Основным фактором, который необходимо учитывать при настройке безопасности в организации ArcGIS Enterprise, является источник пользователей и, дополнительно, групп. Этот источник пользователей вместе с группами называется хранилищем аутентификаций. Управление пользователями и группами в вашей организации, а также сторонними пользователями осуществляется через хранилище аутентификаций.
- Описание хранилищ аутентификаций
- Настройка встроенных пользователей с помощью хранилища аутентификаций портала
- Настройка корпоративного входа в систему с использованием аутентификации веб-уровня
- Настройка корпоративного входа в систему с помощью SAML
Описание хранилищ аутентификаций
Хранилище аутентификаций организации определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Организация ArcGIS Enterprise поддерживает два типа хранилищ аутентификаций: встроенное и корпоративное.
Встроенное хранилище аутентификаций
Портал ArcGIS Enterprise имеет предустановленные настройки, позволяющие участникам с легкостью создавать учетные записи и группы портала. Вы можете использовать ссылку Создать учетную запись на странице Войти веб-сайта портала для добавления встроенной учетной записи на ваш портал и начала работы с ресурсами организации или доступа к ресурсам других пользователей. Когда вы таким способом создаете на своем портале учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей портала, пароли, роли и принадлежность участников к группам.
Для создания первичной учетной записи администратора организации вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в производственных средах обычно используется корпоративное хранилище аутентификаций.
Примечание:
Если вам нужно вернуться из хранилища аутентификаций для конкретной организации ко встроенному хранилищу аутентификаций, вы можете сделать это, удалив информацию в текстовых полях Конфигурация хранилища пользователей и Конфигурация хранилища групп на странице Обновить хранилище аутентификаций в каталоге администраторов портала. Для получения дополнительной информации обратитесь к документации по ArcGIS REST API.
Корпоративное хранилище аутентификаций
ArcGIS Enterprise устроен так, что вы можете использовать корпоративные учетные записи и группы для управления доступом в организацию ArcGIS. Например, вы можете управлять доступом на портал, используя учетные данные с сервера Lightweight Directory Access Protocol (LDAP), сервера Active Directory server и провайдеров аутентификации Security Assertion Markup Language (SAML) 2.0 Web Browser Single Sign On. Данный процесс называют в документации настройкой корпоративных учетных записей.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют логин, который уже настроен в корпоративном хранилище аутентификаций. Управление учетными данными, включая политики сложности и срока действия пароля, осуществляется за пределами портала. Это обеспечивает возможность единого входа, поэтому пользователям не нужно повторно вводить свои учетные данные.
Аналогичным образом вы также можете создавать группы на портале на основе групп Active Directory, LDAP или SAML, имеющихся в хранилище аутентификаций. Также корпоративные учетные записи можно добавлять пакетно, из групп Active Directory, LDAP или SAML вашей организации. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в группе Active Directory, LDAP или SAML. Управление принадлежностью участников к группам осуществляется полностью вне портала.
Например, рекомендуется отключить анонимный доступ к порталу, подключить портал к требуемым группам Active Directory, LDAP или SAML в вашей организации, а затем добавить учетные записи организации на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам Active Directory, LDAP или SAML из вашей организации.
Используйте корпоративное хранилище аутентификаций, если ваша организация ограничивает срок действия паролей, ввела порог сложности для паролей, намерена контролировать доступ к данным с помощью существующих групп Active Directory, LDAP либо SAML или использовать аутентификацию через Integrated Windows Authentication (IWA) или Public Key Infrastructure (PKI). Аутентификация может выполняться на веб-уровне (использование аутентификации веб-уровня), на уровне портала (использование аутентификации уровня портала) или через внешний провайдер аутентификаций (использование SAML).
При помощи хранилища удостоверений ArcGIS Enterprise поддерживает аутентификацию из нескольких доменов в одном лесу, но не предоставляет аутентификацию между несколькими лесами. Для поддержки корпоративных пользователей из нескольких лесов требуется провайдер аутентификации SAML.
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Настройка встроенных пользователей и групп с помощью хранилища аутентификаций портала
Настройка портала для работы со встроенными пользователями и группами не требуется; портал готов к работе со встроенными пользователями и группами сразу после установки соответствующего ПО. Если вы собираетесь работать с корпоративными пользователями, дополнительно ознакомьтесь со следующими разделами.
Настройка корпоративного входа в систему
С порталом могут быть настроены следующие провайдеры корпоративной аутентификации. Аутентификация может выполняться на веб-уровне (с помощью ArcGIS Web Adaptor) или на уровне портала.
Аутентификация на веб-уровне
Если портал работает на сервере Windows и у вас имеется Windows Active Directory, то для подключения к порталу вы можете использовать Встроенную проверку подлинности Windows. Это обеспечит автоматическую аутентификации или запуск системы единого входа для пользователей портала посредством аутентификации веб-уровня. Для использования аутентификации, встроенной в Windows, Web Adaptor должен быть развернут на веб-сервере Microsoft IIS.
Если у вас есть директория LDAP, вы можете использовать ее с порталом ArcGIS Enterprise. Подробнее см. в разделе Использование портала с LDAP и аутентификацией на веб-сервере. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например – Apache Tomcat, IBM WebSphere или Oracle WebLogic.
Если ваша организация работает с PKI, можно использовать сертификаты для аутентификации подключений к порталу с помощью HTTPS. При аутентификации пользователей вы можете использовать Windows Active Directory или Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol (LDAP). Для использования аутентификации, встроенной в Windows, Web Adaptor должен быть развернут на веб-сервере Microsoft IIS. Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например Apache Tomcat, IBM WebSphere или Oracle WebLogic. При использовании PKI анонимный доступ на портал невозможен.
Аутентификация на уровне портала
Если вы хотите разрешить доступ к порталу, используя одновременно корпоративное и встроенное хранилище аутентификаций, без SAML, можно использовать аутентификацию на уровне портала. .Это достигается с помощью настройки портала на работу с хранилищем аутентификаций Active Directory или LDAP и разрешения анонимного доступа на IIS или на сервере приложений Java. Когда пользователи открывают страницу входа на портал, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам портала, к которым предоставлен доступ для всех.
При использовании аутентификации уровня портала участники вашей организации будут заходить в систему, используя следующий синтаксис:
- При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain. Независимо от того, как входит участник, имя пользователя всегда отображается на веб-сайте портала как username@domain.
- При работе с порталом с использованием LDAP синтаксис всегда имеет вид username. На веб-сайте портала всегда отображается учетная запись в этом формате.
Настройка корпоративного входа в систему с помощью SAML
Портал ArcGIS Enterprise поддерживает все SAML-совместимые провайдеры аутентификации. В следующих руководствах описывается порядок настройки некоторых SAML-совместимых провайдеров идентификации с порталом. Более подробно см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Политика принудительной блокировки портала зависит от того, какой тип хранилища аутентификаций вы используете:
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил пять неудачных попыток входа. Блокировка длится 15 минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.
Отслеживание неудачных попыток входа в систему
Вы можете отслеживать неудачные попытки входа в систему, просматривая журналы портала в Portal Directory. Каждая неудачная попытка сопровождается сообщением-предупреждением о том, что пользователю не удалось войти в систему из-за неверной комбинации имени пользователя и пароля. Если пользователь превышает лимит неудачных попыток входа, выдается сообщение высокого уровня важности о том, что учетная запись заблокирована. Просмотр записей в журналах портала о неудачных попытках входа в систему может помочь понять, производится ли в действительности кибератака на вашу систему.
Более подробно см. Работа с журналами портала.