Skip To Content

Ограничение возможностей модуля доступа (прокси) портала

В некоторых ситуациях Portal for ArcGIS работает как прокси-сервер. Эта его функциональная возможность реализуется в следующих ситуациях:

  • Вы пытаетесь открыть ресурс, находящийся вне вашего портала на другом домене, а CORS (Cross Origin Resource Sharing) не поддерживается. CORS – это технология, которая дает разрешение на взаимодействие веб-сервера и веб-браузера и определяет, должен ли быть разрешен запрос cross-origin.
  • Вы пытаетесь поделиться надежным ресурсом с другими пользователями и при этом скрыть учетные данные пользователя, необходимые для доступа к этому ресурсу.

По умолчанию модуль доступа портала не имеет никаких ограничений. Вследствие этого портал может быть использован с целью организации DoS (отказ в обслуживании) и SSRF (подделка запроса на стороне сервера)-атак против любого компьютера, доступного для компьютера портала. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить возможности прокси-модуля портала, определив для него список доверенных веб-адресов. Portal for ArcGIS сможет направлять прокси-запросы только на адреса, указанные в этом списке; все другие адреса будут блокироваться. Если ваш ArcGIS Server интегрирован с порталом, то этот список должен включать адреса всех компьютеров ГИС-сервера на этом сайте, а также всех ресурсов, опубликованных на портале в качестве элемента.

Чтобы задать список доверенных адресов, выполните следующие действия.

  1. Откройте веб-браузер и войдите в ArcGIS Portal Directory в качестве администратора своей организации. URL-адрес имеет формат https://webadaptor.domain.com/arcgis/portaladmin.
  2. Щелкните Безопасность (Security) > Настроить (Config) > Обновить конфигурацию безопасности (Update Security Configuration).
  3. В поле Конфигурация (Configuration) добавьте свойство allowedProxyHosts и укажите список доверенных адресов, например:
    {
        "disableServicesDirectory": false,
        "enableAutomaticAccountCreation": false,
        "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    Примечание:

    Используйте формат (.*).domain.com, чтобы разрешить прокси-запросы на все компьютеры в определенном домене. Используйте звездочки (*) с осторожностью, чтобы ненароком не предоставить доступ неправомочным пользователям.

  4. Щелкните Обновить конфигурацию (Update Configuration)