용자는 기관에 쉽게 가입할 수 있지만 가입하는 대상을 실제로 제한할 수는 없습니다. 포털에 접근하는 누구나 계정을 생성할 수 있습니다. 제어를 강화하려면 이 셀프 서비스 환경을 비활성화하고 포털에 미리 정의된 수의 계정을 일괄적으로 프로비전하면 됩니다. ArcGIS 기관 계정을 일괄적으로 생성하는 방법은 포털에 구성원 추가를 참고하세요. 또한 언제든지 포털 웹 사이트에서 구성원을 제거하거나 해당 권한을 변경할 수 있습니다.
기관별 ID 저장소를 사용하여 계정 관리
ArcGIS Enterprise 포털에서는 사용자가 ID 저장소에서 새 계정을 삭제, 편집, 생성할 수 없지만 기관의 기존 기관별 계정 등록은 허용됩니다. 따라서 포털에서 기관별 ID 저장소를 구성할 때 포털 웹사이트의 등록 페이지가 제공되지 않습니다.
관리자는 일반적으로 기관에 추가할 기관별 로그인을 선택하여 일괄적으로 추가합니다. ArcGIS 기관 계정을 일괄적으로 생성하는 방법은 포털에 구성원 추가를 참고하세요. 또한 언제든지 포털 웹사이트에서 구성원을 제거하거나 해당 권한을 변경할 수 있습니다.
또는 포털이나 포털 항목에 연결된 기관별 계정을 자동으로 추가할 수 있습니다. 자세한 내용은 기관별 계정 자동 등록을 참고하세요.
기관별 ID 저장소를 사용하도록 포털을 구성한 경우 ArcGIS 기관에 대한 익명 접근이 금지된다는 사실을 이해해야 합니다. 즉, 포털에 접근하는 모든 사용자는 먼저 ID 저장소에 대해 인증을 받아야 합니다. 인증되면 사용자의 권한은 ArcGIS 기관 계정이 있는지 여부에 따라 결정됩니다.
레거시:
Portal for ArcGIS 10.2에서는 기관별 계정이 기관의 구성원으로 자동 등록되었습니다. 따라서 의도치 않게 기관이 최대 구성원 수를 초과했을 수 있습니다. Portal for ArcGIS 10.2를 이후 버전으로 업그레이드하는 경우에는 기존 동작이 유지됩니다. 즉, 계정이 기본 설정에 따라 계속해서 자동 등록됩니다. 반대로, Portal for ArcGIS를 새로 설치할 때는 자동 계정 생성이 허용되지 않습니다. 포털을 10.2에서 이후 버전으로 업그레이드한 경우 기관에 구성원으로 추가되는 사용자에 대한 제어를 강화하기 위해 이 동작을 끄는 것을 고려해 볼 수 있습니다. 전체 지침은 기관별 계정 자동 등록을 참고하세요.
계정 잠금 정책
소프트웨어 시스템은 종종 계정 잠금 정책을 시행하여 사용자의 비밀번호를 추측하기 위한 대량의 자동화된 시도로부터 시스템을 보호합니다. 사용자가 특정 시간 간격 내에 로그인을 일정 횟수만큼 실패할 경우, 시스템은 지정된 시간 동안 더 이상 시도할 수 없도록 거부할 수 있습니다. 이러한 정책은 때때로 사용자가 이름과 비밀번호를 잊어버려 로그인할 수 없게 되는 상황도 고려하였습니다.
시행되는 포털 잠금 정책은 사용 중인 ID 저장소 유형에 따라 다릅니다.
빌트인 ID 저장소
5회 연속으로 잘못된 시도를 하면 빌트인 ID 저장소가 잠깁니다. 잠금 상태는 15분간 지속됩니다. 이 정책은 초기 관리자 계정을 포함하여 ID 저장소의 모든 계정에 적용됩니다. 이 정책은 수정하거나 바꿀 수 없습니다.
기관별 ID 저장소
기관별 ID 저장소를 사용하는 경우 계정 잠금 정책은 저장소에서 상속됩니다. 이 저장소에 대한 계정 잠금 정책을 수정할 수 있습니다. 계정 잠금 정책을 변경하는 방법을 알아보려면 저장소 유형별 문서를 참고하세요.