Um dos principais aspectos de planejar uma implantação do ArcGIS Enterprise é decidir como gerenciar contas que irão acessar seu portal e quais privilégios serão concedidos para as contas. A determinação de como as contas serão gerenciadas é uma escolha do armazenamento de identidade.
Anotação:
Cada membro no ArcGIS Enterprise e ArcGIS Online requer sua própria licença. Dito isso, ambos os produtos oferecem suporte a logins específicos da organização com SAML e OpenID Connect para que você possa agilizar a autenticação entre sistemas. Isso significa que você pode usar o mesmo nome de usuário e senha para ambas as organizações. No entanto, não é possível efetuar o login no ArcGIS Enterprise e espere ver o mesmo conteúdo que veria ao efetuar o login em sua conta do ArcGIS Online. São organizações separadas, cada uma com seus próprios armazenamentos de identidade e conjunto de conteúdo associado.
Entender armazenamentos de identidade
O armazenamento de identidade para sua organização define onde as credenciais de suas contas do portal são armazenadas, como a autenticação ocorre e como a associação ao grupo é gerenciada. A organização do ArcGIS Enterprise oferece suporte a dois tipos de armazenamentos de identidade: armazenamentos de identidade internos e específicos da organização.
Armazenamento de identidade embutido
O portal ArcGIS Enterprise pode ser configurado para permitir que membros criem contas e grupos em seu portal. Quando habilitado, você pode utilizar o link Criar uma conta na página Entrar do site da web do portal para adicionar uma conta embutida no seu portal e iniciar a contribuição de conteúdo para a organização ou acessar recursos criados por outros membros. Ao criar contas e grupos em seu portal dessa forma, você está usando o armazenamento de identidade integrado, que executa autenticação e armazena nomes de usuários de contas do portal, senhas, papéis e associação de grupo.
Você deve usar o armazenamento de identidade interno para criar a conta de administrador inicial para sua organização, mas você pode mudar posteriormente para um armazenamento de identidade específico da organização. O armazenamento de identidade embutido é útil para iniciar e executar seu portal e também implantar e testar. No entanto, os ambientes de produção normalmente utilizam um armazenamento de identidade específico da organização.
Anotação:
Caso seja necessário reverter de um armazenamento de identidade específico da organização para um armazenamento de identidade integrado, você poderá fazer isso excluindo todas as informações nas caixas de texto Configuração de armazenamento de usuário e Configuração de armazenamento de grupo na página Atualizar Armazenamento de Identidade no Diretório do Administrador do portal. Para mais informações, consulte a documentação ArcGIS REST API.
Armazenamento de identidade específico da organização
O ArcGIS Enterprise é projetado para que você possa usar contas e grupos específicos da organização para controlar o acesso à sua organização do ArcGIS. Por exemplo, você pode controlar o acesso ao portal utilizando credenciais do seu servidor Lightweight Directory Access Protocol (LDAP), servidor do Diretório Ativo, e provedores de identidade que suportam Registro Único de Navegador da Web do Security Assertion Markup Language (SAML) 2.0. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
A vantagem desta abordagem é que você não precisa criar contas adicionais no portal. Os membros utilizam o login que já está configurado no armazenamento de identidade específico da organização. O gerenciamento de credenciais da conta, incluindo políticas para complexidade e expiração de senha, é totalmente externo ao portal. Isso permite uma experiência de registro único para que os usuários não precisem inserir suas credenciais novamente.
Da mesma forma, você também pode criar grupos no portal que usam os grupos existentes do Active Directory, LDAP ou SAML em seu repositório de identidades. Além disso, as contas específicas da organização podem ser adicionadas em lote a partir de grupos Active Directory, LDAP ou SAML na sua organização. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo Active Directory, LDAP ou SAML. O gerenciamento de credenciais da conta é completamente externo ao portal.
Por exemplo, uma prática recomendada é desabilitar o acesso anônimo ao seu portal, conectar seu portal aos grupos Active Directory, LDAP ou SAML desejados na sua organização e adicionar as contas especificas da organização baseado nestes grupos. Desta maneira, você restringe o acesso ao portal baseado em grupos Active Directory, LDAP ou SAML específicos dentro da sua organização.
Use um armazenamento de identidade específico da organização se sua organização quiser definir políticas para expiração e complexidade de senha, controlar o acesso usando grupos existentes do Active Directory, LDAP ou SAML ou usar autenticação por meio de Autenticação Integrada do Windows (IWA) ou autenticação de certificado de cliente baseada em infraestrutura de chave pública (PKI). A autenticação pode ser tratada no nível da camada da web (usando autenticação em série da web), no nível do portal (usando autenticação de camada do portal) ou por meio de um provedor de identidade externo (usando SAML).
A utilização de um armazenamento de identidade do Diretório Ativo, o ArcGIS Enterprise suporta autenticação de múltiplos domínios com uma única floresta, mas não fornece autenticação de floresta cruzada. Para suportar usuários especificos da organização a partir de múltiplas florestas, um provedor de identidade SAML é exigido.
Suporte de múltiplos armazenamentos de identidade
Utilizando o SAML 2.0, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Os usuários podem entrar com contas embutidas e contas gerenciadas em múltiplos provedores de identidade compatíveis ao SAML configurados para confiar um ao outro. Esta é uma boa maneira de gerenciar usuários que podem residir dentro ou fora da sua organização. Para obter detalhes, consulte Configure um provedor de identidade compatível com SAML com seu portal.
Entender os privilégios de acesso
Após decidir como as contas serão gerenciadas no ArcGIS Enterprise, você precisará decidir quais privilégios você deseja que os usuários que acessam sua organização do ArcGIS tenham. Os privilégios são definidos se o usuário que acessa seu portal faz parte da organização ArcGIS.
Os usuários que acessam o portal sem uma conta organizacional do ArcGIS podem somente pesquisar e utilizar itens públicos. Por exemplo, se um mapa da web público for embutido em um site da web, os usuários visualizando o mapa estarão acessando um item do seu portal, embora eles não tenham uma conta. Depende de você habilitar este tipo de acesso. Você pode sempre desativar o acesso para pessoas que ainda não pertencem à organização do ArcGIS. Para saber como fazer isto, consulte Desabilitar acesso anônimo.
Os usuários podem acessar seu portal com privilégios elevados se forem membros da sua organização do ArcGIS. Os membros da sua organização ArcGIS são listados na página Organização do site da web do portal. Os membros de uma organização são organizados por tipos de usuários que correspondem aos vários papéis com diferentes privilégios. Para saber mais, consulte Tipos de usuários, papéis e privilégios.
Quando uma nova conta organizacional do ArcGIS é adicionada no seu portal, ela recebe o papel de usuário por padrão. Entretanto, o administrador do portal pode alterar o papel a qualquer momento.
Gerenciar contas organizacionais do ArcGIS
Uma conta organizacional do ArcGIS é uma conta de usuário que foi adicionada ao painel da organização do seu site da web do portal. Ao longo da documentação e experiência do usuário no site da web do portal, estes usuários são normalmente referenciados como membros da organização.
Como um administrador, é importante que você não somente controle completamente os privilégios concedidos para cada um dos membros na sua organização do ArcGIS, mas também, quem tem permissão para ser um membro dela.
O número máximo de contas organizacionais do ArcGIS no seu portal é definido pelo arquivo de licença que você utilizou para licenciar o portal. A qualquer momento, você pode comparar o número total de membros atribuídos a um tipo de usuário e licenças de tipo de usuário disponíveis restantes a partir das guias Visão Geral ou Licenças na página Organização no site da web do portal. Na guia Visão Geral você pode visualizar o total de licenças atribuídas e disponíveis na visão geral de Membros. Na guia Licenças, você pode visualizar licenças disponíveis e atribuídas por tipo de usuário na guia Tipos de usuário.
Gerenciar contas ao utilizar o armazenamento embutido
Ao utilizar o armazenamento embutido, é possível configurar o site da web do portal para mostra um link que qualquer usuário possa utilizar para participar da organização do ArcGIS. Isto facilita aos usuários participarem da sua organização, mas você não pode restringir quem participa; qualquer um com acesso ao seu portal pode criar uma conta. Se você quiser mais controle, você pode desativar esta experiência de autoatendimento e provisione seu portal com um número predefinido de contas em lote. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Gerenciar contas ao usar um armazenamento de identidade específico da organização
O portal ArcGIS Enterprise não permitirá que você exclua, edite ou crie contas em seu armazenamento de identidade, mas você pode registrar contas específicas da organização existentes em sua organização. Por esse motivo, a página de registro no site do portal não estará disponível quando você configurar o portal com um armazenamento de identidade específico da organização.
Como um administrador, você normalmente selecionará logins específicos da organização que deseja adicionar à organização e os adicionará em massa. Para mais informações sobre criar contas organizacionais do ArcGIS em massa, consulte Adicionando membros no seu portal. Você também pode remover membros do seu site da web do portal ou alterar seus privilégios a qualquer momento.
Como alternativa, você pode adicionar qualquer conta específica da organização que se conecte ao seu portal ou qualquer um de seus itens automaticamente. Para saber mais, consulte Registro automático de contas específicas da organização.
É importante entender que quando o portal é configurado com um armazenamento de identidade específico da organização, o acesso anônimo à organização ArcGIS é desabilitada; ou seja, qualquer usuário que acesse seu portal deve primeiro se autenticar em seu armazenamento de identidade. Após autenticado, os privilégios do usuário serão determinados se eles tiverem ou não uma conta organizacional do ArcGIS.
Anotação:
Por padrão, a criação automática de conta está desabilitada na organização. Para habilitar o registro automático da conta, consulte Configurar o registro automático das contas da organização para obter mais informações.
Diretiva de bloqueio da conta
Os sistemas de software normalmente obrigam uma diretiva de bloqueio da conta para proteger contra tentativas em massa automatizadas para adivinhar senha do usuário. Se o usuário falhar um determinado número de vezes ao tentar o login dentro de um intervalo de tempo em particular, ele poderá ter as tentativas adicionais negadas por um período de tempo designado. Estas diretivas são equilibradas em relação à realidade que às vezes os usuários esquecerão seus nomes e senhas e falharão ao registrar com sucesso.
A política de bloqueio do portal aplicada depende de qual tipo de armazenamento de identidade você está usando:
Armazenamento de identidade embutido
O armazenamento de identidade embutido bloqueia um usuário após cinco tentativas consecutivas inválidas. O bloqueio dura por 15 minutos. Esta diretiva se aplica para todas as contas no armazenamento de identidade, incluindo a conta inicial de administrador. Esta diretiva não pode ser modificada ou substituída.
Armazenamento de identidade específico da organização
Quando você estiver utilizando um armazenamento de identidade específico da organização, a diretiva de bloqueio da conta será herdada do armazenamento. Você pode conseguir modificar a diretiva de bloqueio da conta para o armazenamento. Consulte a documentação específica para o tipo de armazenamento para informações sobre como alterar a diretiva de bloqueio da conta.