Jednym z najważniejszych aspektów planowania wdrożenia ArcGIS Enterprise jest podjęcie decyzji, jak zarządzać kontami, które będą uzyskiwać dostęp do portalu i jakie nadawać im uprawnienia. Ustalenie, jak odbywać się będzie zarządzanie kontami, jest kwestią wyboru magazynu tożsamości.
Magazyny tożsamości
Magazyn tożsamości określa, gdzie są przechowywane poświadczenia kont portalu, jak odbywa się uwierzytelnianie i jak przebiega zarządzanie członkostwem w grupie. Portal ArcGIS Enterprise obsługuje dwa typy magazynów tożsamości: wbudowany i korporacyjny.
Wbudowany magazyn tożsamości
Portal ArcGIS Enterprise może zostać skonfigurowany w taki sposób, aby zezwolić członkom na łatwe tworzenie w nim kont i grup. Jeśli łącze Utwórz konto w witrynie Logowanie portalu jest włączone, można za jego pomocą dodać do portalu wbudowane konto i zacząć przesyłać zasoby do instytucji lub uzyskiwać dostęp do zasobów utworzonych przez innych członków. Można także kliknąć kartę Grupy na stronie głównej portalu i utworzyć grupę w celu zarządzania elementami. Podczas tworzenia w ten sposób kont i grup w portalu używany jest wbudowany magazyn tożsamości, który dokonuje uwierzytelnienia i w którym przechowywane są nazwy użytkowników kont portalu, ich hasła, role i informacje o członkostwie w grupach.
Aby utworzyć początkowe konto administratora portalu, należy skorzystać z wbudowanego magazynu tożsamości, ale później można przełączyć się na korporacyjny magazyn tożsamości. Wbudowany magazyn tożsamości jest użyteczny do uruchamiania portalu, a także do jego wdrażania i testowania. Jednak w środowiskach produkcyjnych zazwyczaj wykorzystywany jest korporacyjny magazyn tożsamości.
Korporacyjny magazyn tożsamości
Portal ArcGIS Enterprise zaprojektowano tak, aby można było korzystać z kont i grup korporacyjnych w celu kontrolowania dostępu do instytucji ArcGIS. Na przykład można kontrolować dostęp do portalu za pomocą poświadczeń serwera protokołu LDAP (ang. Lightweight Directory Access Protocol) i dostawców tożsamości obsługujących protokół logowania jednokrotnego Security Assertion Markup Language (SAML) 2.0 Web Single Sign On. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów korporacyjnych.
Zaletą tego podejścia jest brak konieczności tworzenia dodatkowych kont w ramach portalu. Członkowie używają loginu, który jest już skonfigurowany w korporacyjnym magazynie tożsamości. Zarządzanie poświadczeniami kont odbywa się całkowicie na zewnątrz portalu. Pozwala to na logowanie jednokrotne, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich poświadczeń.
Podobnie można także tworzyć grupy w portalu wykorzystujące istniejące w Twoim magazynie tożsamości grupy korporacyjne. Dodatkowo konta korporacyjne można dodawać zbiorczo z grup korporacyjnych w instytucji. Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie firmy. Zarządzanie członkostwem w grupach odbywa się całkowicie na zewnątrz portalu.
Na przykład zalecaną praktyką jest wyłączenie dostępu anonimowego do portalu użytkownika, połączenie portalu z odpowiednimi grupami korporacyjnymi w instytucji i dodanie kont korporacyjnych opartych na tych grupach. W ten sposób dostęp do portalu zostaje ograniczony do określonych grup korporacyjnych w ramach instytucji.
Korporacyjnego magazynu tożsamości należy użyć, jeśli instytucja chce skonfigurować zasady dotyczące wygasania i złożoności hasła, kontrolować dostęp za pomocą istniejących grup korporacyjnych albo wykorzystać LDAP lub infrastrukturę kluczy publicznych (PKI). Uwierzytelnianie może być obsługiwane w warstwie internetowej (używanie uwierzytelniania w warstwie internetowej), w warstwie portalu (używanie uwierzytelniania w warstwie portalu) lub za pośrednictwem zewnętrznego dostawcy tożsamości (używanie protokołu SAML).
Obsługa wielu magazynów tożsamości
Używanie protokołu SAML 2.0 pozwala na udzielanie dostępu do portalu przy użyciu wielu magazynów tożsamości. Użytkownicy mają możliwość logowania się poprzez wbudowane konta lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML skonfigurowane jako zaufane. Jest to dobry sposób na zarządzanie użytkownikami wywodzącymi się z instytucji użytkownika oraz spoza niej. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
Uprawnienia dostępu
Po podjęciu decyzji odnośnie do sposobu zarządzania kontami w ArcGIS Enterprise należy podjąć decyzję, jakie uprawnienia mają mieć użytkownicy uzyskujący dostęp do instytucji ArcGIS. Uprawnienia są definiowane w oparciu o przynależność do instytucji ArcGIS użytkownika uzyskującego dostęp do portalu.
Użytkownicy, którzy nie posiadają konta instytucji ArcGIS, uzyskując dostęp do portalu, mogą wyszukiwać tylko publiczne elementy i z nich korzystać. Na przykład, jeśli na stronie internetowej jest osadzona publiczna mapa internetowa, oglądający ją użytkownicy będą korzystali z elementu portalu, nawet jeśli nie mają konta. Możesz określić, czy ten typ dostępu będzie dozwolony. Dostęp dla osób, które nie należą do instytucji ArcGIS, zawsze można wyłączyć. Aby dowiedzieć się więcej, należy zapoznać się z tematem Wyłączanie dostępu anonimowego.
Użytkownicy mogą uzyskać dostęp do portalu z podwyższonymi uprawnieniami, jeżeli należą do instytucji ArcGIS. Lista członków instytucji ArcGIS jest widoczna na stronie Instytucja witryny portalu. Członkowie instytucji są posegregowani według typów użytkowników odpowiadających szeregowi ról z różnymi uprawnieniami. Więcej informacji można znaleźć w temacie Typy użytkowników, role i uprawnienia.
Kiedy do portalu zostanie dodane nowe konto instytucji ArcGIS, domyślnie zostanie przyznana mu rola użytkownika. Jednakże administrator portalu może w każdej chwili zmienić tę rolę.
Zarządzanie kontami instytucji ArcGIS
Konto instytucji ArcGIS jest kontem użytkownika, które zostało dodane do panelu instytucji w portalu. W całej dokumentacji i interfejsie użytkownika witryny portalu użytkownicy ci są zazwyczaj określani jako członkowie instytucji.
Administrator musi w pełni kontrolować uprawnienia przyznane każdemu z członków instytucji ArcGIS oraz mieć możliwość decydowania, kto może być jej członkiem.
Maksymalna liczba kont w instytucji ArcGIS w danym portalu jest zdefiniowana w pliku autoryzacji użytym do aktywacji oprogramowania. W dowolnym momencie na stronie Instytucja witryny portalu można porównać łączną liczbę członków instytucji z maksymalną dozwoloną. W sekcji Wszyscy członkowie, Aktualna liczba przedstawia aktualną liczbę członków portalu, a Dozwolone maksymalnie przedstawia łączną liczbę członków, dla jakiej portal ma autoryzację.
Zarządzanie kontami podczas korzystania z magazynu wbudowanego
Podczas korzystania z magazynu wbudowanego można skonfigurować witrynę internetową portalu w taki sposób, aby wyświetlała łącze umożliwiające każdemu użytkownikowi dołączenie do instytucji ArcGIS. Umożliwia ono przyłączenie się do instytucji, ale nie pozwala na ograniczenie dostępu. Każdy z dostępem do portalu może utworzyć konto. Aby mieć większą kontrolę, możesz wyłączyć ten interfejs do samodzielnej obsługi i udostępnić portal grupowo ze wstępnie ustaloną liczbą kont. Aby dowiedzieć się więcej o grupowym tworzeniu kont instytucji w systemie ArcGIS, zapoznaj się z tematem Dodawanie użytkowników do portalu. W każdej chwili możesz również usunąć konta użytkowników z witryny portalu lub zmienić ich uprawnienia.
Zarządzanie kontami podczas korzystania z korporacyjnego magazynu tożsamości
Portal ArcGIS Enterprise nie umożliwi usuwania, edycji ani tworzenia nowych kont w magazynie korporacyjnym, ale możesz rejestrować istniejące konta korporacyjne w instytucji. Z tego powodu strona rejestracji w portalu nie będzie dostępna podczas konfigurowania portalu do korzystania z korporacyjnego magazynu tożsamości.
Administrator zazwyczaj wybiera korporacyjne dane logowania, które chce dodać do instytucji, i dodaje je grupowo. Aby dowiedzieć się więcej na temat grupowego tworzenia kont instytucji w systemie ArcGIS, przejdź do sekcji Dodawanie użytkowników do portalu. W każdej chwili możesz również usunąć konta użytkowników z witryny portalu lub zmienić ich uprawnienia.
Ewentualnie możesz dodać dowolne konto korporacyjne, które automatycznie łączy się z portalem lub dowolnym jego elementem. Więcej informacji zawiera temat Automatyczna rejestracja kont korporacyjnych.
Ważne jest, aby zrozumieć, że gdy portal jest skonfigurowany do korzystania z korporacyjnego magazynu tożsamości, anonimowy dostęp do instytucji w systemie ArcGIS jest wyłączony. Innymi słowy, każdy użytkownik korzystający z portalu musi najpierw zostać uwierzytelniony w magazynie korporacyjnym. Po uwierzytelnieniu uprawnienia użytkownika zostaną określone na podstawie tego, czy ma on konto instytucji ArcGIS.
Wcześniejsze:
W oprogramowaniu Portal for ArcGIS 10.2 konta korporacyjne zostały automatycznie zarejestrowane jako członkowie instytucji. Oznacza to, że instytucja mogła w sposób niezamierzony przekroczyć maksymalną liczbę członków. Aktualizacja oprogramowania Portal for ArcGIS 10.2 nie powoduje zmiany skonfigurowanych zachowań. Konta nadal będą domyślnie rejestrowane automatycznie. Odwrotnie jest w przypadku nowych instalacji oprogramowania Portal for ArcGIS, które nie umożliwiają automatycznego tworzenia kont. Po zaktualizowaniu portalu z wersji 10.2 do nowszej możesz rozważyć wyłączenie tego zachowania, aby mieć większą kontrolę nad tym, którzy użytkownicy są dodawani jako członkowie instytucji. Pełne instrukcje zawiera sekcja Automatyczna rejestracja kont korporacyjnych.
Zasady blokowania dostępu do konta
Systemy oprogramowania często wymuszają swoje zasady blokowania dostępu do konta w celu ochrony przed próbami masowego automatycznego odgadywania haseł użytkowników. Jeśli użytkownik dokona pewnej liczby nieudanych prób logowania w określonym przedziale czasu, dalsze próby logowania mogą zostać zablokowane na określony czas. Zasady te uwzględniają możliwość, że użytkownicy mogą czasami zapomnieć nazwy i hasła i w związku z tym ich próby zalogowania się kończą się niepowodzeniem.
Zasady blokowania dostępu do konta wymuszane przez oprogramowanie Portal for ArcGIS zależą od typu używanego magazynu tożsamości:
Wbudowany magazyn tożsamości
Wbudowany magazyn tożsamości blokuje użytkownika po pięciu kolejnych nieprawidłowych próbach. Blokada jest utrzymywana przez piętnaście minut. Te zasady są stosowane do wszystkich kont w magazynie tożsamości, włącznie z początkowym kontem administratora. Zasad tych nie można zmienić ani usunąć.
Korporacyjny magazyn tożsamości
W przypadku korzystania z korporacyjnego magazynu tożsamości zasady blokowania konta są dziedziczone z zasad obowiązujących dla tego magazynu. Istnieje możliwość modyfikacji zasad blokowania konta dla tego magazynu. Zapoznaj się z dokumentacją odnoszącą się do określonego typu magazynu, aby dowiedzieć się, jak zmienić jego zasady blokowania konta.