일부 시나리오에서는 Portal for ArcGIS가 프록시 서버 역할을 합니다. 이 기능은 다음과 같은 상황에서 사용됩니다.
- 포털과 다른 도메인에서 리소스에 접근하려고 하는데 CORS(Cross Origin Resource Sharing)를 지원하지 않습니다. CORS는 웹 서버와 웹 브라우저가 상호 작용하고 교차 원본 요청이 허용되어야 하는지를 결정할 수 있게 해주는 사양입니다.
- 다른 사용자와 보안 리소스를 공유하려고 하지만, 리소스에 접근하는 데 필요한 사용자 자격 증명을 숨기고 싶습니다.
기본 설정에 따라 포털의 프록시 기능에는 제한이 없습니다. 이로 인해 포털은 포털 머신이 접근할 수 있는 모든 머신에 대해 DoS(Denial of Service) 또는 SSRF(Server Side Request Forgery) 공격이 시작되는 데 악용될 수 있습니다. 이러한 잠재적인 취약점을 완화하려면, 승인된 웹 주소 목록을 정의하여 포털의 프록시 기능을 제한하는 것을 권장합니다. Portal for ArcGIS가 목록에 있는 주소로만 요청을 프록시하게 되며 나머지 모두는 차단됩니다. ArcGIS Server를 포털과 페더레이션한 경우, 목록은 사이트에 모든 머신의 주소뿐만 아니라 포털에서 항목으로 공유되는 모든 리소스를 포함해야 합니다.
승인된 주소 목록을 정의하려면 아래 단계를 따르세요.
- 웹 브라우저를 열고 ArcGIS Portal Directory에 내 기관의 관리자 권한으로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > 구성 > 보안 구성 업데이트를 클릭합니다.
- 구성 필드에서 allowedProxyHosts 등록정보를 추가하고 승인된 주소의 목록을 지정합니다. 예를 들면 다음과 같습니다.
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false, "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
비고:
(.*).domain.com 형식을 사용하여 지정한 도메인 내의 모든 머신에 프록시 요청을 허용합니다. 신중하게 와일드카드(*)를 사용합니다. 권한 없는 사용자가 제한된 머신에 실수로 접근 권한을 부여할 수도 있습니다.
- 구성 업데이트를 클릭합니다.