O principal fator que você deve utilizar para determinar como configura a segurança na implantação do seu Portal for ArcGIS é a fonte de usuários, e opcionalmente, grupos para seu portal. Esta fonte de usuários e grupos é denominada seu provedor de identidade. Os usuários e grupos dentro ou fora da sua organização são gerenciados pelo armazenamento de identidade.
- Entendendo o armazenamento de identidade
- Configurando usuários embutidos utilizando o armazenamento de identidade do portal
- Configurando logins enterprise utilizando autenticação em série da web
- Configurando logins enterprise utilizando SAML
Entendendo o armazenamento de identidade
O armazenamento de identidade para seu portal define onde as credenciais das suas contas do portal são armazenadas, como ocorre a autenticação e como a associação de grupo é administrada. O Portal for ArcGIS suporta dois tipos de armazenamento de identidade: embutido e enterprise.
Armazenamento de identidade embutido
O Portal for ArcGIS é pré-configurado, então você pode facilmente criar contas e grupos no seu portal. Você pode utilizar o link Criar uma conta na página inicial do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Você também pode clicar na guia Grupos na página inicial do site da web do portal e criar um grupo para gerenciar itens. Quando você cria contas e grupos no seu portal desta maneira, você é conduzido ao armazenamento de identidade embutido, que executa autenticação e armazena nomes de usuários, senhas, papéis e associação de grupo da conta do portal.
Você deve utilizar o armazenamento de identidade embutido para criar a conta inicial de administrador no seu portal, mas você pode trocar para um armazenamento de identidade enterprise posteriormente. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. Entretanto, os ambientes de produção normalmente alavancam um armazenamento de identidade enterprise.
Armazenamento de identidade enterprise
O Portal for ArcGIS é projetado de forma que você possa utilizar contas e grupos enterprise para controlar o acesso na sua organização ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP), servidor do Diretório Ativo, e provedores de identidade que suportam Registro Único da Web de Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como instalação de logins enterprise.
A vantagem desta abordagem é que você não precisa criar contas adicionais dentro do portal. Os membros utilizam o login que já está instalado dentro do armazenamento de identidade enterprise. O gerenciamento de credenciais da conta é completamente externo para Portal for ArcGIS. Isto permite uma experiência de registro única, então os usuários não precisarão inserir novamente suas credenciais.
Semelhantemente, você também pode criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade. Além disso, as contas enterprise podem ser adicionadas em lote a partir de grupos enterprise na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados é controlado pelas regras de associação definidas no grupo enterprise. O gerenciamento de associação do grupo é completamente externo para Portal for ArcGIS.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo para seu portal, conectar seu portal aos grupos enterprise desejados na sua organização e adicionar as contas enterprise baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos enterpise específicos dentro da sua organização.
Utilize um armazenamento de identidade enterprise se a sua organização desejar a configuração de diretivas para vencimento de senha e complexidade, controle de acesso utilizando grupos enterprise existentes ou alavancar a autenticação durante a Autenticação Integrada do Windows (IWA) ou Infraestrutura de Chave Pública (PKI). A autenticação pode ser manipulada em camada da web (utilizando autenticação em série), em camada do porta (utilizando autenticação em série do portal) ou por um provedor de identidade externo (utilizando SAML).
Suportando múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira para gerenciar usuários que podem residir dentro ou fora da sua organização. Para detalhes completos, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
Configurando grupos e usuários embutidos utilizando o armazenamento de identidade do portal
Nenhuma etapa é necessária para configurar o portal ao utilizar com grupos e usuários embutidos; o portal está pronto para grupos e usuários embutidos imediatamente após instalar o software. Se você estiver utilizando usuários enterprise, consulte as seguintes seções e links relacionados para mais informações.
Configurando logins enterprise
Os seguintes provedores de identidade enterprise podem ser configurados com o portal. A autenticação pode ser manipulada na série da web (utilizando ArcGIS Web Adaptor) ou na série do portal.
Autenticação em série da web
Se o seu portal estiver executando em um servidor do Windows e você tiver um Diretório Ativo do Windows configurado, você poderá utilizar Autenticação Integrada do Windows para se conectar ao seu portal. Isto permite um registro único ou automático na experiência para usuários do portal pela autenticação em série da web. Para utilizar a autenticação do Windows, seu Web Adaptor deve ser implantado no servidor da web IIS da Microsoft.
Se você tiver um diretório LDAP, você poderá utilizá-lo com o Portal for ArcGIS. Consulte Utilizando seu portal com LDAP e autenticação em série da web para mais informações. Se você desejar utilizar LDAP, implante seu Web Adaptor em um servidor de aplicativo Java, tal como, Apache Tomcat, IBM WebSphere ou Oracle WebLogic.
Se a sua organização tiver um PKI, você poderá utilizar certificados para autenticar a comunicação com seu portal utilizando HTTPS. Ao autenticar usuários, você tem a opção para utilizar Diretório Ativo do Windows ou Protocolo Leve de Acesso ao Diretório (LDAP). Para utilizar a autenticação do Windows, seu Web Adaptor deve ser implantado no servidor da web IIS da Microsoft. Para utilizar LDAP, seu Web Adaptor deverá ser implantado em um servidor de aplicativo Java, tal como, Apache Tomcat, IBM WebSphere ou Oracle WebLogic. Não é possível habilitar o acesso anônimo ao seu portal quando utilizar PKI.
Autenticação em série do portal
Se você desejar a permissão de acesso ao seu portal utilizando ambos os armazenamentos de identidade enterprise e embutido sem utilizar SAML, você poderá utilizar a autenticação em série do portal. Isto é alcançado ao configurar o portal com seu armazenamento de identidade do Diretório Ativo ou LDAP, então habilitar o acesso anônimo em IIS ou no seu servidor de aplicativo Java. Quando um usuário acessar a página de registro do portal, ele poderá entra utilizando credenciais enterprise ou credenciais embutidas. Usuários enterprise serão exigidos para inserir suas credenciais da conta todo vez que entrarem no portal; o registro único ou automático não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.
Quando utilizar a autenticação em série do portal, membros na sua organização entrarão utilizando a seguinte sintaxe:
- Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
- Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.
Configurando logins enterprise utilizando SAML
Os seguintes provedores de identidade compatíveis ao SAML foram certificados para utilizar com o Portal for ArcGIS. Para mais informações, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A diretiva de bloqueio obrigada pelo Portal for ArcGIS depende do tipo do armazenamento de identidade que você está utilizando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após dez tentativas consecutivas inválidas. O bloqueio dura por dez minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade enterprise
Quando você estiver utilizando um armazenamento de identidade enterprise, a diretiva de bloqueio da conta será herdada do armzenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.
Monitorar falhas em tentativas de login
Você pode monitorar as falhas em tentativas de login ao visualizar os logs do portal no Diretório do ArcGIS Portal. Quaisquer falhas em tentativas resultam em uma mensagem de nível de aviso declarando que o usuário falhou ao entrar, devido à combinação inválida do nome de usuário e senha. Se o usuário exceder o número máximo das tentativas de login, uma mensagem de nível severo é enviada declarando que a conta foi bloqueada. O monitoramento de logs do portal para falhas em tentativas de login, pode ajudá-lo a entender se há um potencial ataque de senha no seu sistema.
Para mais informações, consulte Sobre trabalhar com logs do portal.