Um dos principais aspectos de planejar uma implantação do Portal for ArcGIS é decidir como gerenciar contas que irão acessar seu portal e quais privilégios serão concedidos para as contas. A determinação de como as contas serão gerenciadas é uma escolha do armazenamento de identidade.
Entendendo o armazenamento de identidade
O armazenamento de identidade para seu portal define onde as credenciais das suas contas do portal são armazenadas, como ocorre a autenticação e como a associação de grupo é administrada. O Portal for ArcGIS suporta dois tipos de armazenamento de identidade: embutido e enterprise.
Armazenamento de identidade embutido
O Portal for ArcGIS é pré-configurado, então você pode facilmente criar contas e grupos no seu portal. Você pode utilizar o link Criar uma conta na página inicial do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Você também pode clicar na guia Grupos na página inicial do site da web do portal e criar um grupo para gerenciar itens. Quando você cria contas e grupos no seu portal desta maneira, você é conduzido ao armazenamento de identidade embutido, que executa autenticação e armazena nomes de usuários, senhas, papéis e associação de grupo da conta do portal.
Você deve utilizar o armazenamento de identidade embutido para criar a conta inicial de administrador no seu portal, mas você pode trocar para um armazenamento de identidade enterprise posteriormente. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. Entretanto, os ambientes de produção normalmente alavancam um armazenamento de identidade enterprise.
Armazenamento de identidade enterprise
O Portal for ArcGIS é projetado de forma que você possa utilizar contas e grupos enterprise para controlar o acesso na sua organização ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP), servidor do Diretório Ativo, e provedores de identidade que suportam Registro Único da Web de Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como instalação de logins enterprise.
A vantagem desta abordagem é que você não precisa criar contas adicionais dentro do portal. Os membros utilizam o login que já está instalado dentro do armazenamento de identidade enterprise. O gerenciamento de credenciais da conta é completamente externo para Portal for ArcGIS. Isto permite uma experiência de registro única, então os usuários não precisarão inserir novamente suas credenciais.
Semelhantemente, você também pode criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade. Além disso, as contas enterprise podem ser adicionadas em lote a partir de grupos enterprise na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados é controlado pelas regras de associação definidas no grupo enterprise. O gerenciamento de associação do grupo é completamente externo para Portal for ArcGIS.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo para seu portal, conectar seu portal aos grupos enterprise desejados na sua organização e adicionar as contas enterprise baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos enterpise específicos dentro da sua organização.
Utilize um armazenamento de identidade enterprise se a sua organização desejar a configuração de diretivas para vencimento de senha e complexidade, controle de acesso utilizando grupos enterprise existentes ou alavancar a autenticação durante a Autenticação Integrada do Windows (IWA) ou Infraestrutura de Chave Pública (PKI). A autenticação pode ser manipulada em camada da web (utilizando autenticação em série da web), em camada do porta (utilizando autenticação em série do portal) ou por um provedor de identidade externo (utilizando SAML).
Suportando múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira para gerenciar usuários que podem residir dentro ou fora da sua organização. Para detalhes completos, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
Entendendo privilégios de acesso
Após decidir como as contas serão gerenciadas no Portal for ArcGIS, você precisará decidir quais privilégios você deseja que tenham os usuários que acessam sua organização do ArcGIS. Os privilégios são definidos se o usuário acessando seu portal é ou não parte da organização do ArcGIS.
Os usuários que acessam o portal sem uma conta organizacional do ArcGIS podem somente pesquisar e utilizar itens públicos. Por exemplo, se um mapa da web público for embutido em um site da web, os usuários visualizando o mapa estarão acessando um item do seu portal, embora eles não tenham uma conta. Depende de você habilitar este tipo de acesso. Você pode sempre desativar o acesso para pessoas que já não pertencem à organização do ArcGIS. Para informações sobre como fazer isto, consulte Desabilitando o acesso anônimo.
Os usuários podem acessar seu portal com privilégios elevados se forem membros da sua organização do ArcGIS. Os membros da sua organização ArcGIS são listados na página Organização do site da web do portal. Os membros de uma organização são organizados por níveis de associação que correspondem aos vários papéis com diferentes privilégios. Para mais informações sobre os diferentes níveis de privilégios, consulte papéis da organização.
Quando uma nova conta organizacional do ArcGIS for adicionada no seu portal, ela receberá o papel de usuário por padrão. Entretanto, o administrador do portal pode alterar o papel a qualquer momento.
Gerenciando contas organizacionais do ArcGIS
Uma conta organizacional do ArcGIS é uma conta de usuário que foi adicionada ao painel da organização do seu site da web do portal. Ao longo da documentação e experiência do usuário no site da web do portal, estes usuários são normalmente referenciados como membros da organização.
Como um administrador, é importante que você não somente controle completamente os privilégios concedidos para cada um dos membros na sua organização do ArcGIS, mas também, quem tem permissão para ser um membro dela.
O número máximo de contas organizacionais do ArcGIS no seu portal é definido pelo arquivo de autorização que você utilizou para ativar o software. A qualquer momento, você pode comparar o número total de membros na sua organização e o máximo permitido a partir da página Organização no site da web do portal. Em Associação Total, Contagem Atual lista o número atual de membros do portal e Máximo Permitido mostra o número total de membros para o qual o portal está autorizado.
Gerenciando contas ao utilizar o armazenamento embutido
Ao utilizar o armazenamento embutido, o site da web do portal, por padrão, mostra um link que qualquer usuário pode utilizar para participar da organização do ArcGIS. Isto facilita aos usuários participarem da sua organização, mas você não pode realmente restringir quem participa; qualquer um com acesso ao seu portal pode criar uma conta. Se você desejar mais controle, você poderá desabilitar esta experiência de auto-serviço e aprovisionar seu portal em lote com um número pré-definido de contas. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Gerenciando contas ao utilizar um armazenamento de identidade enterprise
O Portal for ArcGIS não permitirá a você excluir, editar ou criar novas contas no seu armazenamento enterprise, mas você pode registrar contas enterprise existentes na sua organização. Por esta razão, a página de registro no site da web do portal não estará disponível ao configurar seu portal com um armazenamento de identidade enterprise.
Como um administrador, você irá normalmente selecionar logins enterprise que deseja adicionar na organização e adicioná-los em massa. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Alternativamente, você pode adicionar qualquer conta enterprise que conecta ao seu portal ou qualquer um dos seus itens automaticamente. Para mais informações, consulte Registro automático de contas enterprise.
É importante entender que quando o portal é configurado com um armazenamento de identidade enterprise, o acesso anônimo na organização ArcGIS é desabilitado; isto é, qualquer usuário que acessar seu portal deve primeiro autenticar com seu armazenamento enterprise. Após autenticado, os privilégios do usuário serão determinados se eles tiverem ou não uma conta organizacional do ArcGIS.
Validado:
No Portal for ArcGIS 10.2, contas enterprise foram automaticamente registradas como membros da organização. Isto significa que sua organização pode ter sem querer excedido o número máximo de membros. Ao atualizar o Portal for ArcGIS 10.2 para uma versão mais recente, o comportamento validado persiste; as contas ainda são automaticamente registradas por padrão. Por padrão, as novas instalações do Portal for ArcGIS não permitem a criação automática de conta. Se você atualizou seu portal do 10.2 para uma versão posterior, você poderá desejar considerar desativar este comportamento para ter mais controle sobre quais usuários são adicionados como membros na sua organização. Para instruções completas, consulte Registro automático de contas enterprise.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A diretiva de bloqueio obrigada pelo Portal for ArcGIS depende do tipo do armazenamento de identidade que você está utilizando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após dez tentativas consecutivas inválidas. O bloqueio dura por dez minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade enterprise
Quando você estiver utilizando um armazenamento de identidade enterprise, a diretiva de bloqueio da conta será herdada do armzenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.