Одним из ключевых аспектов планирования развертывания ArcGIS Enterprise является выбор, как управлять учетными записями, которые будут заходить на портал, и какими правами доступа их наделять. Определение, как управлять учетными записями, влияет на выбор хранилища аутентификаций.
Описание хранилищ аутентификаций
Хранилище аутентификаций портала определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Портал ArcGIS Enterprise поддерживает два типа хранилищ аутентификаций: встроенное и корпоративное хранилища.
Встроенное хранилище аутентификаций
Портал ArcGIS Enterprise имеет предустановленные настройки, позволяющие участникам с легкостью создавать учетные записи и группы портала. Вы можете использовать ссылку Создать учетную запись на странице Войти веб-сайта портала для добавления встроенной учетной записи на ваш портал и начала работы с ресурсами организации или доступа к ресурсам других пользователей. Вы также можете на закладке Группы главной страницы веб-сайта портала создать группу для управления элементами. Когда вы таким способом создаете на своем портале учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей портала, пароли, роли и принадлежность участников к группам.
Для создания первичной учетной записи администратора портала вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в организациях обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
Портал ArcGIS Enterprise устроен так, что вы можете использовать учетные данные организации и групп для управления доступом в организацию ArcGIS. Например, вы можете управлять доступом на портал, используя учетные данные с сервера Lightweight Directory Access Protocol (LDAP), сервера Active Directory server и провайдеров аутентификации Security Assertion Markup Language (SAML) 2.0 Web Single Sign On. Данный процесс называют в документации настройкой корпоративных учетных записей.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют уже имеющуюся учетную запись корпоративного хранилища аутентификаций. Управление учетными данными осуществляется полностью вне портала. Это позволяет использовать систему единого входа, и пользователям не требуется повторно вводить свои данные для входа.
Аналогичным образом вы также можете создавать группы на портале на основе корпоративных групп, имеющихся в хранилище аутентификаций. Также корпоративные учетные записи можно добавлять пакетно, из корпоративных групп вашей организации. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Управление принадлежностью участников к группам осуществляется полностью вне портала.
Например, рекомендуется отключить анонимный доступ к порталу, подключить портал к требуемым корпоративным группам в вашей организации, а затем добавить корпоративные учетные записи на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам из вашей организации.
Используйте корпоративное хранилище аутентификаций, если ваша организация ограничивает срок действия паролей и ввела порог сложности для паролей, намерена контролировать доступ к данным с помощью существующих корпоративных групп или использовать аутентификацию сверх Integrated Windows Authentication (IWA) или Public Key Infrastructure (PKI). Аутентификация может выполняться на веб-уровне (использование аутентификации веб-уровня), на уровне портала (использование аутентификации уровня портала) или через внешний провайдер аутентификаций (использование SAML).
При помощи хранилища удостоверений Active Directory ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки корпоративных пользователей из нескольких лесов требуется провайдер идентичности SAML.
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Описание прав доступа
После того, как вы определитесь со способом управления учетными данными на ArcGIS Enterprise, вам следует решить, какими правами доступа наделять пользователей, входящих на вашу организацию ArcGIS. Права доступа определяются в зависимости от того, является ли пользователь, входящий на портал, сотрудником ArcGIS организации.
Пользователи, которые входят на портал без учетной записи ArcGIS организации, могут только искать и использовать общедоступные элементы. Например, если на веб-сайт внедрена публичная веб-карта, пользователи, которые ее просматривают, получают доступ к элементу портала, несмотря на то, что у них нет учетной записи. Вы сами должны принять решение о включении данного типа доступа. Вы всегда можете закрыть доступ для людей, не относящихся к ArcGIS организации. Чтобы узнать, как это выполнить, см. Отключение анонимного доступа.
Пользователи могут получить расширенные права доступа к вашему порталу, если они участники вашей ArcGIS организации. Участники вашей организации ArcGIS перечислены на вкладке Организация веб-сайта портала. Участники организации объединяются по типам пользователей, которые соответствуют различным ролям с разными правами доступа. Более подробно см. Типы пользователей, роли и права доступа.
При добавлении на портал новой корпоративной учетной записи ArcGIS по умолчанию ей будет назначаться роль пользователя. Однако администратор портала может изменить роль в любое время.
Управление корпоративными учетными записями ArcGIS
Корпоративная учетная запись ArcGIS – это пользовательская учетная запись, которая была добавлена на веб-сайт портала вашей организации. В документации и на веб-сайте портала этих участников часто называют корпоративными учетными записями или участниками организации.
Администратору важно полностью контролировать не только права доступа каждого участника ArcGIS организации, но и то, кому разрешается быть участником.
Максимальное число корпоративных учетных записей ArcGIS на вашем портале определяется файлом лицензии, который вы использовали для лицензирования портала. В любой момент можно сравнить общее число участников, которым назначен тип пользователя, и оставшееся количество доступных лицензий типов пользователей на вкладках Обзор или Лицензии на странице Организация на веб-сайте портала. Во вкладке Обзор можно просмотреть количество назначенных и доступных лицензий в разделе Участники. Во вкладке Лицензии можно просмотреть назначенные и доступные лицензии для каждого типа пользователей со вкладки Типы пользователей.
Управление учетными записями при использовании встроенного хранилища
При использовании встроенного хранилища вы можете настроить на веб-сайте портала ссылку, которую любой пользователь мог бы использовать для того, чтобы присоединиться к организации ArcGIS. Это упрощает присоединение пользователей к организации, но не может реально регламентировать, кто может присоединяться; любой входящий на портал может создать учетную запись. Если вам необходим больший контроль, то вы можете отключить самостоятельную авторизацию и предоставить поименный список учетных записей портала. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление участников портала. В любое время вы можете также удалить участников с веб-сайта вашего портала или изменить их права доступа.
Управление учетными записями при использовании корпоративного хранилища аутентификаций
Портал ArcGIS Enterprise не позволит вам удалять, редактировать или создавать новые учетные записи в корпоративном хранилище, но вы можете зарегистрировать существующие корпоративные учетные записи. По этой причине страница авторизации на веб-сайте портала не будет доступна, когда вы настраиваете портал на работу с корпоративным хранилищем аутентификаций.
Как администратор, вы обычно выбираете учетные данные организации, которые вы желаете добавить в организацию, и добавляете их пакетно. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление участников портала. В любое время вы можете также удалить участников с веб-сайта вашего портала или изменить их права доступа.
Или вы можете автоматически добавлять любые корпоративные учетные записи, которые подключаются к порталу или его элементом. Подробнее см. Автоматическая регистрация корпоративных учетных записей.
Важно понимать, что при настройке портала на использование корпоративного хранилища аутентификаций анонимный доступ в ArcGIS организацию закрывается; что любой пользователь, входящий на ваш портал, должен сначала авторизоваться в вашем хранилище организации. После авторизации права пользователя будут определяться в соответствии с правами корпоративной учетной записи ArcGIS.
Прежние версии:
В Portal for ArcGIS 10.2 корпоративные учетные записи регистрировались автоматически как участники организации. Это означает, что ваша организация может незаметно превысить максимальное количество участников. Когда вы обновите Portal for ArcGIS 10.2 до последней версии, унаследованное поведение сохранится; учетные записи также будут регистрироваться по умолчанию. Напротив, новая установка Portal for ArcGIS не позволит проводить автоматическую регистрацию учетных записей. Если вы обновили ваш портал с версии 10.2 до последней, вы можете захотеть запретить автоматическую регистрацию, чтобы получить больше контроля за тем, какие пользователи добавляются как участники организации. Более подробно см. Автоматическая регистрация корпоративных учетных записей.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Правила блокировки, применяемые Portal for ArcGIS, зависят от типа используемого хранилища аутентификаций.
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил пять неудачных попыток входа. Блокировка длится 15 минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.