O principal fator que você deve usar para determinar como configura a segurança em sua organização do ArcGIS Enterprise é a origem dos usuários e, opcionalmente, dos grupos. Esta fonte de usuários e grupos é denominada seu provedor de identidade. Usuários e grupos dentro ou fora de sua organização são gerenciados por meio do armazenamento de identidade.
- Entendendo o armazenamento de identidade
- Configurando usuários embutidos utilizando o armazenamento de identidade do portal
- Configurar logins específicos da organização usando autenticação em série da web
- Configurar logins específicos da organização usando SAML
Entender armazenamentos de identidade
O armazenamento de identidade para sua organização define onde as credenciais de suas contas do portal são armazenadas, como a autenticação ocorre e como a associação ao grupo é gerenciada. A organização do ArcGIS Enterprise oferece suporte a dois tipos de armazenamentos de identidade: armazenamentos de identidade internos e específicos da organização.
Armazenamento de identidade embutido
O portal do ArcGIS Enterprise pode ser configurado para permitir que os membros criem contas e grupos facilmente no seu portal. Quando habilitado, você pode utilizar o link Criar uma conta na página Entrar do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Ao criar contas e grupos em seu portal dessa forma, você está aproveitando o armazenamento de identidade integrado, que realiza autenticação e armazena nomes de usuário, senhas, pap[eis e associações de grupo de contas do portal.
Você deve usar o armazenamento de identidade interno para criar a conta de administrador inicial para sua organização, mas você pode mudar posteriormente para um armazenamento de identidade específico da organização. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. Entretanto, os ambientes de produção normalmente alavancam um armazenamento de identidade específico da organização.
Anotação:
Caso seja necessário reverter de um armazenamento de identidade específico da organização para um armazenamento de identidade integrado, você poderá fazer isso excluindo todas as informações nas caixas de texto Configuração de armazenamento de usuário e Configuração de armazenamento de grupo na página Atualizar Armazenamento de Identidade no Diretório do Administrador do portal. Para mais informações, consulte documentação ArcGIS REST API.
Armazenamento de identidade específico da organização
O ArcGIS Enterprise é projetado para que você possa usar contas e grupos específicos da organização para controlar o acesso à sua organização do ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP) e provedores de identidade que suportam Registro Único de Navegador da Web do Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
A vantagem desta abordagem é que você não precisa criar contas adicionais no portal. Os membros utilizam o login que já está configurado no armazenamento de identidade específico da organização. O gerenciamento de credenciais da conta, incluindo políticas para complexidade e expiração de senha, é totalmente externo ao portal. Isso permite uma experiência de registro único para que os usuários não precisem inserir suas credenciais novamente.
Semelhantemente, você também pode criar grupos no portal que alavancam os grupos de Active Directory, LDAP ou SAML no seu armazenamento de identidade. Além disso, as contas específicas da organização podem ser adicionadas em lote a partir de grupos Active Directory, LDAP ou SAML na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo Active Directory, LDAP ou SAML. O gerenciamento de credenciais da conta é completamente externo ao portal.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo ao seu portal, conectar seu portal aos grupos Active Directory, LDAP ou SAML desejados na sua organização e adicionar as contas especificas da organização baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos Active Directory, LDAP ou SAML específicos dentro da sua organização.
Use um armazenamento de identidade específico da organização se a sua organização deseja definir políticas para expiração e complexidade de senha, controlar o acesso usando grupos Active Directory, LDAP ou SAML existentes ou aproveitar a autenticação sobre LDAP ou Infraestrutura de Chave Pública (PKI). A autenticação pode ser tratada no nível da camada da web (usando autenticação em série da web), no nível do portal (usando autenticação de camada do portal) ou por meio de um provedor de identidade externo (usando SAML).
Suporte de múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira para gerenciar usuários que podem residir dentro ou fora da sua organização. Para detalhes completos, consulte Configurar um provedor de identidade compatível ao SAML com seu portal.
Configurar usuários e grupos embutidos utilizando o armazenamento de identidade do portal
Nenhuma etapa é necessária para configurar o portal ao utilizar com grupos e usuários embutidos; o portal está pronto para grupos e usuários embutidos imediatamente após instalar o software. Se você estiver utilizando usuários específicos da organização, consulte as seguintes seções e links relacionados para mais informações.
Configurar logins específicos da organização
Os seguintes provedores de identidade específicos da organização podem ser configurados com o portal. A autenticação pode ser tratada na camada da web (usando ArcGIS Web Adaptor) ou na série do portal.
Autenticação em série da web
Se você tiver um diretório LDAP, você poderá utilizá-lo com o portal do ArcGIS Enterprise. Consulte Usar seu portal com LDAP e autenticação em série da web para mais informações. Se você desejar utilizar LDAP, implante seu Web Adaptor em um servidor de aplicativo Java, tal como, Apache Tomcat, IBM WebSphere ou Oracle WebLogic.
Se a sua organização tiver um PKI, você poderá utilizar certificados para autenticar a comunicação com seu portal utilizando HTTPS. Não é possível habilitar o acesso anônimo ao seu portal quando utilizar PKI. Consulte Usar LDAP e PKI para acesso seguro ao seu portal para mais informações.
Autenticação em série do portal
Se você desejar a permissão de acesso ao seu portal utilizando ambos os armazenamentos de identidade específico da organização e embutido sem utilizar SAML, você poderá utilizar a autenticação em série do portal. Isso é alcançado aoao configurar o portal com o seu armazenamento de identidade LDAP, e, em seguida, habilitar o acesso anônimo no servidor de aplicativo Java Quando um usuário acessar a página de registro do portal, ele poderá entrar usando credenciais específicas da organização ou credenciais embutidas. Os usuários específicos da organização deverão solicitar para inserir suas credenciais de conta cada vez que entrarem no portal; o registro automático ou único não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.
Ao usar a autenticação em série do portal, os membros entrarão usando a seguinte sintaxe:
- Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
- Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.
Configurar logins específicos da organização usando SAML
O portal do ArcGIS Enterprise suporta todos os provedores de identidade compatíveis ao SAML O seguinte tutorial demonstra como configurar determinados provedores de identidade compatível do SAML comuns com portal. Para mais informações, consulte Configurar um provedor de identidade compatível ao SAML com seu portal.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A política de bloqueio do portal aplicada depende de qual tipo de armazenamento de identidade você está usando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após cinco tentativas consecutivas inválidas. O bloqueio dura por 15 minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade específico da organização
Quando você estiver utilizando um armazenamento de identidade específico da organização, a diretiva de bloqueio da conta será herdada do armazenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.
Monitorar falhas em tentativas de login
Você pode monitorar as falhas em tentativas de login ao visualizar os logs do portal no Diretório do Portal. Quaisquer falhas em tentativas resultam em uma mensagem de nível de aviso declarando que o usuário falhou ao entrar, devido à combinação inválida do nome de usuário e senha. Se o usuário exceder o número máximo das tentativas de login, uma mensagem de nível severo é enviada declarando que a conta foi bloqueada. O monitoramento de logs do portal para falhas em tentativas de login, pode ajudá-lo a entender se há um potencial ataque de senha no seu sistema.
Para mais informações, consulte Sobre trabalhar com logs do portal.