Um dos principais aspectos de planejar uma implantação do ArcGIS Enterprise é decidir como gerenciar contas que irão acessar seu portal e quais privilégios serão concedidos para as contas. A determinação de como as contas serão gerenciadas é uma escolha do armazenamento de identidade.
Entender armazenamentos de identidade
O armazenamento de identidade para sua organização define onde as credenciais de suas contas do portal são armazenadas, como a autenticação ocorre e como a associação ao grupo é gerenciada. A organização do ArcGIS Enterprise oferece suporte a dois tipos de armazenamentos de identidade: armazenamentos de identidade internos e específicos da organização.
Armazenamento de identidade embutido
O portal do ArcGIS Enterprise pode ser configurado para permitir que os membros criem contas e grupos facilmente no seu portal. Quando habilitado, você pode utilizar o link Criar uma conta na página Entrar do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Ao criar contas e grupos em seu portal dessa forma, você está aproveitando o armazenamento de identidade integrado, que realiza autenticação e armazena nomes de usuário, senhas, pap[eis e associações de grupo de contas do portal.
Você deve usar o armazenamento de identidade interno para criar a conta de administrador inicial para sua organização, mas você pode mudar posteriormente para um armazenamento de identidade específico da organização. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. Entretanto, os ambientes de produção normalmente alavancam um armazenamento de identidade específico da organização.
Anotação:
Caso seja necessário reverter de um armazenamento de identidade específico da organização para um armazenamento de identidade integrado, você poderá fazer isso excluindo todas as informações nas caixas de texto Configuração de armazenamento de usuário e Configuração de armazenamento de grupo na página Atualizar Armazenamento de Identidade no Diretório do Administrador do portal. Para mais informações, consulte documentação ArcGIS REST API.
Armazenamento de identidade específico da organização
O ArcGIS Enterprise é projetado para que você possa usar contas e grupos específicos da organização para controlar o acesso à sua organização do ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP) e provedores de identidade que suportam Registro Único de Navegador da Web do Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
A vantagem desta abordagem é que você não precisa criar contas adicionais no portal. Os membros utilizam o login que já está configurado no armazenamento de identidade específico da organização. O gerenciamento de credenciais da conta, incluindo políticas para complexidade e expiração de senha, é totalmente externo ao portal. Isso permite uma experiência de registro único para que os usuários não precisem inserir suas credenciais novamente.
Semelhantemente, você também pode criar grupos no portal que alavancam os grupos de Active Directory, LDAP ou SAML no seu armazenamento de identidade. Além disso, as contas específicas da organização podem ser adicionadas em lote a partir de grupos Active Directory, LDAP ou SAML na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo Active Directory, LDAP ou SAML. O gerenciamento de credenciais da conta é completamente externo ao portal.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo ao seu portal, conectar seu portal aos grupos Active Directory, LDAP ou SAML desejados na sua organização e adicionar as contas especificas da organização baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos Active Directory, LDAP ou SAML específicos dentro da sua organização.
Use um armazenamento de identidade específico da organização se a sua organização deseja definir políticas para expiração e complexidade de senha, controlar o acesso usando grupos Active Directory, LDAP ou SAML existentes ou aproveitar a autenticação sobre LDAP ou Infraestrutura de Chave Pública (PKI). A autenticação pode ser tratada no nível da camada da web (usando autenticação em série da web), no nível do portal (usando autenticação de camada do portal) ou por meio de um provedor de identidade externo (usando SAML).
Suporte de múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira para gerenciar usuários que podem residir dentro ou fora da sua organização. Para detalhes completos, consulte Configurar um provedor de identidade compatível ao SAML com seu portal.
Entender os privilégios de acesso
Após decidir como as contas serão gerenciadas no ArcGIS Enterprise, você precisará decidir quais privilégios você deseja que os usuários que acessam sua organização do ArcGIS tenham. Os privilégios são definidos se o usuário acessando seu portal é ou não parte da organização do ArcGIS.
Os usuários que acessam o portal sem uma conta organizacional do ArcGIS podem somente pesquisar e utilizar itens públicos. Por exemplo, se um mapa da web público for embutido em um site da web, os usuários visualizando o mapa estarão acessando um item do seu portal, embora eles não tenham uma conta. Depende de você habilitar este tipo de acesso. Você pode sempre desativar o acesso para pessoas que ainda não pertencem à organização do ArcGIS. Para saber como fazer isto, consulte Desabilitar acesso anônimo.
Os usuários podem acessar seu portal com privilégios elevados se forem membros da sua organização do ArcGIS. Os membros da sua organização ArcGIS são listados na página Organização do site da web do portal. Os membros de uma organização são organizados por tipos de usuários que correspondem aos vários papéis com diferentes privilégios. Para saber mais, consulte Tipos de usuários, papéis e privilégios.
Quando uma nova conta organizacional do ArcGIS é adicionada no seu portal, ela recebe o papel de usuário por padrão. Entretanto, o administrador do portal pode alterar o papel a qualquer momento.
Gerenciar contas organizacionais do ArcGIS
Uma conta organizacional do ArcGIS é uma conta de usuário que foi adicionada ao painel da organização do seu site da web do portal. Ao longo da documentação e experiência do usuário no site da web do portal, estes usuários são normalmente referenciados como membros da organização.
Como um administrador, é importante que você não somente controle completamente os privilégios concedidos para cada um dos membros na sua organização do ArcGIS, mas também, quem tem permissão para ser um membro dela.
O número máximo de contas organizacionais do ArcGIS no seu portal é definido pelo arquivo de licença que você utilizou para licenciar o portal. A qualquer momento, você pode comparar o número total de membros atribuídos a um tipo de usuário e licenças de tipo de usuário disponíveis restantes a partir das guias Visão Geral ou Licenças na página Organização no site da web do portal. Na guia Visão Geral você pode visualizar o total de licenças atribuídas e disponíveis na visão geral de Membros. Na guia Licenças, você pode visualizar licenças disponíveis e atribuídas por tipo de usuário na guia Tipos de usuário.
Gerenciar contas ao utilizar o armazenamento embutido
Ao utilizar o armazenamento embutido, é possível configurar o site da web do portal para mostra um link que qualquer usuário possa utilizar para participar da organização do ArcGIS. Isto facilita aos usuários participarem da sua organização, mas você não pode restringir quem participa; qualquer um com acesso ao seu portal pode criar uma conta. Se você desejar mais controle, você poderádesabilitar esta experiência de auto-serviço e aprovisionar seu portal em lote com um número pré-definido de contas. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Gerenciar contas ao usar um armazenamento de identidade específico da organização
O portal ArcGIS Enterprise não permitirá que você exclua, edite ou crie novas contas em seu armazenamento de identidade, mas você pode registrar contas específicas da organização existentes em sua organização. Por esse motivo, a página de registro no site do portal não estará disponível quando você configurar o portal com um armazenamento de identidade específico da organização.
Como um administrador, você normalmente selecionará logins específicos da organização que deseja adicionar à organização e os adicionará em massa. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Como alternativa, você pode adicionar qualquer conta específica da organização que se conecte ao seu portal ou qualquer um de seus itens automaticamente. Para saber mais, consulte Registro automático de contas específicas da organização.
É importante entender que quando o portal é configurado com um armazenamento de identidade específico da organização, o acesso anônimo à organização ArcGIS é desabilitada; ou seja, qualquer usuário que acesse seu portal deve primeiro se autenticar em seu armazenamento de identidade. Após autenticado, os privilégios do usuário serão determinados se eles tiverem ou não uma conta organizacional do ArcGIS.
Validado:
No Portal for ArcGIS 10.2, contas específicas da organização foram automaticamente registradas como membros da organização. Isto significa que sua organização pode ter sem querer excedido o número máximo de membros. Ao atualizar o Portal for ArcGIS 10.2 para uma versão mais recente, o comportamento validado persiste; as contas ainda são automaticamente registradas por padrão. Por padrão, as novas instalações do Portal for ArcGIS não permitem a criação automática de conta. Se você atualizou seu portal do 10.2 para uma versão posterior, você poderá desejar considerar desativar este comportamento para ter mais controle sobre quais usuários são adicionados como membros na sua organização. Para instruções completas, consulte Registro automático de contas específicas da organização.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A política de bloqueio do portal aplicada depende de qual tipo de armazenamento de identidade você está usando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após cinco tentativas consecutivas inválidas. O bloqueio dura por 15 minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade específico da organização
Quando você estiver utilizando um armazenamento de identidade específico da organização, a diretiva de bloqueio da conta será herdada do armazenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.