Skip To Content

Kontrola dostępu do danych opublikowanych z poziomu elementów magazynu danych

Dodanie elementu magazynu danych ułatwia udostępnianie danych GIS w całej instytucji. Jednak podobnie jak w przypadku wszystkich danych w instytucji, należy również zapewnić ich bezpieczeństwo. Jednym ze sposobów jest udostępnienie danych tylko tym użytkownikom, którzy ich potrzebują. Należy wziąć pod uwagę rolę każdej osoby w instytucji, dane, do których każda osoba potrzebuje mieć dostęp oraz sposób użycia tych danych. Po określeniu tych informacji należy skonfigurować następujące elementy:

  • Dostęp i uprawnienia do danych źródłowych
  • Możliwość tworzenia elementów magazynu danych
  • Dostęp do elementów magazynu danych
  • Dostęp do warstw internetowych opublikowanych na podstawie magazynu danych

Dostęp do danych źródłowych

Sposób kontrolowania dostępu do lokalizacji danych źródłowych zależy od typu magazynu danych.

Udostępnione pliki

Pliki należy grupować w oddzielnych folderach według użytkowników, którzy potrzebują do nich dostępu.

W każdym udostępnionym folderze należy przyznać uprawnienia do odczytu sieciowemu identyfikatorowi logowania używanemu do uruchamiania witryn serwera ArcGIS Image Server, w których zarejestrowany jest dany udostępniony plik. Jeśli dowolna inna osoba będzie dodawać dane zobrazowań do folderu, należy przyznać identyfikatorowi logowania tej osoby uprawnienie do zapisu w danym udostępnionym pliku.

Należy przyznać uprawnienia do odczytu każdego udostępnionego pliku identyfikatorom logowania użytkowników, którzy będą używali aplikacji ArcGIS Pro do publikowania z plików w tym udostępnionym pliku.

Bazy danych i magazyny danych w chmurze

Podczas nawiązywania połączenia z bazą danych należy utworzyć użytkownika bazy danych mającego wyłącznie uprawnienia do odczytu podzbioru klas obiektów i tabel, które będą publikowane zbiorczo z elementu magazynu danych. Konkretne uprawnienia różnią się w zależności od bazy danych, ale użytkownik musi mieć możliwość nawiązania połączenia z bazą danych i jedynie wyboru tabel oraz klas obiektów, które będą publikowane.

Jeśli po zakończeniu operacji zbiorczego publikowania planowane jest włączenie edycji określonych usług obiektowych, należy się upewnić, że konto używane do łączenia się z bazą danych ma odpowiednie uprawnienia do edycji tylko tych tabel lub klas obiektowych, które zapełniają edytowalne usługi obiektowe.

Użytkownicy, którzy będą korzystać z danych źródłowych w bazie danych z poziomu aplikacji ArcGIS Pro w celu publikowania warstw obiektowych dostępnych do edycji, muszą dysponować uprawnieniami pozwalającymi na edytowanie tych danych.

Poświadczenia używane do uzyskania dostępu do danych źródłowych w magazynie danych w chmurze z poziomu aplikacji ArcGIS Pro w celu publikowania wymagają takich uprawnień w odniesieniu do danych, które umożliwiają dostęp tylko do odczytu do określonych tabel przestrzennych i nieprzestrzennych.

Magazyn w chmurze

Należy utworzyć osobne zasobniki lub kontenery magazynu obiektów blob i umieścić różne obrazy w poszczególnych lokalizacjach magazynu w chmurze w zależności od użytkowników, którzy potrzebują dostępu do każdego zestawu obrazów.

Każdą lokalizację magazynu w chmurze należy zarejestrować jako osobny element magazynu danych, który można następnie udostępnić wyłącznie członkom instytucji potrzebującym dostępu do danego zestawu obrazów.

Udostępnione pliki dużych zbiorów danych

Utwórz osobne udostępnione pliki dużych zbiorów danych dla tych użytkowników, którzy potrzebują dostępu do tych danych. Zarejestruj każdą lokalizację udostępnionego pliku dużych zbiorów danych jako osobny element udostępnionego pliku dużych zbiorów danych, który można następnie udostępnić tylko tym członkom instytucji, którzy wymagają dostępu do zestawów danych.

Użytkownicy, którzy mają dostęp do udostępnionych plików dużych zbiorów danych z użyciem wynikowego szablonu, wymagają uprawnień do zapisu, aby zapisywać wynikowe szablony. Dotyczy to wszystkich typów udostępnionego pliku dużych zbiorów danych.

No SQL

Każda tworzona warstwa wykresu wymaga osobnej bazy danych No SQL. Poświadczenia uwierzytelniania dla bazy danych No SQL należy udostępnić tylko temu użytkownikowi, który utworzy warstwę wykresu w tej bazie danych.

Uprawnienia do tworzenia elementów magazynu danych i publikowania warstw

Przypisania ról użytkowników portalu są kontrolowane przez administratora instytucji. Domyślne role Publikujący oraz Administrator uzyskują automatycznie uprawnienia wymagane do tworzenia elementów magazynu danych, publikowania warstw internetowych serwera ArcGIS Server i zbiorczego publikowania warstw obiektowych z elementów magazynu danych bazy danych w portalu. Aby mieć większą kontrolę nad tym, kto może tworzyć elementy magazynu danych, kto może udostępniać magazyny danych innym użytkownikom oraz co może być publikowane z magazynów danych z innych klientów ArcGIS, administrator instytucji powinien użyć ról niestandardowych.

Następujące ogólne uprawnienia do zasobów są wymagane dla roli niestandardowej, której członkowie mogą tworzyć elementy magazynu danych bazy danych używane wyłącznie na potrzeby publikowania zbiorczego:

  • Tworzenie, aktualizacja i usuwanie
  • Publikowanie warstw z serwera
  • Rejestruj magazyny danych
  • Utwórz masowo warstwy obiektowe z magazynu danych

Następujące uprawnienia są wymagane dla roli niestandardowej, której członkowie mogą tworzyć elementy magazynu danych bazy danych używane wyłącznie na potrzeby publikowania z aplikacji ArcGIS Pro:

  • Tworzenie, aktualizacja i usuwanie — umożliwia członkom tworzenie elementu magazynu danych w portalu i zarządzanie nim.
  • Rejestrowanie magazynów danychumożliwia członkom rejestrowanie bazy danych na serwerach sfederowanych.
  • Publikowanie warstw z serweraumożliwia członkom publikowanie usług internetowych ArcGIS Server zawierających odniesienia do danych źródłowych.

Opcjonalnie można nadać uprawnienie Udostępnianie grupom roli niestandardowej. To ogólne uprawnienie Udostępnianie umożliwia twórcy magazynu danych udostępnienie elementu magazynu danych innym użytkownikom w celu opublikowania na serwerach sfederowanych. Należy zauważyć, że aby uprawnienie to było przydatne, użytkownicy będą potrzebować właściwego pliku połączenia z bazą danych (w celu nawiązania połączenia z tą samą bazą danych jako ten sam użytkownik) w aplikacji ArcGIS Pro.

W przypadku folderu i elementów magazynu danych w chmurze mogą istnieć oddzielne grupy niestandardowe dla użytkowników, którzy tworzą elementy magazynu danych i dla tych, którzy z nich publikują. W przypadku ról, których członkowie muszą tworzyć elementy magazynu danych, ale nie muszą mieć możliwości publikowania, należy przyznać następujące ogólne uprawnienia Zasoby i Udostępnianie:

  • Tworzenie, aktualizacja i usuwanie — umożliwia członkom tworzenie elementów magazynu danych i zarządzanie nim.
  • Rejestrowanie magazynów danych — umożliwia członkom rejestrowanie folderu lub lokalizacji w chmurze na serwerach sfederowanych.
  • Co najmniej jedno z następujących: Udostępnianie grupom, Udostępnianie w portalu, Udostępnianie publiczne — przyznane uprawnienia zależą od tego, kto ma mieć dostęp do elementu magazynu danych: konkretne grupy portalu, wszyscy członkowie instytucji lub dowolne osoby mające dostęp do portalu.

W przypadku ról, których członkowie będą tworzyć warstwy zobrazowań z magazynów danych lub publikować z poziomu aplikacji ArcGIS Pro, należy nadać następujące ogólne uprawnienia Zasoby:

  • Tworzenie, aktualizacja i usuwanie — umożliwia członkom tworzenie elementów warstw w portalu.
  • Publikowanie warstw z serweraumożliwia członkom tworzenie i publikowanie usług internetowych serwera ArcGIS Server.

Dostęp do elementów magazynu danych

Po dodaniu magazynu danych do portalu należy udostępnić element magazynu danych członkom instytucji, którzy będą publikować z niego dane. Elementy magazynu danych bazy danych należy udostępniać grupom, których członkowie będą publikować z aplikacji ArcGIS Pro lub z plików definicji usługi w aplikacji ArcGIS Server Manager. Gdy członkowie grupy publikują na jednym z serwerów sfederowanych, na którym zarejestrowano magazyn danych, aplikacja ArcGIS Pro i serwer sfederowany rozpoznają, że członkowie grupy mają dostęp do magazynu danych i umożliwiają im publikowanie bez konieczności osobnego rejestrowania magazynu danych.

Element magazynu danych można udostępnić w instytucji, ale w większości przypadków zaleca się ograniczyć dostęp do określonych grup.

  1. Utwórz grupę w instytucji.
  2. Dodaj lub zaproś do grupy członków instytucji, którzy mają uprawnienia do publikowania warstw internetowych serwera ArcGIS Server.
  3. Udostępnij element magazynu danych grupie.

Dostęp do magazynu danych mają tylko członkowie grupy. W związku z tym tylko ci członkowie mogą publikować zawarte w nim dane.

Notatka:

Publikując z aplikacji ArcGIS Pro, nie należy dodawać danych z elementu magazynu danych ani publikować ich. Zamiast tego należy przejść do podstawowego pliku połączenia z bazą danych lub lokalizacji udostępnienia pliku, dodać dane z tego miejsca i opublikować je.

Dostęp do warstw internetowych

Administratorzy instytucji oraz użytkownicy publikujący warstwy internetowe decydują o tym, kto ma dostęp do warstw przez nich opublikowanych z magazynu danych, udostępniając warstwy grupom, instytucji lub wszystkim użytkownikom mającym dostęp do portalu.

Jeśli używane są role niestandardowe, użytkownicy publikujący, którzy udostępniają utworzone przez siebie warstwy, muszą mieć przypisaną rolę obejmującą co najmniej ogólne uprawnienie udostępniania Udostępnianie grupom. Aby zezwolić członkom grupy na udostępnianie warstw wszystkim członkom instytucji, należy przypisać uprawnienie Udostępnianie w portalu. Aby zezwolić członkom grupy na udostępnianie warstw wszystkim osobom mającym dostęp do portalu, należy przypisać uprawnienie Udostępnianie publiczne.