Основным фактором, который необходимо использовать при определении способа настройки защиты в развертывании Portal for ArcGIS, является источник пользователей и, дополнительно, групп портала. Этот источник пользователей вместе с группами называется хранилищем аутентификаций. Управление пользователями и группами в вашей организации, а также сторонними пользователями осуществляется через хранилище аутентификаций.
- Описание хранилищ аутентификаций
- Настройка встроенных пользователей с помощью хранилища аутентификаций портала
- Настройка корпоративных учетных записей с использованием аутентификации веб-уровня
- Настройка корпоративных учетных записей с помощью SAML
Описание хранилищ аутентификаций
Хранилище аутентификаций портала определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Портал ArcGIS Enterprise поддерживает два типа хранилищ аутентификаций: встроенное и корпоративное хранилища.
Встроенное хранилище аутентификаций
Портал ArcGIS Enterprise имеет предустановленные настройки, позволяющие участникам с легкостью создавать учетные записи и группы портала. Вы можете использовать ссылку Создать учетную запись на странице Войти веб-сайта портала для добавления встроенной учетной записи на ваш портал и начала работы с ресурсами организации или доступа к ресурсам других пользователей. Вы также можете на закладке Группы главной страницы веб-сайта портала создать группу для управления элементами. Когда вы таким способом создаете на своем портале учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей портала, пароли, роли и принадлежность участников к группам.
Для создания первичной учетной записи администратора портала вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в организациях обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
Портал ArcGIS Enterprise устроен так, что вы можете использовать учетные данные организации и групп для управления доступом в организацию ArcGIS. Например, вы можете управлять доступом на портал, используя учетные данные с сервера Lightweight Directory Access Protocol (LDAP), сервера Active Directory server и провайдеров аутентификации Security Assertion Markup Language (SAML) 2.0 Web Single Sign On. Данный процесс называют в документации настройкой корпоративных учетных записей.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют уже имеющуюся учетную запись корпоративного хранилища аутентификаций. Управление учетными данными осуществляется полностью вне портала. Это позволяет использовать систему единого входа, и пользователям не требуется повторно вводить свои данные для входа.
Аналогичным образом вы также можете создавать группы на портале на основе корпоративных групп, имеющихся в хранилище аутентификаций. Также корпоративные учетные записи можно добавлять пакетно, из корпоративных групп вашей организации. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Управление принадлежностью участников к группам осуществляется полностью вне портала.
Например, рекомендуется отключить анонимный доступ к порталу, подключить портал к требуемым корпоративным группам в вашей организации, а затем добавить корпоративные учетные записи на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам из вашей организации.
Используйте корпоративное хранилище аутентификаций, если ваша организация ограничивает срок действия паролей и ввела порог сложности для паролей, намерена контролировать доступ к данным с помощью существующих корпоративных групп или использовать аутентификацию сверх Integrated Windows Authentication (IWA) или Public Key Infrastructure (PKI). Аутентификация может выполняться на веб-уровне (использование аутентификации веб-уровня), на уровне портала (использование аутентификации уровня портала) или через внешний провайдер аутентификаций (использование SAML).
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Настройка встроенных пользователей и групп с помощью хранилища аутентификаций портала
Настройка портала для работы со встроенными пользователями и группами не требуется; портал готов к работе со встроенными пользователями и группами сразу после установки соответствующего ПО. Если вы собираетесь работать с корпоративными пользователями, дополнительно ознакомьтесь со следующими разделами.
Настройка корпоративных учетных записей
С порталом могут быть настроены следующие провайдеры корпоративной аутентификации. Аутентификация может выполняться на веб-уровне (с помощью ArcGIS Web Adaptor) или на уровне портала.
Аутентификация на веб-уровне
Если портал работает на сервере Windows и у вас имеется Windows Active Directory, то для подключения к порталу вы можете использовать Встроенную проверку подлинности Windows. Это обеспечит автоматическую аутентификации или запуск системы единого входа для пользователей портала посредством аутентификации веб-уровня. Для использования аутентификации, встроенной в Windows, Web Adaptor должен быть развернут на веб-сервере Microsoft IIS.
Если у вас есть директория LDAP, вы можете использовать ее с порталом ArcGIS Enterprise. Подробнее см. в разделе Использование портала с LDAP и аутентификацией на веб-сервере. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например – Apache Tomcat, IBM WebSphere или Oracle WebLogic.
Если ваша организация работает с PKI, можно использовать сертификаты для аутентификации подключений к порталу с помощью HTTPS. При аутентификации пользователей вы можете использовать Windows Active Directory или Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol (LDAP). Для использования аутентификации, встроенной в Windows, Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например – Apache Tomcat, IBM WebSphere или Oracle WebLogic. При использовании PKI анонимный доступ на портал невозможен.
Аутентификация на уровне портала
Если вы хотите разрешить доступ к порталу, используя одновременно корпоративное и встроенное хранилище аутентификаций, без SAML, можно использовать аутентификацию на уровне портала. Это достигается с помощью настройки портала на работу с хранилищем аутентификаций Active Directory или LDAP и разрешения анонимного доступа на IIS или на сервере приложений Java. Когда пользователи открывают страницу входа на портал, они смогут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователя будут должны вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа будут недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам портала, к которым предоставлен доступ для всех.
При использовании аутентификации уровня портала участники вашей организации будут заходить в систему, используя следующий синтаксис:
- При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain. Независимо от того, как входит участник, имя пользователя всегда отображается на веб-сайте портала как username@domain.
- При работе с порталом с использованием LDAP синтаксис всегда имеет вид username. На веб-сайте портала всегда отображается учетная запись в этом формате.
Настройка корпоративных учетных записей с помощью SAML
Портал ArcGIS Enterprise поддерживает все SAML-совместимые провайдеры идентификации. В следующих руководствах описывается порядок настройки некоторых SAML-совместимых провайдеров идентификации с порталом. Более подробно см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Правила блокировки, применяемые Portal for ArcGIS, зависят от типа используемого хранилища аутентификаций.
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил пять неудачных попыток входа. Блокировка длится 15 минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.
Отслеживание неудачных попыток входа в систему
Вы можете отслеживать неудачные попытки входа в систему, просматривая журналы портала в Portal Directory. Каждая неудачная попытка сопровождается сообщением-предупреждением о том, что пользователю не удалось войти в систему из-за неверной комбинации имени пользователя и пароля. Если пользователь превышает лимит неудачных попыток входа, выдается сообщение высокого уровня важности о том, что учетная запись заблокирована. Просмотр записей в журналах портала о неудачных попытках входа в систему может помочь понять, производится ли в действительности кибератака на вашу систему.
Более подробно см. Работа с журналами портала.