O principal fator que você deve usar para determinar como configura a segurança em sua organização do ArcGIS Enterprise é a origem dos usuários e, opcionalmente, dos grupos. Esta fonte de usuários e grupos é denominada seu provedor de identidade. Usuários e grupos dentro ou fora de sua organização são gerenciados por meio do armazenamento de identidade.
- Entender armazenamentos de identidade
- Configurar usuários integrados usando o armazenamento de identidade do portal
- Configure logins específicos da organização usando autenticação em nível da web
- Configurar logins específicos da organização usando SAML
Entender armazenamentos de identidade
O armazenamento de identidade para sua organização define onde as credenciais de suas contas do portal são armazenadas, como a autenticação ocorre e como a associação ao grupo é gerenciada. A organização do ArcGIS Enterprise oferece suporte a dois tipos de armazenamentos de identidade: armazenamentos de identidade internos e específicos da organização.
Armazenamento de identidade embutido
O portal ArcGIS Enterprise pode ser configurado para permitir que membros criem contas e grupos em seu portal. Quando habilitado, você pode utilizar o link Criar uma conta na página Entrar do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Ao criar contas e grupos em seu portal dessa forma, você está usando o armazenamento de identidade integrado, que executa autenticação e armazena nomes de usuários de contas do portal, senhas, papéis e associação de grupo.
Você deve usar o armazenamento de identidade interno para criar a conta de administrador inicial para sua organização, mas você pode mudar posteriormente para um armazenamento de identidade específico da organização. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. No entanto, os ambientes de produção normalmente utilizam um armazenamento de identidade específico da organização.
Anotação:
Caso seja necessário reverter de um armazenamento de identidade específico da organização para um armazenamento de identidade integrado, você poderá fazer isso excluindo todas as informações nas caixas de texto Configuração de armazenamento de usuário e Configuração de armazenamento de grupo na página Atualizar Armazenamento de Identidade no Diretório do Administrador do portal. Para mais informações, consulte a documentação ArcGIS REST API.
Armazenamento de identidade específico da organização
O ArcGIS Enterprise é projetado para que você possa usar contas e grupos específicos da organização para controlar o acesso à sua organização do ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP), servidor do Diretório Ativo, e provedores de identidade que suportam Registro Único de Navegador da Web do Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
A vantagem desta abordagem é que você não precisa criar contas adicionais no portal. Os membros utilizam o login que já está configurado no armazenamento de identidade específico da organização. O gerenciamento de credenciais da conta, incluindo políticas para complexidade e expiração de senha, é totalmente externo ao portal. Isso permite uma experiência de registro único para que os usuários não precisem inserir suas credenciais novamente.
Da mesma forma, você também pode criar grupos no portal que usam os grupos existentes do Active Directory, LDAP ou SAML em seu repositório de identidades. Além disso, as contas específicas da organização podem ser adicionadas em lote a partir de grupos Active Directory, LDAP ou SAML na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo Active Directory, LDAP ou SAML. O gerenciamento de credenciais da conta é completamente externo ao portal.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo ao seu portal, conectar seu portal aos grupos Active Directory, LDAP ou SAML desejados na sua organização e adicionar as contas especificas da organização baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos Active Directory, LDAP ou SAML específicos dentro da sua organização.
Use um armazenamento de identidade específico da organização se sua organização quiser definir políticas para expiração e complexidade de senha, controlar o acesso usando grupos existentes do Active Directory, LDAP ou SAML ou usar autenticação por meio de Autenticação Integrada do Windows (IWA) ou autenticação de certificado de cliente baseada em infraestrutura de chave pública (PKI). A autenticação pode ser tratada no nível da camada da web (usando autenticação em série da web), no nível do portal (usando autenticação de camada do portal) ou por meio de um provedor de identidade externo (usando SAML).
A utilização de um armazenamento de identidade do Diretório Ativo, o ArcGIS Enterprise suporta autenticação de múltiplos domínios com uma única floresta, mas não fornece autenticação de floresta cruzada. Para suportar usuários especificos da organização a partir de múltiplas florestas, um provedor de identidade SAML é exigido.
Suporte de múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira de gerenciar usuários que podem residir dentro ou fora da sua organização. Para obter detalhes, consulte Configure um provedor de identidade compatível com SAML com seu portal.
Configurar usuários e grupos embutidos utilizando o armazenamento de identidade do portal
Nenhuma etapa é necessária para configurar o portal ao utilizar com grupos e usuários embutidos; o portal está pronto para grupos e usuários embutidos imediatamente após instalar o software. Se você estiver utilizando usuários específicos da organização, consulte as seguintes seções e links relacionados para mais informações.
Configurar logins específicos da organização
Os seguintes provedores de identidade específicos da organização podem ser configurados com o portal. A autenticação pode ser tratada na camada da web (usando ArcGIS Web Adaptor) ou na série do portal.
Autenticação em série da web
Se o seu portal estiver executando em um servidor do Windows e você tiver um Diretório Ativo do Windows configurado, você poderá utilizar Autenticação Integrada do Windows para se conectar ao seu portal. Isto permite um registro único ou automático na experiência para usuários do portal pela autenticação em série da web. Para utilizar autenticação do Windows, seu Web Adaptor deve ser implantado no servidor da web IIS da Microsoft.
Se você tiver um diretório LDAP, você poderá utilizá-lo com o portal do ArcGIS Enterprise. Consulte Usar seu portal com LDAP e autenticação em série da web para mais informações. Para usar LDAP, implemente seu Web Adaptor em um servidor de aplicativos Java, como Apache Tomcat, IBM WebSphere ou Oracle WebLogic.
Se sua organização tiver autenticação de certificado de cliente baseada em PKI, você poderá usar certificados para autenticar a comunicação com seu portal usando HTTPS. Ao autenticar usuários, você tem a opção para utilizar Diretório Ativo do Windows ou Lightweight Directory Access Protocol (LDAP). Para utilizar autenticação do Windows, seu Web Adaptor deve ser implantado no servidor da web IIS da Microsoft. Para utilizar LDAP, seu Web Adaptor deverá ser implantado em um servidor de aplicativo Java, tal como, Apache Tomcat, IBM WebSphere ou Oracle WebLogic. Não é possível ativar o acesso anônimo ao seu portal ao usar a autenticação de certificado de cliente.
Autenticação em série do portal
Se você desejar a permissão de acesso ao seu portal utilizando ambos os armazenamentos de identidade específico da organização e embutido sem utilizar SAML, você poderá utilizar a autenticação em série do portal. Isso é alcançado ao configurar o portal com o seu Diretório Ativo ou armazenamento de identidade LDAP e, em seguida, habilitar o acesso anônimo no IIS ou no servidor de aplicativo Java. Quando um usuário acessar a página de registro do portal, ele poderá entrar usando credenciais específicas da organização ou credenciais embutidas. Os usuários específicos da organização deverão solicitar para inserir suas credenciais de conta cada vez que entrarem no portal; o registro automático ou único não estará disponível. Este tipo de autenticação também permite aos usuários anônimos o acesso para mapas ou outros recursos do portal que são compartilhados com todos.
Ao usar a autenticação em série do portal, os membros entrarão usando a seguinte sintaxe:
- Se utilizarem o portal com seu Diretório Ativo, a sintaxe poderá ser domain\username ou username@domain. Independente de como os membros entram no portal, o nome de usuário sempre aparece como username@domain no site da web do portal.
- Se utilizar o portal com LDAP, a sintaxe sempre será username. O site da web do portal também exibe a conta neste formato.
Configurar logins específicos da organização usando SAML
O portal do ArcGIS Enterprise suporta todos os provedores de identidade compatíveis ao SAML Para mais informações, consulte Configurar um provedor de identidade compatível ao SAML com seu portal.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A política de bloqueio do portal aplicada depende de qual tipo de armazenamento de identidade você está usando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após cinco tentativas consecutivas inválidas. O bloqueio dura por 15 minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade específico da organização
Quando você estiver utilizando um armazenamento de identidade específico da organização, a diretiva de bloqueio da conta será herdada do armazenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.
Monitorar falhas em tentativas de login
Você pode monitorar as falhas em tentativas de login ao visualizar os logs do portal no Diretório do Portal. Quaisquer falhas em tentativas resultam em uma mensagem de nível de aviso declarando que o usuário falhou ao entrar, devido à combinação inválida do nome de usuário e senha. Se o usuário exceder o número máximo das tentativas de login, uma mensagem de nível severo é enviada declarando que a conta foi bloqueada. Monitorar os logs do portal em busca de tentativas de login malsucedidas pode ajudá-lo a determinar se há um possível ataque de senha em seu sistema.
Para mais informações, consulte Sobre trabalhar com logs do portal.