Głównym czynnikiem, który należy uwzględnić przy konfiguracji zabezpieczeń we wdrożeniu oprogramowania ArcGIS Enterprise, jest źródło użytkowników portalu oraz opcjonalnie grupy w portalu użytkownika. To źródło użytkowników i grup jest nazywane magazynem tożsamości. Użytkownicy i grupy z Twojej instytucji oraz spoza niej są zarządzani za pośrednictwem magazynu tożsamości.
- Magazyny tożsamości
- Konfiguracja wbudowanych użytkowników przy użyciu magazynu tożsamości portalu
- Konfiguracja loginów specyficznych dla instytucji przy użyciu uwierzytelniania w warstwie internetowej
- Konfiguracja loginów specyficznych dla instytucji przy użyciu protokołu SAML
Magazyny tożsamości
Magazyn tożsamości określa, gdzie są przechowywane poświadczenia kont portalu, jak odbywa się uwierzytelnianie i jak przebiega zarządzanie członkostwem w grupie. Portal ArcGIS Enterprise obsługuje dwa typy magazynów tożsamości: wbudowany i specyficzny dla instytucji.
Wbudowany magazyn tożsamości
Portal ArcGIS Enterprise może zostać skonfigurowany w taki sposób, aby zezwolić członkom na łatwe tworzenie w nim kont i grup. Jeśli łącze Utwórz konto w witrynie Logowanie portalu jest włączone, można za jego pomocą dodać do portalu wbudowane konto i zacząć przesyłać zasoby do instytucji lub uzyskiwać dostęp do zasobów utworzonych przez innych członków. Podczas tworzenia w ten sposób kont i grup w portalu używany jest wbudowany magazyn tożsamości, który dokonuje uwierzytelnienia i w którym przechowywane są nazwy użytkowników kont portalu, ich hasła, role i informacje o członkostwie w grupach.
Aby utworzyć początkowe konto administratora portalu, należy skorzystać z wbudowanego magazynu tożsamości, ale później można przełączyć się na magazyn tożsamości specyficzny dla instytucji. Wbudowany magazyn tożsamości jest użyteczny do uruchamiania portalu, a także do jego wdrażania i testowania. Jednak w środowiskach produkcyjnych zazwyczaj wykorzystywany jest magazyn tożsamości specyficzny dla instytucji.
Magazyn tożsamości specyficzny dla instytucji
Portal ArcGIS Enterprise zaprojektowano tak, aby można było korzystać z kont i grup specyficznych dla instytucji w celu kontrolowania dostępu do instytucji ArcGIS. Na przykład można kontrolować dostęp do portalu za pomocą poświadczeń serwera protokołu LDAP (ang. Lightweight Directory Access Protocol) i dostawców tożsamości obsługujących protokół logowania jednokrotnego Security Assertion Markup Language (SAML) 2.0 Web Browser Single Sign On. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów specyficznych dla instytucji.
Zaletą tego podejścia jest brak konieczności tworzenia dodatkowych kont w portalu. Członkowie używają loginu, który jest już skonfigurowany w magazynie tożsamości specyficznym dla instytucji. Zarządzanie poświadczeniami kont (w tym obsługa zasad dotyczących złożoności i wygasania haseł) odbywa się całkowicie na zewnątrz portalu. Pozwala to na logowanie jednokrotne, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich poświadczeń.
Podobnie można także tworzyć grupy w portalu wykorzystujące istniejące w Twoim magazynie tożsamości grupy korporacyjne. Dodatkowo konta specyficzne dla instytucji można dodawać zbiorczo z grup korporacyjnych w instytucji. Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie firmy. Zarządzanie członkostwem w grupach odbywa się całkowicie na zewnątrz portalu.
Na przykład zalecaną praktyką jest wyłączenie dostępu anonimowego do portalu, połączenie portalu z odpowiednimi grupami korporacyjnymi w instytucji i dodanie kont specyficznych dla instytucji opartych na tych grupach. W ten sposób dostęp do portalu zostaje ograniczony do określonych grup korporacyjnych w instytucji.
Magazynu tożsamości specyficznego dla instytucji należy użyć, jeśli instytucja chce skonfigurować zasady dotyczące wygasania i złożoności hasła, kontrolować dostęp za pomocą istniejących grup korporacyjnych albo wykorzystać uwierzytelnianie za pomocą protokołu LDAP lub infrastrukturę kluczy publicznych (PKI). Uwierzytelnianie może być obsługiwane na poziomie warstwy internetowej (używanie uwierzytelniania w warstwie internetowej), na poziomie warstwy portalu (używanie uwierzytelniania w warstwie portalu) lub za pośrednictwem zewnętrznego dostawcy tożsamości (używanie protokołu SAML).
Obsługa wielu magazynów tożsamości
Używanie protokołu SAML 2.0 pozwala na udzielanie dostępu do portalu przy użyciu wielu magazynów tożsamości. Użytkownicy mają możliwość logowania się poprzez wbudowane konta lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML skonfigurowane jako zaufane. Jest to dobry sposób na zarządzanie użytkownikami wywodzącymi się z instytucji użytkownika oraz spoza niej. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
Konfiguracja wbudowanych użytkowników i grup przy użyciu magazynu tożsamości portalu
W przypadku wbudowanych użytkowników i grup nie ma potrzeby konfiguracji portalu: portal jest gotowy dla wbudowanych użytkowników i grup natychmiast po zainstalowaniu oprogramowania. W przypadku użytkowników specyficznych dla instytucji należy zapoznać się z poniższymi tematami oraz powiązanymi łączami zawierającymi dodatkowe informacje.
Konfiguracja loginów specyficznych dla instytucji
W portalu można skonfigurować następujących dostawców tożsamości specyficznych dla instytucji. Uwierzytelnianie może być obsługiwane w warstwie internetowej (przy użyciu aplikacji ArcGIS Web Adaptor) lub w warstwie portalu.
Uwierzytelnianie w warstwie internetowej
Jeśli masz katalog LDAP, możesz go użyć z portalem ArcGIS Enterprise. W celu uzyskania dalszych informacji zapoznaj się z tematem Korzystanie z portalu z uwierzytelnianiem LDAP oraz uwierzytelnianiem w warstwie internetowej. Aby umożliwić korzystanie z protokołu LDAP, program Web Adaptor powinien być uruchomiony na serwerze aplikacji Java, takim jak Apache Tomcat, IBM WebSphere lub Oracle WebLogic.
Jeśli instytucja korzysta z infrastruktury PKI, uwierzytelnianie komunikacji z portalem może się odbywać za pomocą certyfikatów protokołu HTTPS. Nie jest możliwe włączenie anonimowego dostępu do portalu, jeśli korzysta się z infrastruktury PKI. W celu uzyskania dalszych informacji zapoznaj się z tematem Zabezpieczanie dostępu do portalu za pomocą protokołu LDAP i infrastruktury PKI.
Uwierzytelnianie w warstwie portalu
Jeśli chcesz umożliwić dostęp do swojego portalu za pośrednictwem zarówno wbudowanych, jak i specyficznych dla instytucji magazynów tożsamości bez korzystania z protokołu SAML, możesz skorzystać z uwierzytelniania w warstwie portalu. W tym celu należy skonfigurować portal tak, aby używał magazynu tożsamości korzystającego z protokołu LDAP, a następnie należy włączyć anonimowy dostęp na serwerze aplikacji Java. Po otwarciu strony logowania portalu użytkownik może wybrać logowanie przy użyciu poświadczeń specyficznych dla instytucji lub wbudowanych. Użytkownicy specyficzni dla instytucji będą musieli wprowadzać swoje poświadczenia każdorazowo podczas logowania się w portalu. Nie mogą oni korzystać z logowania automatycznego lub jednokrotnego. Ten rodzaj uwierzytelniania umożliwia również użytkownikom anonimowym dostęp do map i innych zasobów portalu udostępnionych wszystkim użytkownikom.
Członkowie korzystający z uwierzytelnienia w warstwie portalu logują się, stosując następującą składnię:
- Jeśli w portalu używana jest usługa Active Directory, składnia może mieć postać domain\username lub username@domain. Nienależnie od sposobu logowania się użytkownika nazwa użytkownika wyświetlana w witrynie portalu zawsze ma postać username@domain.
- Przy korzystaniu z portalu przy użyciu protokołu LDAP składnia zawsze ma postać username. Konto jest wyświetlane w witrynie portalu także w tym formacie.
Konfiguracja loginów specyficznych dla instytucji przy użyciu protokołu SAML
Portal ArcGIS Enterprise obsługuje wszystkich dostawców tożsamości zgodnych z protokołem SAML. W poniższych samouczkach przedstawiono sposób konfigurowania w portalu niektórych często spotykanych dostawców tożsamości zgodnych z protokołem SAML. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
Zasady blokowania dostępu do konta
Systemy oprogramowania często wymuszają swoje zasady blokowania dostępu do konta w celu ochrony przed próbami masowego automatycznego odgadywania haseł użytkowników. Jeśli użytkownik dokona pewnej liczby nieudanych prób logowania w określonym przedziale czasu, dalsze próby logowania mogą zostać zablokowane na określony czas. Zasady te uwzględniają możliwość, że użytkownicy mogą czasami zapomnieć nazwy i hasła i w związku z tym ich próby zalogowania się kończą się niepowodzeniem.
Wymuszane zasady blokowania dostępu do portalu zależą od typu używanego magazynu tożsamości:
Wbudowany magazyn tożsamości
Wbudowany magazyn tożsamości blokuje użytkownika po pięciu kolejnych nieprawidłowych próbach. Blokada jest utrzymywana przez piętnaście minut. Te zasady są stosowane do wszystkich kont w magazynie tożsamości, włącznie z początkowym kontem administratora. Zasad tych nie można zmienić ani usunąć.
Magazyn tożsamości specyficzny dla instytucji
W przypadku korzystania z magazynu tożsamości specyficznego dla instytucji zasady blokowania konta są dziedziczone z zasad obowiązujących dla tego magazynu. Istnieje możliwość modyfikacji zasad blokowania konta dla tego magazynu. Zapoznaj się z dokumentacją odnoszącą się do określonego typu magazynu, aby dowiedzieć się, jak zmienić jego zasady blokowania konta.
Monitorowanie prób błędnego logowania
Istnieje możliwość monitorowania prób błędnego logowania poprzez przeglądanie dzienników portalu obecnych w katalogu Portal Directory. Wszelkie nieudane próby powodują zapisanie komunikatu ostrzegawczego informującego, że użytkownik nie mógł się zalogować z powodu podania nieprawidłowej kombinacji nazwy użytkownika i hasła. Po przekroczeniu przez użytkownika maksymalnej liczby prób logowania w dzienniku zostanie zapisany komunikat o zablokowaniu konta (komunikat o poziomie Poważny). Monitorowanie dzienników portalu pod kątem nieudanych prób logowania umożliwia zorientowanie się, że być może w systemie dochodzi do ataków mających na celu rozpoznanie hasła.
Dalsze informacje przedstawiono w temacie Praca z dziennikami portalu.