Основным фактором, который необходимо использовать при определении способа настройки защиты в развертывании Portal for ArcGIS, является источник пользователей и, дополнительно, групп портала. Этот источник пользователей вместе с группами называется хранилищем аутентификаций. Управление пользователями и группами в вашей организации, а также сторонними пользователями осуществляется через хранилище аутентификаций.
- Описание хранилищ аутентификаций
- Настройка встроенных пользователей с помощью хранилища аутентификаций портала
- Настройка корпоративных учетных записей с использованием аутентификации веб-уровня
- Настройка корпоративных учетных записей с помощью SAML
Описание хранилищ аутентификаций
Хранилище аутентификаций портала определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Portal for ArcGIS поддерживает два типа хранилищ аутентификаций: встроенное и корпоративные хранилища.
Встроенное хранилище аутентификаций
Portal for ArcGIS имеет предустановленные настройки, позволяющие быстро создавать учетные записи и группы портала. Вы можете использовать команду Создать учетную записьна главной странице веб-сайта портала для добавления встроенной учетной записи на ваш портал и начала работы с ресурсами организации или доступа к ресурсам других пользователей. Вы также можете на закладке Группы главной страницы веб-сайта портала создать группу для управления элементами. Когда вы таким способом создаете на своем портале учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей портала, пароли, роли и принадлежность участников к группам.
Для создания первичной учетной записи администратора портала вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в организациях обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
Portal for ArcGIS разработан так, что вы можете использовать корпоративные учетные данные и группы для управления доступом к организации ArcGIS. Например, вы можете управлять доступом на портал, используя учетные данные с сервера Lightweight Directory Access Protocol (LDAP) и провайдеров аутентификации Security Assertion Markup Language (SAML) 2.0 Web Single Sign On. Данный процесс называют в документации настройкой корпоративных учетных записей.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют уже имеющуюся учетную запись корпоративного хранилища аутентификаций. Управление учетными данными происходит полностью вне Portal for ArcGIS. Это позволяет использовать систему единого входа, и пользователям не требуется повторно вводить свои данные для входа.
Аналогичным образом вы также можете создавать группы на портале на основе корпоративных групп, имеющихся в хранилище аутентификаций. Также корпоративные учетные записи можно добавлять пакетно, из корпоративных групп вашей организации. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Управление принадлежностью участников к группам осуществляется полностью вне Portal for ArcGIS.
Например, рекомендуется отключить анонимный доступ к порталу, подключить портал к требуемым корпоративным группам в вашей организации, а затем добавить корпоративные учетные записи на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам из вашей организации.
Используйте корпоративное хранилище аутентификаций, если ваша организация ограничивает срок действия паролей и ввела порог сложности для паролей, намерена контролировать доступ к данным с помощью существующих корпоративных групп или использовать аутентификацию сверх LDAP или Public Key Infrastructure (PKI). Аутентификация может выполняться на веб-уровне (использование аутентификации веб-уровня), на уровне портала (использование аутентификации уровня портала) или через внешний провайдер аутентификаций (использование SAML).
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Настройка встроенных пользователей и групп с помощью хранилища аутентификаций портала
Настройка портала для работы со встроенными пользователями и группами не требуется; портал готов к работе со встроенными пользователями и группами сразу после установки соответствующего ПО. Если вы собираетесь работать с корпоративными пользователями, дополнительно ознакомьтесь со следующими разделами.
Настройка корпоративных учетных записей
С порталом могут быть настроены следующие провайдеры корпоративной аутентификации. Аутентификация может выполняться на веб-уровне (с помощью ArcGIS Web Adaptor) или на уровне портала.
Аутентификация на веб-уровне
Если у вас имеется директория LDAP, ее можно использовать с Portal for ArcGIS. Подробнее см. в разделе Использование портала с LDAP и аутентификацией на веб-сервере. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например – Apache Tomcat, IBM WebSphere или Oracle WebLogic.
Если ваша организация работает с PKI, можно использовать сертификаты для аутентификации подключений к порталу с помощью HTTPS. При использовании PKI анонимный доступ на портал невозможен. См. раздел Использование LDAP и PKI для доступа на портал с более подробной информацией.
Аутентификация на уровне портала
Если вы хотите разрешить доступ к порталу, используя одновременно корпоративное и встроенное хранилище аутентификаций, без SAML, можно использовать аутентификацию на уровне портала. Это достигается с помощью настройки портала на работу с хранилищем аутентификаций LDAP и разрешения анонимного доступа на сервере приложений Java. Когда пользователи открывают страницу входа на портал, они смогут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователя будут должны вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа будут недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам портала, к которым предоставлен доступ для всех.
При использовании аутентификации уровня портала участники вашей организации будут заходить в систему, используя следующий синтаксис:
- При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain. Независимо от того, как входит участник, имя пользователя всегда отображается на веб-сайте портала как username@domain.
- При работе с порталом с использованием LDAP синтаксис всегда имеет вид username. На веб-сайте портала всегда отображается учетная запись в этом формате.
Настройка корпоративных учетных записей с помощью SAML
Portal for ArcGIS поддерживает все провайдеры идентификации SAML В следующих руководствах показано, как настроить несколько часто используемых SAML-совместимых провайдеров идентификации на работу с Portal for ArcGIS: Более подробно см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Правила блокировки, применяемые Portal for ArcGIS, зависят от типа используемого хранилища аутентификаций.
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил десять неудачных попыток входа. Блокировка длится десять минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.
Отслеживание неудачных попыток входа в систему
Вы можете отслеживать неудачные попытки входа в систему, просматривая журналы портала в ArcGIS Portal Directory. Каждая неудачная попытка сопровождается сообщением-предупреждением о том, что пользователю не удалось войти в систему из-за неверной комбинации имени пользователя и пароля. Если пользователь превышает лимит неудачных попыток входа, выдается сообщение высокого уровня важности о том, что учетная запись заблокирована. Просмотр записей в журналах портала о неудачных попытках входа в систему может помочь понять, производится ли в действительности кибератака на вашу систему.
Более подробно см. Работа с журналами портала.