Głównym czynnikiem, który należy uwzględnić przy konfiguracji zabezpieczeń we wdrożeniu oprogramowania Portal for ArcGIS, jest źródło użytkowników portalu oraz opcjonalnie grupy w portalu użytkownika. To źródło użytkowników i grup jest nazywane magazynem tożsamości. Użytkownicy i grupy z Twojej instytucji oraz spoza niej są zarządzani za pośrednictwem magazynu tożsamości.
- Magazyny tożsamości
- Konfiguracja wbudowanych użytkowników przy użyciu magazynu tożsamości portalu
- Konfiguracja loginów korporacyjnych przy użyciu uwierzytelniania w warstwie internetowej
- Konfiguracja loginów korporacyjnych za pośrednictwem protokołu SAML
Magazyny tożsamości
Magazyn tożsamości określa, gdzie są przechowywane poświadczenia kont portalu, jak odbywa się uwierzytelnianie i jak przebiega zarządzanie członkostwem w grupie. Portal ArcGIS Enterprise obsługuje dwa typy magazynów tożsamości: wbudowany i korporacyjny.
Wbudowany magazyn tożsamości
Portal ArcGIS Enterprise może zostać skonfigurowany w taki sposób, aby zezwolić członkom na łatwe tworzenie w nim kont i grup. Jeśli łącze Utwórz konto w witrynie Logowanie portalu jest włączone, można za jego pomocą dodać do portalu wbudowane konto i zacząć przesyłać zasoby do instytucji lub uzyskiwać dostęp do zasobów utworzonych przez innych członków. Można także kliknąć kartę Grupy na stronie głównej portalu i utworzyć grupę w celu zarządzania elementami. Podczas tworzenia w ten sposób kont i grup w portalu używany jest wbudowany magazyn tożsamości, który dokonuje uwierzytelnienia i w którym przechowywane są nazwy użytkowników kont portalu, ich hasła, role i informacje o członkostwie w grupach.
Aby utworzyć początkowe konto administratora portalu, należy skorzystać z wbudowanego magazynu tożsamości, ale później można przełączyć się na korporacyjny magazyn tożsamości. Wbudowany magazyn tożsamości jest użyteczny do uruchamiania portalu, a także do jego wdrażania i testowania. Jednak w środowiskach produkcyjnych zazwyczaj wykorzystywany jest korporacyjny magazyn tożsamości.
Korporacyjny magazyn tożsamości
Portal ArcGIS Enterprise zaprojektowano tak, aby można było korzystać z kont i grup korporacyjnych w celu kontrolowania dostępu do instytucji ArcGIS. Na przykład można kontrolować dostęp do portalu za pomocą poświadczeń serwera protokołu LDAP (ang. Lightweight Directory Access Protocol) i dostawców tożsamości obsługujących protokół logowania jednokrotnego Security Assertion Markup Language (SAML) 2.0 Web Single Sign On. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów korporacyjnych.
Zaletą tego podejścia jest brak konieczności tworzenia dodatkowych kont w ramach portalu. Członkowie używają loginu, który jest już skonfigurowany w korporacyjnym magazynie tożsamości. Zarządzanie poświadczeniami kont odbywa się całkowicie na zewnątrz portalu. Pozwala to na logowanie jednokrotne, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich poświadczeń.
Podobnie można także tworzyć grupy w portalu wykorzystujące istniejące w Twoim magazynie tożsamości grupy korporacyjne. Dodatkowo konta korporacyjne można dodawać zbiorczo z grup korporacyjnych w instytucji. Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie firmy. Zarządzanie członkostwem w grupach odbywa się całkowicie na zewnątrz portalu.
Na przykład zalecaną praktyką jest wyłączenie dostępu anonimowego do portalu użytkownika, połączenie portalu z odpowiednimi grupami korporacyjnymi w instytucji i dodanie kont korporacyjnych opartych na tych grupach. W ten sposób dostęp do portalu zostaje ograniczony do określonych grup korporacyjnych w ramach instytucji.
Korporacyjnego magazynu tożsamości należy użyć, jeśli instytucja chce skonfigurować zasady dotyczące wygasania i złożoności hasła, kontrolować dostęp za pomocą istniejących grup korporacyjnych albo wykorzystać LDAP lub infrastrukturę kluczy publicznych (PKI). Uwierzytelnianie może być obsługiwane w warstwie internetowej (używanie uwierzytelniania w warstwie internetowej), w warstwie portalu (używanie uwierzytelniania w warstwie portalu) lub za pośrednictwem zewnętrznego dostawcy tożsamości (używanie protokołu SAML).
Obsługa wielu magazynów tożsamości
Używanie protokołu SAML 2.0 pozwala na udzielanie dostępu do portalu przy użyciu wielu magazynów tożsamości. Użytkownicy mają możliwość logowania się poprzez wbudowane konta lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML skonfigurowane jako zaufane. Jest to dobry sposób na zarządzanie użytkownikami wywodzącymi się z instytucji użytkownika oraz spoza niej. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
Konfiguracja wbudowanych użytkowników i grup przy użyciu magazynu tożsamości portalu
W przypadku wbudowanych użytkowników i grup nie ma potrzeby konfiguracji portalu: portal jest gotowy dla wbudowanych użytkowników i grup natychmiast po zainstalowaniu oprogramowania. W przypadku użytkowników korporacyjnych należy zapoznać się z poniższymi tematami oraz powiązanymi łączami zawierającymi dodatkowe informacje.
Konfigurowanie korporacyjnych loginów
W portalu można skonfigurować następujących korporacyjnych dostawców tożsamości. Uwierzytelnianie może być obsługiwane w warstwie internetowej (przy użyciu aplikacji ArcGIS Web Adaptor) lub w warstwie portalu.
Uwierzytelnianie w warstwie internetowej
Jeśli masz katalog LDAP, możesz go użyć z portalem ArcGIS Enterprise. W celu uzyskania dalszych informacji zapoznaj się z tematem Korzystanie z portalu z uwierzytelnianiem LDAP oraz uwierzytelnianiem w warstwie internetowej. Aby umożliwić korzystanie z protokołu LDAP, program Web Adaptor powinien być uruchomiony na serwerze aplikacji Java, takim jak Apache Tomcat, IBM WebSphere lub Oracle WebLogic.
Jeśli instytucja korzysta z infrastruktury PKI, uwierzytelnianie komunikacji z portalem może się odbywać za pomocą certyfikatów protokołu HTTPS. Nie jest możliwe włączenie anonimowego dostępu do portalu, jeśli korzysta się z infrastruktury PKI. W celu uzyskania dalszych informacji zapoznaj się z tematem Zabezpieczanie dostępu do portalu za pomocą protokołu LDAP i infrastruktury PKI.
Uwierzytelnianie w warstwie portalu
Jeśli chcesz umożliwić dostęp do swojego portalu za pośrednictwem zarówno wbudowanych, jak i korporacyjnych magazynów tożsamości bez korzystania z protokołu SAML, możesz skorzystać z uwierzytelniania w warstwie portalu. W tym celu należy skonfigurować portal tak, aby używał magazynu tożsamości korzystającego z protokołu LDAP, następnie należy włączyć anonimowy dostęp na serwerze aplikacji Java. Użytkownik, po otwarciu strony logowania portalu, może wybrać logowanie przy użyciu poświadczeń korporacyjnych lub wbudowanych. Użytkownicy korporacyjni będą musieli wprowadzać swoje poświadczenia każdorazowo podczas logowania się w portalu. Nie mogą oni korzystać z logowania automatycznego lub jednokrotnego. Ten rodzaj uwierzytelniania umożliwia również użytkownikom anonimowym dostęp do map i innych zasobów portalu udostępnionych wszystkim użytkownikom.
Członkowie korporacji korzystający z uwierzytelnienia w warstwie portalu logują się, stosując następującą składnię:
- Jeśli w portalu używana jest usługa Active Directory, składnia może mieć postać domain\username lub username@domain. Nienależnie od sposobu logowania się użytkownika nazwa użytkownika wyświetlana w witrynie portalu zawsze ma postać username@domain.
- Przy korzystaniu z portalu przy użyciu protokołu LDAP, składnia zawsze ma postać username. Konto jest wyświetlane w witrynie portalu także w tym formacie.
Konfiguracja loginów korporacyjnych za pośrednictwem protokołu SAML
Portal ArcGIS Enterprise obsługuje wszystkich dostawców tożsamości zgodnych z protokołem SAML. W poniższych samouczkach przedstawiono sposób konfigurowania w portalu niektórych często spotykanych dostawców tożsamości zgodnych z protokołem SAML. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
Zasady blokowania dostępu do konta
Systemy oprogramowania często wymuszają swoje zasady blokowania dostępu do konta w celu ochrony przed próbami masowego automatycznego odgadywania haseł użytkowników. Jeśli użytkownik dokona pewnej liczby nieudanych prób logowania w określonym przedziale czasu, dalsze próby logowania mogą zostać zablokowane na określony czas. Zasady te uwzględniają możliwość, że użytkownicy mogą czasami zapomnieć nazwy i hasła i w związku z tym ich próby zalogowania się kończą się niepowodzeniem.
Zasady blokowania dostępu do konta wymuszane przez oprogramowanie Portal for ArcGIS zależą od typu używanego magazynu tożsamości:
Wbudowany magazyn tożsamości
Wbudowany magazyn tożsamości blokuje użytkownika po pięciu kolejnych nieprawidłowych próbach. Blokada jest utrzymywana przez piętnaście minut. Te zasady są stosowane do wszystkich kont w magazynie tożsamości, włącznie z początkowym kontem administratora. Zasad tych nie można zmienić ani usunąć.
Korporacyjny magazyn tożsamości
W przypadku korzystania z korporacyjnego magazynu tożsamości zasady blokowania konta są dziedziczone z zasad obowiązujących dla tego magazynu. Istnieje możliwość modyfikacji zasad blokowania konta dla tego magazynu. Zapoznaj się z dokumentacją odnoszącą się do określonego typu magazynu, aby dowiedzieć się, jak zmienić jego zasady blokowania konta.
Monitorowanie prób błędnego logowania
Istnieje możliwość monitorowania prób błędnego logowania poprzez przeglądanie dzienników portalu obecnych w katalogu Portal Directory. Wszelkie nieudane próby powodują zapisanie komunikatu ostrzegawczego informującego, że użytkownik nie mógł się zalogować z powodu podania nieprawidłowej kombinacji nazwy użytkownika i hasła. Po przekroczeniu przez użytkownika maksymalnej liczby prób logowania w dzienniku zostanie zapisany komunikat o zablokowaniu konta (komunikat o poziomie Poważny). Monitorowanie dzienników portalu pod kątem nieudanych prób logowania umożliwia zorientowanie się, że być może w systemie dochodzi do ataków mających na celu rozpoznanie hasła.
Dalsze informacje przedstawiono w temacie Praca z dziennikami portalu.