Skip To Content

Konfiguracja uwierzytelniania w portalu

Głównym czynnikiem, który należy uwzględnić przy konfiguracji zabezpieczeń w instytucji ArcGIS Enterprise, jest źródło użytkowników oraz opcjonalnie grup. To źródło użytkowników i grup jest nazywane magazynem tożsamości. Użytkownicy i grupy z Twojej instytucji oraz spoza niej są zarządzani za pośrednictwem magazynu tożsamości.

Magazyny tożsamości

Magazyn tożsamości określa, gdzie są przechowywane poświadczenia kont instytucji, jak odbywa się uwierzytelnianie i jak przebiega zarządzanie członkostwem w grupie. Instytucja ArcGIS Enterprise obsługuje dwa typy magazynów tożsamości: wbudowany i specyficzny dla instytucji.

Wbudowany magazyn tożsamości

Portal ArcGIS Enterprise może zostać skonfigurowany w taki sposób, aby zezwolić członkom na tworzenie w nim kont i grup. Jeśli łącze Utwórz konto w witrynie Logowanie portalu jest włączone, można za jego pomocą dodać do portalu wbudowane konto i zacząć przesyłać zasoby do instytucji lub uzyskiwać dostęp do zasobów utworzonych przez innych członków. Podczas tworzenia w ten sposób kont i grup w portalu używany jest wbudowany magazyn tożsamości, który dokonuje uwierzytelnienia i w którym przechowywane są nazwy użytkowników kont portalu, ich hasła, role i informacje o członkostwie w grupach.

Aby utworzyć początkowe konto administratora instytucji, należy skorzystać z wbudowanego magazynu tożsamości, ale później można przełączyć się na magazyn tożsamości specyficzny dla instytucji. Wbudowany magazyn tożsamości jest użyteczny do uruchamiania portalu, a także do jego wdrażania i testowania. Jednak w środowiskach produkcyjnych zazwyczaj wykorzystywany jest magazyn tożsamości specyficzny dla instytucji.

Notatka:

Jeśli musisz powrócić z magazynu tożsamości specyficznego dla instytucji do wbudowanego magazynu tożsamości, możesz to zrobić, usuwając wszelkie informacje w polach tekstowych Konfiguracja magazynu użytkowników i Konfiguracja magazynu grup na stronie Aktualizowanie magazynu tożsamości w aplikacji Administrator Directory portalu. Aby dowiedzieć się więcej, zapoznaj się z dokumentacją interfejsu ArcGIS REST API.

Magazyn tożsamości specyficzny dla instytucji

Portal ArcGIS Enterprise zaprojektowano tak, aby można było korzystać z kont i grup specyficznych dla instytucji w celu kontrolowania dostępu do instytucji ArcGIS. Na przykład można kontrolować dostęp do portalu za pomocą poświadczeń serwera protokołu LDAP (ang. Lightweight Directory Access Protocol) i dostawców tożsamości obsługujących protokół logowania jednokrotnego Security Assertion Markup Language (SAML) 2.0 Web Browser Single Sign On. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów specyficznych dla instytucji.

Zaletą tego podejścia jest brak konieczności tworzenia dodatkowych kont w portalu. Członkowie używają loginu, który jest już skonfigurowany w magazynie tożsamości specyficznym dla instytucji. Zarządzanie poświadczeniami kont (w tym obsługa zasad dotyczących złożoności i wygasania haseł) odbywa się całkowicie na zewnątrz portalu. Pozwala to na logowanie jednokrotne, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich poświadczeń.

Podobnie można także tworzyć grupy w portalu korzystające z istniejących w Twoim magazynie tożsamości grup Active Directory, LDAP lub SAML. Dodatkowo konta specyficzne dla instytucji można dodawać zbiorczo z grup Active Directory, LDAP lub SAML w instytucji. Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie Active Directory, LDAP lub SAML. Zarządzanie członkostwem w grupach odbywa się całkowicie na zewnątrz portalu.

Na przykład zalecaną praktyką jest wyłączenie dostępu anonimowego do portalu, połączenie portalu z odpowiednimi grupami Active Directory, LDAP lub SAML w instytucji i dodanie kont specyficznych dla instytucji opartych na tych grupach. W ten sposób dostęp do portalu zostaje ograniczony do określonych grup Active Directory, LDAP lub SAML w instytucji.

Magazynu tożsamości specyficznego dla instytucji należy użyć, jeśli instytucja chce skonfigurować zasady dotyczące wygasania i złożoności hasła, kontrolować dostęp za pomocą istniejących grup LDAP lub SAML albo wykorzystać uwierzytelnianie za pomocą protokołu LDAP lub uwierzytelnianie z użyciem certyfikatów klienta opartych na infrastrukturze klucza publicznego (PKI). Uwierzytelnianie może być obsługiwane na poziomie warstwy internetowej (używanie uwierzytelniania w warstwie internetowej), na poziomie warstwy portalu (używanie uwierzytelniania w warstwie portalu) lub za pośrednictwem zewnętrznego dostawcy tożsamości (używanie protokołu SAML).

Obsługa wielu magazynów tożsamości

Używanie protokołu SAML 2.0 pozwala na udzielanie dostępu do portalu przy użyciu wielu magazynów tożsamości. Użytkownicy mają możliwość logowania się poprzez wbudowane konta lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML skonfigurowane jako zaufane. Jest to dobry sposób na zarządzanie użytkownikami wywodzącymi się z instytucji użytkownika oraz spoza niej. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.

Konfiguracja wbudowanych użytkowników i grup przy użyciu magazynu tożsamości portalu

W przypadku wbudowanych użytkowników i grup nie ma potrzeby konfiguracji portalu: portal jest gotowy dla wbudowanych użytkowników i grup natychmiast po zainstalowaniu oprogramowania. W przypadku użytkowników specyficznych dla instytucji należy zapoznać się z poniższymi tematami oraz powiązanymi łączami zawierającymi dodatkowe informacje.

Konfiguracja loginów specyficznych dla instytucji

W portalu można skonfigurować następujących dostawców tożsamości specyficznych dla instytucji. Uwierzytelnianie może być obsługiwane w warstwie internetowej (przy użyciu aplikacji ArcGIS Web Adaptor) lub w warstwie portalu.

Uwierzytelnianie w warstwie internetowej

Jeśli masz katalog LDAP, możesz go użyć z portalem ArcGIS Enterprise. W celu uzyskania dalszych informacji zapoznaj się z tematem Korzystanie z portalu z uwierzytelnianiem LDAP oraz uwierzytelnianiem w warstwie internetowej. Aby umożliwić korzystanie z protokołu LDAP, program Web Adaptor powinien być uruchomiony na serwerze aplikacji Java, takim jak Apache Tomcat, IBM WebSphere lub Oracle WebLogic.

Jeśli instytucja korzysta z uwierzytelniania z użyciem certyfikatów klienta opartych na infrastrukturze PKI, uwierzytelnianie komunikacji z portalem może się odbywać za pomocą certyfikatów protokołu HTTPS. Nie jest możliwe włączenie anonimowego dostępu do portalu, jeśli korzysta się z uwierzytelniania z użyciem certyfikatów klienta. W celu uzyskania dalszych informacji zapoznaj się z tematem Zabezpieczanie dostępu do portalu za pomocą protokołu LDAP i infrastruktury PKI.

Uwierzytelnianie w warstwie portalu

Jeśli chcesz umożliwić dostęp do swojego portalu za pośrednictwem zarówno wbudowanych, jak i specyficznych dla instytucji magazynów tożsamości bez korzystania z protokołu SAML, możesz skorzystać z uwierzytelniania w warstwie portalu. W tym celu należy skonfigurować portal tak, aby używał magazynu tożsamości korzystającego z protokołu LDAP i włączyć anonimowy dostęp na serwerze aplikacji Java. Po otwarciu strony logowania portalu użytkownik może wybrać logowanie przy użyciu poświadczeń specyficznych dla instytucji lub wbudowanych. Użytkownicy specyficzni dla instytucji będą musieli wprowadzać swoje poświadczenia każdorazowo podczas logowania się w portalu. Nie mogą oni korzystać z logowania automatycznego lub jednokrotnego. Ten rodzaj uwierzytelniania umożliwia również użytkownikom anonimowym dostęp do map i innych zasobów portalu udostępnionych wszystkim użytkownikom.

Członkowie korzystający z uwierzytelnienia w warstwie portalu logują się, stosując następującą składnię:

  • Jeśli w portalu używana jest usługa Active Directory, składnia może mieć postać domain\username lub username@domain. Niezależnie od sposobu logowania się użytkownika nazwa użytkownika wyświetlana w witrynie portalu zawsze ma postać username@domain.
  • Przy korzystaniu z portalu przy użyciu protokołu LDAP składnia zawsze ma postać username. Konto jest wyświetlane w witrynie portalu także w tym formacie.

Konfiguracja loginów specyficznych dla instytucji przy użyciu protokołu SAML

Portal ArcGIS Enterprise obsługuje wszystkich dostawców tożsamości zgodnych z protokołem SAML. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.

Zasady blokowania dostępu do konta

Systemy oprogramowania często wymuszają swoje zasady blokowania dostępu do konta w celu ochrony przed próbami masowego automatycznego odgadywania haseł użytkowników. Jeśli użytkownik dokona pewnej liczby nieudanych prób logowania w określonym przedziale czasu, dalsze próby logowania mogą zostać zablokowane na określony czas. Zasady te uwzględniają możliwość, że użytkownicy mogą czasami zapomnieć nazwy i hasła i w związku z tym ich próby zalogowania się kończą się niepowodzeniem.

Wymuszane zasady blokowania dostępu do portalu zależą od typu używanego magazynu tożsamości:

Wbudowany magazyn tożsamości

Wbudowany magazyn tożsamości blokuje użytkownika po pięciu kolejnych nieprawidłowych próbach. Blokada jest utrzymywana przez piętnaście minut. Te zasady są stosowane do wszystkich kont w magazynie tożsamości, włącznie z początkowym kontem administratora. Zasad tych nie można zmienić ani usunąć.

Magazyn tożsamości specyficzny dla instytucji

W przypadku korzystania z magazynu tożsamości specyficznego dla instytucji zasady blokowania konta są dziedziczone z zasad obowiązujących dla tego magazynu. Istnieje możliwość modyfikacji zasad blokowania konta dla tego magazynu. Zapoznaj się z dokumentacją odnoszącą się do określonego typu magazynu, aby dowiedzieć się, jak zmienić jego zasady blokowania konta.

Monitorowanie prób błędnego logowania

Istnieje możliwość monitorowania prób błędnego logowania poprzez przeglądanie dzienników portalu obecnych w katalogu Portal Directory. Wszelkie nieudane próby powodują zapisanie komunikatu ostrzegawczego informującego, że użytkownik nie mógł się zalogować z powodu podania nieprawidłowej kombinacji nazwy użytkownika i hasła. Po przekroczeniu przez użytkownika maksymalnej liczby prób logowania w dzienniku zostanie zapisany komunikat o zablokowaniu konta (komunikat o poziomie Poważny). Monitorowanie dzienników portalu pod kątem nieudanych prób logowania umożliwia zorientowanie się, że być może w systemie dochodzi do ataków mających na celu rozpoznanie hasła.

Dalsze informacje przedstawiono w temacie Praca z dziennikami portalu.