Jako domyślny administrator lub członek z odpowiednimi uprawnieniami musisz zdecydować, czy protokół HTTPS jest wymagany w przypadku wszystkich transakcji i czy dozwolone jest anonimowe uzyskiwanie dostępu do portalu. Istnieje także możliwość skonfigurowania ustawień zabezpieczeń na potrzeby udostępniania i wyszukiwania, polityki haseł, opcji logowania, uwag dotyczących dostępu, banerów informacji, zaufanych serwerów i nie tylko.
Wskazówka:
W celu uzyskania bardziej szczegółowych informacji o zabezpieczeniach, ochronie prywatności i zgodności odwiedź witrynę Centrum zaufania ArcGIS.
- Sprawdź, czy jesteś użytkownikiem zalogowanym jako domyślny administrator lub masz przypisaną rolę niestandardową z włączonymi uprawnieniami administracyjnymi do zarządzania zabezpieczeniami i infrastrukturą.
- Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
- Kliknij łącze Bezpieczeństwo znajdujące się po lewej stronie ekranu.
- Skonfiguruj dowolne z następujących ustawień bezpieczeństwa:
Dostęp i uprawnienia
Zmień dowolne spośród następujących ustawień zasad:
- Zezwalaj na dostęp do portalu tylko za pomocą protokołu HTTPS — domyślnie portal wymusza komunikację wyłącznie przy użyciu protokołu HTTPS, dzięki czemu można mieć pewność, że dane instytucji i tymczasowe tokeny identyfikacyjne zapewniające dostęp do danych są szyfrowane podczas komunikacji internetowej. Wyłączenie tego przełącznika spowoduje, że możliwa będzie zarówno komunikacja HTTP, jak i HTTPS. Zmiana tego ustawienia może wpłynąć na wydajność witryny internetowej.
Zezwalaj na dostęp anonimowy do portalu — włącz tę opcję, aby zezwolić anonimowym użytkownikom na dostęp do witryny internetowej Twojej instytucji. Jeśli ta opcja nie jest włączona, wyłączony jest dostęp anonimowy i anonimowi użytkownicy nie mogą uzyskiwać dostępu do witryny. Nie będą również mogli wyświetlać map, korzystając z usługi Bing Maps (jeśli w instytucji skonfigurowano obsługę usługi Bing Maps).
Jeśli opcja anonimowego dostępu zostanie włączona (przez zaznaczenie pola), należy upewnić się, czy grupy wybrane do konfiguracji witryny są udostępnione publicznie. W przeciwnym razie anonimowi użytkownicy mogą nie mieć możliwości prawidłowego wyświetlania lub uzyskiwania dostępu do zasobów publicznych znajdujących się w tych grupach.
- Zezwalaj członkom edytować informacje biograficzne oraz określać, kto może zobaczyć ich profil — włącz tę opcję, aby zezwolić członkom na modyfikowanie informacji biograficznych w swoim profilu oraz określanie, kto może zobaczyć ich profil.
- Zezwalaj użytkownikom na tworzenie nowych kont wbudowanych — włącz tę opcję, aby użytkownicy mogli tworzyć wbudowane konta portalu na stronie logowania się w portalu. Wyłącz tę opcję, jeśli korzystasz z kont specyficznych dla instytucji lub chcesz ręcznie utworzyć wszystkie konta.
Udostępnianie i wyszukiwanie
Zmień dowolne spośród następujących ustawień udostępniania i wyszukiwania:
Członkowie mogą udostępniać zasoby publicznie — włącz tę opcję, aby zezwolić członkom na ustawianie swoich profili jako widocznych dla wszystkich (publicznych), publiczne udostępnianie aplikacji internetowych i innych elementów oraz osadzanie swoich map i grup w witrynach internetowych.
- Wyświetlaj łącza do sieci społecznościowych na stronach elementów i grup — włącz tę opcję, aby dołączać łącza do serwisów Facebook i Twitter na stronach elementów i grup.
Polityka haseł
Członkowie, zmieniając hasła, muszę określić nowe hasła zgodne z polityką instytucji. W przeciwnym razie zostanie wyświetlony komunikat zawierający szczegółowe informacje na temat aktualnej polityki. Polityka haseł w instytucji nie ma zastosowania w odniesieniu do loginów specyficznych dla instytucji, takich jak loginy SAML, ani poświadczeń aplikacji korzystających z identyfikatorów i kluczy tajnych.
Kliknij przycisk Zarządzaj polityką haseł, aby skonfigurować długość hasła, jego złożoność i wymogi historii dla członków dysponujących wbudowanymi kontami. Można określić liczbę znaków oraz to, czy hasło musi zawierać przynajmniej jeden z poniższych znaków: wielką literę, małą literę, cyfrę lub znak specjalny. Można również skonfigurować czas obowiązywania hasła (w dniach) i liczbę wcześniej wykorzystywanych haseł, których nie można użyć ponownie. W hasłach jest rozróżniana wielkość liter i nie mogą być one takie same jak nazwa użytkownika. Kliknij opcję Użyj wartości domyślnych portalu, aby w instytucji przywrócić standardową politykę haseł oprogramowania ArcGIS Enterprise (co najmniej osiem znaków, w tym co najmniej jedna litera i cyfra; spacje są niedozwolone).
Notatka:
Słabe hasła nie są akceptowane. Hasło jest uznawane za słabe, jeśli jest często używanym słowem, takim jak hasło1 lub zawiera powtarzające się znaki lub sekwencję kolejnych znaków — na przykład: aaaabbbb lub 1234abcd.
Notatka:
Jeśli w instytucji są skonfigurowane ustawienia poczty e-mail, po zmianie polityki haseł automatyczne powiadomienia e-mail są wysyłane do kontaktów administracyjnych.
Logowania
Istnieje możliwość dostosowania strony logowania instytucji, aby umożliwić członkom logowanie z użyciem dowolnej z następujących metod: loginy ArcGIS, loginy Security Assertion Markup Language (SAML) (wcześniej znane jako loginy korporacyjne) i loginy OpenID Connect.
Ponadto można dostosować kolejność wyświetlania metod logowania na stronie logowania instytucji. Aby zmienić kolejność metody logowania, kliknij jej uchwyt i przeciągnij w nowe miejsce. Kliknij Podgląd, aby zobaczyć przyszły wygląd strony logowania.
Włącz przełącznik Login ArcGIS, aby umożliwić użytkownikom logowanie do systemu ArcGIS z użyciem ich loginów ArcGIS.
Użyj przycisku Nowy login SAML, aby skonfigurować dostawcę tożsamości zgodnego z protokołem SAML w portalu, jeśli członkowie mają logować się w portalu przy użyciu istniejącego dostawcy tożsamości SAML instytucji.
Użyj przycisku Nowy login OpenID Connect, aby skonfigurować loginy OpenID Connect, jeśli członkowie mają logować się w systemie ArcGIS przy użyciu istniejącego dostawcy tożsamości OpenID Connect instytucji.
Uwierzytelnianie wielopoziomowe
Notatka:
Ta opcja kontroluje uwierzytelnianie wielopoziomowe dla kont wbudowanych. Aby skonfigurować uwierzytelnianie wielopoziomowe dla kont na podstawie loginów SAML lub OpenID Connect, skontaktuj się z dostawcą tożsamości w celu skonfigurowania odpowiednich opcji.
Uwierzytelnianie wielopoziomowe można włączyć tylko wówczas, gdy w instytucji skonfigurowano ustawienia poczty e-mail.
Instytucje, które chcą dać członkom opcję konfigurowania uwierzytelniania wielopoziomowego podczas logowania się w systemie ArcGIS, mogą zdecydować się na włączenie przycisku przełącznika Pozwól członkom określić, czy ich konta będą wyposażone w funkcję uwierzytelniania wielopoziomowego. Uwierzytelnianie wielopoziomowe zapewnia dodatkowy poziom zabezpieczeń poprzez wymaganie podania przez członków podczas logowania dodatkowo kodu weryfikacyjnego oprócz nazwy użytkownika i hasła.
Jeśli to ustawienie zostanie włączone, członkowie instytucji mogą skonfigurować funkcję uwierzytelniania wielopoziomowego z poziomu strony profilu i uzyskiwać kody weryfikacyjne na telefonach komórkowych lub tabletach wyposażonych w obsługiwane aplikacje uwierzytelniania (aktualnie obsługiwane aplikacje to Google Authenticator dla systemów Android i iOS oraz Authenticator dla systemu Windows Phone). Członkowie, którzy włączyli uwierzytelnianie wielopoziomowe, mają znacznik wyboru w kolumnie Uwierzytelnianie wielopoziomowe w tabeli członków na karcie Członkowie strony Instytucja.
Jeśli dla instytucji włączono uwierzytelnianie wielopoziomowe, należy wybrać co najmniej dwóch administratorów, którzy otrzymają wiadomości e-mail z żądaniem wyłączenia uwierzytelniania wielopoziomowego na kontach członków. Oprogramowanie ArcGIS Enterprise wysyła wiadomości e-mail w imieniu członków, którzy proszą o pomoc przy uwierzytelnieniu wielopoziomowym za pomocą łącza Masz problemy z zalogowaniem się za pomocą kodu? (znajdującego się na stronie, na której członek został poproszony o wprowadzenie kodu uwierzytelniania). Co najmniej dwóch administratorów jest wymaganych do zapewnienia, że co najmniej jeden będzie dostępny do pomocy w przypadku problemów członków z wielopoziomowym uwierzytelnianiem.
Uwierzytelnianie wielopoziomowe działa w aplikacjach Esri, które obsługują protokół OAuth 2.0. Dotyczy to witryny portalu, aplikacji ArcGIS Desktop 10.2.1 i nowszych, aplikacji ArcGIS Pro, aplikacji ArcGIS i witryny My Esri. W oprogramowaniu ArcGIS Desktop 10.2.1 i nowszym można używać uwierzytelniania wielopoziomowego do połączeń z usługami ArcGIS Enterprise z węzła gotowych do użycia usług w oknie katalogu.
Uwierzytelnianie wielopoziomowe musi zostać wyłączone w przypadku dostępu do aplikacji, które nie obsługują protokołu OAuth 2.0. W przypadku niektórych aplikacji, takich jak ArcGIS Desktop 10.2.1 i nowsze, które obsługują protokół OAuth 2.0, nadal konieczne jest wyłączenie uwierzytelniania wielopoziomowego przed nawiązaniem połączenia aplikacji ArcGIS Desktop z usługami ArcGIS Enterprise dostępnymi w ramach usługi ArcGIS Online.Dotyczy to usług geokodowania i geoprzetwarzania, które wyznaczają trasy i wykonują analizy wysokościowe. Ponadto wyłączenie uwierzytelniania wielopoziomowego jest konieczne w przypadku zapisywania poświadczeń w zasobach premium firmy Esri.
Uwaga na temat dostępu
Istnieje możliwość skonfigurowania i wyświetlania uwagi na temat warunków dla użytkowników uzyskujących dostęp do witryny.
Uwagę na temat dostępu można skonfigurować dla członków instytucji, wszystkich użytkowników uzyskujących dostęp do instytucji lub dla jednych i drugich. Jeśli uwaga na temat dostępu zostanie skonfigurowana dla członków instytucji, będzie ona im wyświetlana, gdy się zalogują. Jeśli uwaga na temat dostępu zostanie skonfigurowana dla wszystkich użytkowników, będzie ona wyświetlana, gdy użytkownicy będą uzyskiwali dostęp do witryny. Jeśli zostaną skonfigurowane obie uwagi na temat dostępu, członkowie instytucji zobaczą je obie.
Aby skonfigurować uwagę na temat dostępu przeznaczoną dla członków instytucji lub wszystkich użytkowników, kliknij opcję Skonfiguruj uwagę na temat dostępu w odpowiedniej sekcji, włącz przełącznik umożliwiający wyświetlanie tej uwagi i podaj jej tytuł oraz treść. Wybierz opcję AKCEPTUJ i ODRZUĆ, jeśli chcesz, aby użytkownicy zaakceptowali uwagę na temat dostępu przed przejściem do witryny lub wybierz opcję Tylko OK, jeśli chcesz, aby użytkownicy musieli tylko kliknąć przycisk OK, aby kontynuować. Po zakończeniu tej czynności kliknij przycisk Zapisz.
Aby zmodyfikować uwagę dotyczącą dostępu dla członków instytucji lub wszystkich użytkowników, kliknij opcję Edytuj uwagę na temat dostępu w odpowiedniej sekcji i zmień opcje tytułu, tekstu lub przycisku działania. Jeśli nie chcesz więcej wyświetlać uwagi na temat dostępu, wyłącz ją za pomocą przełącznika. Po wyłączeniu uwagi na temat dostępu wcześniej wprowadzony tekst i konfiguracja zostaną zachowane na wypadek jej ponownego włączenia w przyszłości. Po zakończeniu tej czynności kliknij przycisk Zapisz.
Baner informacji
Dzięki banerom informacji można informować wszystkich użytkowników, którzy uzyskują dostęp do instytucji, o stanie i zawartości konkretnej witryny. Możesz na przykład informować użytkowników o harmonogramach konserwacji, wyświetlać alerty o informacjach niejawnych i trybach tylko do odczytu, tworząc niestandardowe komunikaty pojawiające się u góry i u dołu witryny. Ten baner jest wyświetlany na stronie głównej, na stronach Galeria, przeglądarki map Map Viewer, przeglądarki scen Scene Viewer, Notatnik, Grupy, Zasoby i Instytucja oraz w witrynach utworzonych w oprogramowaniu ArcGIS Enterprise, jeśli zostało to włączone w aplikacji.
Aby włączyć baner informacji dla instytucji, kliknij opcję Skonfiguruj baner informacji i włącz opcję Wyświetl baner informacji. Dodaj tekst w polu Tekst banera i wybierz kolor tła i czcionki. Dla wybranego tekstu i koloru tła wyświetlany jest współczynnik kontrastu. Współczynnik kontrastu jest miarą czytelności bazującą na standardach ułatwień dostępu WCAG 2.1. Aby uzyskać zgodność z tymi standardami, zalecane jest używanie współczynnika kontrastu o wartości 4,5.
Podgląd banera informacji można zobaczyć w panelu Podgląd. Kliknij przycisk Zapisz, aby dodać baner dla danej instytucji.
Aby zmodyfikować baner informacji, kliknij opcję Edytuj baner informacji i wprowadź zmiany do tekstu lub stylu banera. Jeśli nie chcesz więcej wyświetlać banera informacji, wyłącz go za pomocą przełącznika. Po wyłączeniu banera informacji wcześniej wprowadzony tekst i konfiguracja zostaną zachowane na wypadek jego ponownego włączenia w przyszłości. Po zakończeniu tej czynności kliknij przycisk Zapisz.
Zaufane serwery
W przypadku ustawienia Zaufane serwery skonfiguruj listę zaufanych serwerów, na które klienci mają wysyłać poświadczenia w momencie składania prośby o udostępnienie zasobów CORS w celu uzyskania dostępu do usług zabezpieczonych za pomocą uwierzytelnienia w warstwie. Dotyczy to przede wszystkim edycji bezpiecznych usług obiektowych z poziomu autonomicznego (niesfederowanego) serwera ArcGIS Server lub wyświetlania bezpiecznych usług OGC. Serwery ArcGIS Server hostujące usługi chronione zabezpieczeniami opartymi na tokenach nie muszą być dodawane do tej listy. Serwery dodane do listy zaufanych serwerów muszą obsługiwać udostępnianie CORS. Warstwy hostowane na serwerach bez obsługi udostępniania CORS mogą nie działać zgodnie z oczekiwaniami. ArcGIS Server obsługuje udostępnianie CORS domyślnie od wersji 10.1. Aby skonfigurować udostępnianie CORS na serwerach innych niż ArcGIS, sprawdź dokumentację dostawcy serwera WWW.
Nazwy hostów muszą być wprowadzane indywidualnie. Symbole wieloznaczne nie są akceptowane. Nazwa hosta może zostać wprowadzona z oznaczeniem protokołu lub bez. Na przykład, nazwa hosta secure.esri.com może zostać wprowadzona jako secure.esri.com lub https://secure.esri.com.
Notatka:
Edycja usług obiektowych zabezpieczonych za pomocą uwierzytelniania w warstwie sieci wymaga użycia przeglądarki internetowej z włączoną obsługą udostępniania zasobów CORS. Najnowsze wersje przeglądarek obsługiwanych przez oprogramowanie ArcGIS Enterprise obsługują zasoby CORS. Aby sprawdzić, czy obsługa technologii CORS została włączona w przeglądarce, przejdź na stronę https://caniuse.com/cors.
Zezwól na punkty początkowe
Domyślnie interfejs ArcGIS REST API jest otwarty dla żądań udostępniania zasobów międzydomenowych (CORS) pochodzących z aplikacji internetowych w dowolnej domenie. Jeśli instytucja chce ograniczyć domeny aplikacji internetowych, które mogą uzyskiwać dostęp do interfejsu ArcGIS REST API za pośrednictwem mechanizmu CORS, należy określić te domeny jawnie. Na przykład w celu ograniczenia dostępu CORS wyłącznie do aplikacji internetowych w acme.com kliknij przycisk Dodaj i wpisz https://acme.com w polu tekstowym, a następnie kliknij opcję Dodaj domenę. W instytucji możesz określić maksymalnie 100 zaufanych domen. Nie musisz oznaczać domeny arcgis.com jako zaufanej, ponieważ aplikacje działające w domenie arcgis.com zawsze mogą łączyć się z interfejsem ArcGIS REST API.
Zezwolenie na dostęp do portalu
Skonfiguruj listę portali (na przykład https://otherportal.domain.com/arcgis), którym mają być udostępniane bezpieczne zasoby. Umożliwia to członkom instytucji używanie loginów specyficznych dla instytucji (w tym loginów SAML) w celu uzyskiwania dostępu do bezpiecznych zasobów podczas ich przeglądania z poziomu tych portali. Portale, z którymi Twoja instytucja współpracuje, są uwzględniane automatycznie: nie trzeba ich dodawać do listy. Dotyczy to wyłącznie portali na platformie ArcGIS Enterprise w wersji 10.5 lub nowszej. To ustawianie nie jest wymagane na potrzeby udostępniania bezpiecznych zasobów w ramach instytucji ArcGIS Online.
Adresy URL portali należy wprowadzić indywidualnie, a ponadto muszą one zawierać protokół. Symbole wieloznaczne nie są akceptowane. Jeśli dodawany portal obsługuje dostęp za pomocą protokołów HTTP i HTTPS, dla tego portalu należy dodać dwa adresy URL (na przykład http://otherportal.domain.com/arcgis i https://otherportal.domain.com/arcgis). Każdy portal dodawany do listy jest najpierw weryfikowany i dlatego musi być dostępny z poziomu przeglądarki.
Ustawienia poczty e-mail
Dla instytucji można skonfigurować ustawienia poczty e-mail, których można użyć do wysyłania powiadomień e-mail do członków instytucji. Powiadomienia e-mail, które można skonfigurować, są następujące:
- Powiadomienia Polityka haseł — po zmianie polityki haseł automatyczne powiadomienia e-mail są wysyłane do kontaktów administracyjnych. Jeśli nie zostały skonfigurowane żadne kontakty administracyjne, powiadomienie e-mail jest wysyłane na najstarsze konto administratora w instytucji lub początkowe konto administratora.
- Powiadomienia Resetuj hasło — Administratorzy mogą zresetować hasło członka na karcie Członkowie, a to spowoduje wysłanie do tego członka wiadomości e-mail z tymczasowym hasłem. Członek instytucji może również zażądać łącza resetowania hasła, gdy zapomni swojego hasła. Opcja ta jest dostępna na stronie logowania instytucji. Wiadomości e-mail zostaną wysłane na adres e-mail powiązany z profilem danego członka.
- Powiadomienia Wygaśnięcie licencji — gdy licencje w instytucji zaczną wygasać, do kontaktów administracyjnych zostaną wysłane automatyczne powiadomienia e-mail. Pierwsza wiadomość e-mail zostanie wysłana 90 dni przed wygaśnięciem licencji, a kolejne powiadomienia będą wysyłane w określonych odstępach czasu, przy czym ostatnie na dzień przed planowanym wygaśnięciem. Jeśli nie zostały skonfigurowane żadne kontakty administracyjne, powiadomienie e-mail jest wysyłane na najstarsze konto administratora w instytucji lub początkowe konto administratora.
- Powiadomienia Uwierzytelnianie wielopoziomowe — Aby można było włączyć uwierzytelnianie wielopoziomowe, instytucja musi mieć skonfigurowane ustawienia poczty e-mail. Jeśli uwierzytelnianie wielopoziomowe jest skonfigurowane, w razie potrzeby wyłączenia go dla konkretnych członków wyznaczeni administratorzy otrzymają powiadomienia e-mail.
- Powiadomienia Komentarz do elementów — Jeśli instytucji włączone są komentarze, właściciele elementów będą otrzymywać powiadomienia e-mail o nowo opublikowanych komentarzach dotyczących ich elementów.
- Powiadomienia Profil i ustawienia — Użytkownicy będą powiadamiani o zmianach wprowadzonych do ich profili i ustawień, takich jak hasło, pytanie weryfikacyjne czy widoczność profilu.
- Powiadomienia Mało miejsca na dysku — Gdy katalogi instalacyjny lub dzienników komputera bądź komputerów portalu osiągną domyślny próg ilości miejsca na dysku (10 GB), do kontaktów administracyjnych zostanie wysłane powiadomienie e-mail.
- Aby skonfigurować powiadomienia e-mail dla instytucji, w sekcji Ustawienia poczty e-mail kliknij Konfiguruj.
Jeśli ustawienia poczty e-mail są już skonfigurowane, kliknij Zarządzaj, aby otworzyć okno Konfigurowanie ustawień poczty e-mail.
- Na stronie ustawień SMTP wykonaj następujące czynności:
- Wpisz adres serwera SMTP. Jest to adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) serwera SMTP, na przykład smtp.domain.com.
- Wpisz port protokołu SMTP. Jest to port, przez który będzie komunikować się serwer SMTP. Najczęściej używane porty komunikacyjne to 25, 465 i 587. Wartość domyślna to 25.
- W sekcji Metoda szyfrowania wybierz metodę szyfrowania wiadomości e-mail wysyłanych z Twojej instytucji. Do wyboru są następujące metody: PLAIN TEXT, STARTTLS lub SSL.
- Jeśli do połączenia z podanym serwerem SMTP jest wymagane uwierzytelnianie, włącz opcję Wymagane uwierzytelnianie SMTP. Jeśli uwierzytelnianie SMTP nie jest wymagane, możesz zostawić tę opcję wyłączoną.
- Jeśli powyżej została włączona opcja Wymagane uwierzytelnianie SMTP, wpisz nazwę i hasło użytkownika z autoryzacją dostępu do serwera SMTP.
- Wpisz adres e-mail, z którego będą wysyłane wiadomości e-mail instytucji. Zalecane jest, aby członek powiązany z tym adresem e-mail znajdował się na liście Kontakty administracyjne Twojej instytucji.
- Wpisz etykietę adresu e-mail, która będzie wyświetlana z adresem e-mail nadawcy. Informacje te będą wyświetlane jako nadawca w wierszu Od wszystkich powiadomień e-mail. W tym celu możesz użyć nazwy powiązanej z adresem e-mail nadawcy lub użyć etykiety, na przykład DO NOT REPLY, aby członkowie nie odpowiadali bezpośrednio na adres e-mail nadawcy.
- Kliknij przycisk Dalej.
- Zalecane jest wysłanie testowej wiadomości e-mail, aby zweryfikować poprawność skonfigurowania ustawień poczty e-mail. Wpisz adres e-mail, którego możesz użyć do zweryfikowania pomyślnego dostarczenia testowej wiadomości e-mail, a następnie kliknij Wyślij wiadomość e-mail. Zostanie wyświetlone powiadomienie informujące o pomyślnym wysłaniu wiadomości e-mail. Więcej informacji na ten temat można znaleźć w dziennikach portalu.
- Kliknij Zakończ, aby skonfigurować ustawienia poczty e-mail.
Aby wyłączyć powiadomienia e-mail z instytucji, kliknij Wyłącz.