Skip To Content

Ograniczanie możliwości serwera proxy portalu

W niektórych scenariuszach oprogramowanie Portal for ArcGIS pełni rolę serwera proxy. Możliwość ta jest wykorzystywana w następujących sytuacjach:

  • Użytkownik próbuje uzyskać dostęp do zasobu w innej domenie niż portal, ale obsługa udostępniania zasobów na serwerach w różnych domenach (CORS) jest niedostępna. CORS jest specyfikacją umożliwiającą interakcję serwerowi internetowemu i przeglądarce internetowej i określenie, czy żądanie CORS ma być dozwolone.
  • Użytkownik próbuje udostępnić zabezpieczony zasób innym użytkownikom, ale chce ukryć poświadczenia użytkownika wymagane do uzyskania dostępu do tego zasobu.

Domyślnie możliwości serwera proxy portalu nie są ograniczone. W wyniku tego może dojść do nieprawidłowego wykorzystania portalu w celu przeprowadzenia ataku o typie odmowa usług (DoS) lub złośliwe żądania po stronie serwera (SSRF) względem każdego komputera, do którego komputer portalu ma dostęp. Aby uchronić się przed tym potencjalnym zagrożeniem, zdecydowanie zaleca się ograniczenie możliwości serwera proxy portalu przez zdefiniowanie listy zatwierdzonych adresów internetowych. Oprogramowanie Portal for ArcGIS będzie mogło przekazywać żądania tylko do adresów podanych na liście, a wszystkie inne będą blokowane. Oprogramowanie Jeśli serwer ArcGIS Server został sfederowany z portalem, lista musi zawierać adresy wszystkich komputerów serwera, a także obejmować wszystkie zasoby, które są udostępniane w portalu jako elementy.

Aby zdefiniować listę zatwierdzonych adresów, wykonaj poniższe czynności.

  1. Otwórz przeglądarkę internetową i zaloguj się do oprogramowania Portal Administrator Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij Bezpieczeństwo (Security) > Konfiguracja (Config) > Aktualizacja konfiguracji zabezpieczeń (Update Security Configuration).
  3. W polu Configuration (Konfiguracja) dodaj właściwość allowedProxyHosts i podaj listę zatwierdzonych adresów, na przykład:
    {
        "disableServicesDirectory": false,
        "enableAutomaticAccountCreation": false,
        "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    Notatka:

    Użyj formatu (.*).domain.com, aby zezwolić na przekazywanie żądań do wszystkich komputerów w określonej domenie. Symboli wieloznacznych (*) należy używać ostrożnie. W sposób niezamierzony można nadać nieautoryzowanym użytkownikom dostęp do zastrzeżonych komputerów.

  4. Kliknij pozycję Aktualizuj konfigurację.