Skip To Content

Restringindo o recurso de proxy do portal

Em alguns cenários, o Portal for ArcGIS age como um servidor proxy. Este recurso é utilizado nas seguintes situações:

  • Você tenta acessar um recurso em um domínio diferente do seu portal e o suporte de Cross Origin Resource Sharing (CORS) não está disponível. O CORS é uma especificação que permite a um servidor da web e um navegador da web interagir e determinar se um pedido de origem-cruzada deve ser permitido.
  • Você tenta compartilhar um recurso seguro com outros usuários, mas deseja ocultar as credenciais do usuário exigidas para acessar o recurso.

Por padrão, o recurso de proxy do portal é irrestrito. Como resultado, o portal pode fazer uso errado para iniciar ataques de Denial of Service (DoS) ou Server Side Request Forgery (SSRF) em qualquer computador que a máquina do portal pode acessar. Para mitigar esta vulnerabilidade potencial, é fortemente recomendado que você restrinja o recurso de proxy do portal definindo uma lista de endereços da web aprovados. O Portal for ArcGIS somente poderá executar pedidos nos endereços na lista; todos os outros são bloqueados. Se você federou o ArcGIS Server com seu portal, a lista deverá conter os endereços de todas as máquinas no site, como também, qualquer recurso que esteja compartilhado como um item do portal.

Para definir uma lista de endereços aprovados, siga as etapas abaixo.

  1. Abra um navegador da web e entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está formatada como https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Configuração > Atualizar Configuração de Segurança.
  3. No campo Configuração, adicione a propriedade allowedProxyHosts e especifique a lista de endereços aprovados, por exemplo:
    {
        "disableServicesDirectory": false,
        "enableAutomaticAccountCreation": false,
        "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    Anotação:

    Utilize o formato (.*).domain.com para permitir pedidos de proxy para todas as máquinas dentro de um domínio especificado. Utilize caracteres especiais (*) com precaução; usuários não autorizados podem ter inadvertidamente acesso concedido às máquinas restritas.

  4. Clique em Atualizar Configuração.