Skip To Content

Zarządzanie dostępem do portalu

Jednym z najważniejszych aspektów planowania wdrożenia ArcGIS Enterprise jest podjęcie decyzji, jak zarządzać kontami, które będą uzyskiwać dostęp do portalu i jakie nadawać im uprawnienia. Ustalenie, jak odbywać się będzie zarządzanie kontami, jest kwestią wyboru magazynu tożsamości.

Notatka:

Każdy członek instytucji ArcGIS Enterprise i ArcGIS Online musi mieć własną licencję. Oba produkty obsługują logowanie specyficzne dla organizacji za pomocą SAML i OpenID Connect, dzięki czemu można usprawnić uwierzytelnianie między systemami. Oznacza to, że możesz używać tej samej nazwy użytkownika i hasła dla obu instytucji – nie możesz jednak zalogować się w oprogramowaniu ArcGIS Enterprise i oczekiwać, że będą widoczne te same zasoby, którą widziałbyś logując się na swoje konto ArcGIS Online. Są to nadal oddzielne instytucje, każda z własnym magazynem tożsamości i zestawem powiązanych zasobów.

Magazyny tożsamości

Magazyn tożsamości określa, gdzie są przechowywane poświadczenia kont instytucji, jak odbywa się uwierzytelnianie i jak przebiega zarządzanie członkostwem w grupie. Instytucja ArcGIS Enterprise obsługuje dwa typy magazynów tożsamości: wbudowany i specyficzny dla instytucji.

Wbudowany magazyn tożsamości

Portal ArcGIS Enterprise może zostać skonfigurowany w taki sposób, aby zezwolić członkom na tworzenie w nim kont i grup. Jeśli łącze Utwórz konto w witrynie Logowanie portalu jest włączone, można za jego pomocą dodać do portalu wbudowane konto i zacząć przesyłać zasoby do instytucji lub uzyskiwać dostęp do zasobów utworzonych przez innych członków. Podczas tworzenia w ten sposób kont i grup w portalu używany jest wbudowany magazyn tożsamości, który dokonuje uwierzytelnienia i w którym przechowywane są nazwy użytkowników kont portalu, ich hasła, role i informacje o członkostwie w grupach.

Aby utworzyć początkowe konto administratora instytucji, należy skorzystać z wbudowanego magazynu tożsamości, ale później można przełączyć się na magazyn tożsamości specyficzny dla instytucji. Wbudowany magazyn tożsamości jest użyteczny do uruchamiania portalu, a także do jego wdrażania i testowania. Jednak w środowiskach produkcyjnych zazwyczaj wykorzystywany jest magazyn tożsamości specyficzny dla instytucji.

Notatka:

Jeśli musisz powrócić z magazynu tożsamości specyficznego dla instytucji do wbudowanego magazynu tożsamości, możesz to zrobić, usuwając wszelkie informacje w polach tekstowych Konfiguracja magazynu użytkowników i Konfiguracja magazynu grup na stronie Aktualizowanie magazynu tożsamości w aplikacji Administrator Directory portalu. Aby dowiedzieć się więcej, zapoznaj się z dokumentacją interfejsu ArcGIS REST API.

Magazyn tożsamości specyficzny dla instytucji

Portal ArcGIS Enterprise zaprojektowano tak, aby można było korzystać z kont i grup specyficznych dla instytucji w celu kontrolowania dostępu do instytucji ArcGIS. Na przykład można kontrolować dostęp do portalu za pomocą poświadczeń serwera protokołu LDAP (ang. Lightweight Directory Access Protocol) i dostawców tożsamości obsługujących protokół logowania jednokrotnego Security Assertion Markup Language (SAML) 2.0 Web Browser Single Sign On. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów specyficznych dla instytucji.

Zaletą tego podejścia jest brak konieczności tworzenia dodatkowych kont w portalu. Członkowie używają loginu, który jest już skonfigurowany w magazynie tożsamości specyficznym dla instytucji. Zarządzanie poświadczeniami kont (w tym obsługa zasad dotyczących złożoności i wygasania haseł) odbywa się całkowicie na zewnątrz portalu. Pozwala to na logowanie jednokrotne, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich poświadczeń.

Podobnie można także tworzyć grupy w portalu korzystające z istniejących w Twoim magazynie tożsamości grup Active Directory, LDAP lub SAML. Dodatkowo konta specyficzne dla instytucji można dodawać zbiorczo z grup Active Directory, LDAP lub SAML w instytucji. Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie Active Directory, LDAP lub SAML. Zarządzanie członkostwem w grupach odbywa się całkowicie na zewnątrz portalu.

Na przykład zalecaną praktyką jest wyłączenie dostępu anonimowego do portalu, połączenie portalu z odpowiednimi grupami Active Directory, LDAP lub SAML w instytucji i dodanie kont specyficznych dla instytucji opartych na tych grupach. W ten sposób dostęp do portalu zostaje ograniczony do określonych grup Active Directory, LDAP lub SAML w instytucji.

Magazynu tożsamości specyficznego dla instytucji należy użyć, jeśli instytucja chce skonfigurować zasady dotyczące wygasania i złożoności hasła, kontrolować dostęp za pomocą istniejących grup LDAP lub SAML albo wykorzystać uwierzytelnianie za pomocą protokołu LDAP lub uwierzytelnianie z użyciem certyfikatów klienta opartych na infrastrukturze klucza publicznego (PKI). Uwierzytelnianie może być obsługiwane na poziomie warstwy internetowej (używanie uwierzytelniania w warstwie internetowej), na poziomie warstwy portalu (używanie uwierzytelniania w warstwie portalu) lub za pośrednictwem zewnętrznego dostawcy tożsamości (używanie protokołu SAML).

Obsługa wielu magazynów tożsamości

Używanie protokołu SAML 2.0 pozwala na udzielanie dostępu do portalu przy użyciu wielu magazynów tożsamości. Użytkownicy mają możliwość logowania się poprzez wbudowane konta lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML skonfigurowane jako zaufane. Jest to dobry sposób na zarządzanie użytkownikami wywodzącymi się z instytucji użytkownika oraz spoza niej. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.

Uprawnienia dostępu

Po podjęciu decyzji odnośnie do sposobu zarządzania kontami w oprogramowaniu ArcGIS Enterprise należy podjąć decyzję, jakie uprawnienia mają mieć użytkownicy uzyskujący dostęp do instytucji ArcGIS. Uprawnienia są definiowane w oparciu o przynależność do instytucji ArcGIS użytkownika uzyskującego dostęp do portalu.

Użytkownicy, którzy nie mają konta instytucji ArcGIS, uzyskując dostęp do portalu, mogą wyszukiwać tylko publiczne elementy i z nich korzystać. Na przykład, jeśli na stronie internetowej jest osadzona publiczna mapa internetowa, oglądający ją użytkownicy będą korzystali z elementu portalu, nawet jeśli nie mają konta. Możesz określić, czy ten typ dostępu będzie dozwolony. Dostęp dla osób, które nie należą do instytucji ArcGIS, zawsze można wyłączyć. Aby dowiedzieć się więcej, należy zapoznać się z tematem Wyłączanie dostępu anonimowego.

Użytkownicy mogą uzyskać dostęp do portalu z podwyższonymi uprawnieniami, jeżeli należą do instytucji ArcGIS. Lista członków instytucji ArcGIS jest widoczna na stronie Instytucja witryny portalu. Członkowie instytucji są posegregowani według typów użytkowników odpowiadających szeregowi ról z różnymi uprawnieniami. Więcej informacji można znaleźć w temacie Typy użytkowników, role i uprawnienia.

Kiedy do portalu zostanie dodane nowe konto instytucji ArcGIS, domyślnie przyznawana jest mu rola użytkownika. Jednakże administrator portalu może w każdej chwili zmienić tę rolę.

Zarządzanie kontami instytucji ArcGIS

Konto instytucji ArcGIS jest kontem użytkownika, które zostało dodane do panelu instytucji w portalu. W całej dokumentacji i interfejsie użytkownika witryny portalu użytkownicy ci są zazwyczaj określani jako członkowie instytucji.

Administrator musi w pełni kontrolować uprawnienia przyznane każdemu z członków instytucji ArcGIS oraz mieć możliwość decydowania, kto może być jej członkiem.

Maksymalna liczba kont w instytucji ArcGIS w danym portalu jest zdefiniowana w pliku licencji, który został użyty do licencjonowania portalu. W dowolnej chwili można porównać łączną liczbę członków, którym przypisano typ użytkownika, z liczbą pozostałych dostępnych licencji typów użytkowników na kartach Przegląd lub Licencje strony Instytucja w witrynie portalu. Na karcie Przegląd można wyświetlić łączną liczbę licencji dostępnych i przypisanych na stronie Członkowie. Na karcie Licencje można wyświetlić licencje według typu użytkownika przypisane i dostępne na karcie Typy użytkowników.

Zarządzanie kontami podczas korzystania z magazynu wbudowanego

Podczas korzystania z magazynu wbudowanego można skonfigurować witrynę internetową portalu w taki sposób, aby wyświetlała łącze umożliwiające każdemu użytkownikowi dołączenie do instytucji ArcGIS. Umożliwia ono przyłączenie się do instytucji, ale nie pozwala na ograniczenie dostępu. Każdy z dostępem do portalu może utworzyć konto. Aby mieć większą kontrolę, możesz wyłączyć ten interfejs do samodzielnej obsługi i udostępnić portal grupowo ze wstępnie ustaloną liczbą kont. Aby dowiedzieć się więcej o grupowym tworzeniu kont instytucji w systemie ArcGIS, zapoznaj się z tematem Dodawanie członków do portalu. W każdej chwili możesz również usunąć konta użytkowników z witryny portalu lub zmienić ich uprawnienia.

Zarządzanie kontami podczas korzystania z magazynu tożsamości specyficznego dla instytucji

Portal ArcGIS Enterprise nie umożliwi usuwania, edycji ani tworzenia kont w magazynie tożsamości, ale możesz rejestrować istniejące konta specyficzne dla instytucji w swojej instytucji.Z tego powodu strona rejestracji w portalu nie będzie dostępna podczas konfigurowania portalu do korzystania z magazynu tożsamości specyficznego dla instytucji.

Administrator zazwyczaj wybiera loginy specyficzne dla instytucji, które chce dodać do instytucji i dodaje je grupowo. Aby dowiedzieć się więcej o grupowym tworzeniu kont instytucji w systemie ArcGIS, zapoznaj się z tematem Dodawanie członków do portalu. W każdej chwili możesz również usunąć konta użytkowników z witryny portalu lub zmienić ich uprawnienia.

Ewentualnie możesz dodać dowolne konto specyficzne dla instytucji, które automatycznie łączy się z portalem lub dowolnym jego elementem. Więcej informacji zawiera temat Automatyczna rejestracja kont specyficznych dla instytucji.

Ważne jest, aby zrozumieć, że gdy portal jest skonfigurowany do korzystania z magazynu tożsamości specyficznego dla instytucji, anonimowy dostęp do instytucji w systemie ArcGIS jest wyłączony. Innymi słowy, każdy użytkownik korzystający z portalu musi najpierw zostać uwierzytelniony w magazynie tożsamości. Po uwierzytelnieniu uprawnienia użytkownika zostaną określone na podstawie tego, czy ma on konto instytucji ArcGIS.

Notatka:

Domyślnie w instytucji wyłączone jest automatyczne tworzenie kont. Więcej informacji o włączaniu automatycznej rejestracji kont zawiera sekcja Konfiguracja automatycznej rejestracji kont instytucji.

Zasady blokowania dostępu do konta

Systemy oprogramowania często wymuszają swoje zasady blokowania dostępu do konta w celu ochrony przed próbami masowego automatycznego odgadywania haseł użytkowników. Jeśli użytkownik dokona pewnej liczby nieudanych prób logowania w określonym przedziale czasu, dalsze próby logowania mogą zostać zablokowane na określony czas. Zasady te uwzględniają możliwość, że użytkownicy mogą czasami zapomnieć nazwy i hasła i w związku z tym ich próby zalogowania się kończą się niepowodzeniem.

Wymuszane zasady blokowania dostępu do portalu zależą od typu używanego magazynu tożsamości:

Wbudowany magazyn tożsamości

Wbudowany magazyn tożsamości blokuje użytkownika po pięciu kolejnych nieprawidłowych próbach. Blokada jest utrzymywana przez piętnaście minut. Te zasady są stosowane do wszystkich kont w magazynie tożsamości, włącznie z początkowym kontem administratora. Zasad tych nie można zmienić ani usunąć.

Magazyn tożsamości specyficzny dla instytucji

W przypadku korzystania z magazynu tożsamości specyficznego dla instytucji zasady blokowania konta są dziedziczone z zasad obowiązujących dla tego magazynu. Istnieje możliwość modyfikacji zasad blokowania konta dla tego magazynu. Zapoznaj się z dokumentacją odnoszącą się do określonego typu magazynu, aby dowiedzieć się, jak zmienić jego zasady blokowania konta.