Безопасность ваших ГИС-ресурсов зависит от правильной и строгой аутентификации и авторизации ваших пользователей. Аутентификация – это процесс проверки учетной записи пользователя, а авторизация – это процедура проверки наличия у пользователя с аутентификацией прав доступа к запрошенному ресурсу или прав на выполнение запрошенной операции. В целях реализации разрешений для защищенных ресурсов и операций пользователь сначала проходит аутентификацию, после чего выполняется проверка авторизации пользователя. Эти условия определяются моделью безопасности.
Модель безопасности сайта ArcGIS Server определяет, кто может получить доступ к сервисам сайта, кто может публиковать, изменять и удалять сервисы, а также выполнять административные задачи на сайте. Существует несколько доступных моделей безопасности, в зависимости от конфигурации развертывания ГИС и от того, хотите ли вы интегрировать поставщика корпоративной идентификации вашей организации с развертыванием.
Пользователи, роли и права доступа
Когда ресурс в ArcGIS Server защищен, доступ к нему имеют только авторизованные пользователи. ArcGIS Enterprise, в том числе автономный ArcGIS Server, управляет доступом к защищенному ресурсу с помощью системы управления доступом на основе ролей. Система контроля доступа на основе ролей содержит три основных компоненты: пользователи, роли и разрешения.
Пользователи
Пользователь – любое лицо или программный агент, который выполняет доступ к ресурсу. Хранилище учетных записей – это список пользователей, которые могут запрашивать ресурсы. И в ArcGIS Server, и на портале ArcGIS Enterprise есть встроенные хранилища учетных записей, но вы также можете работать с хранилищами учетных записей от корпоративного провайдера.
Роли
Роль – это набор пользователей с определенным уровнем доступа. Пользователи, составляющие роль, как правило, связаны схожей функцией, должностью или отношением иного типа. Например, пользователи, которые будут выполнять администрирование сайта ArcGIS Server, могут быть сгруппированы в роль Administrator, а пользователям, которым нужно только просматривать и исследовать ресурсы ГИС, может быть назначена роль Viewer. Во встроенном хранилище учетных записей ArcGIS Server, пользователь может участвовать в одной или нескольких ролях. Во встроенном хранилище учетных записей портала ArcGIS Enterprise, пользователю можно назначить только одну роль.
Права доступа
Разрешения предоставляют полномочия на выполнение определенной задачи или доступ к определенному ресурсу. Права доступа могут назначаться только для ролей. Отдельные пользователи могут получить права доступа, только унаследовав их от своих ролей. Контроль доступа на основе ролей предоставляет возможность эффективной реализации, управления и проверки политик контроля доступа организации. Управление правами доступа осуществляется внутри ArcGIS Server.
Доступные модели безопасности
ArcGIS Server является основным компонентом платформы ArcGIS Enterprise, который предоставляет вашей организации современную систему Веб-ГИС. ArcGIS Server можно развернуть как автономную систему, можно настроить интеграцию с порталом ArcGIS Enterprise.
Модель безопасности для автономного сайта ArcGIS Server задается администратором сервера. В интегрированном развертывании ArcGIS Enterprise, модели публикации и безопасности определяются администратором портала, заменяя те, что используются на сайте сервера.
И ArcGIS Server, и портал ArcGIS Enterprise предлагают надежную и эффективную встроенную проверку подлинности и хранилище учетных записей, которые применяются по умолчанию. ArcGIS Enterprise и автономные сайты ArcGIS Server также поддерживают аутентификацию на веб-уровне и применение внешних провайдеров аутентификаций. Если настроен такой провайдер, аутентификация пользователя выполняется через его хранилище учетных записей.
Автономные сайты ArcGIS Server
ArcGIS Server использует модель безопасности на основе ролей. Пользователям назначаются одна или несколько ролей, которым были предоставлены определенные права доступа.
Для управления этими пользователями и ролями сайты ArcGIS Server в автономной конфигурации могут использовать встроенное хранилище учетных записей, а также несколько типов сторонних поставщиков аутентификаций. Вы можете изменить эти настройки, используя Мастер конфигурации безопасности в ArcGIS Server Manager.
Аутентификация в автономном сайте ArcGIS Server может выполняться на уровне сервера или на веб-уровне. Термин аутентификация на уровне сервера относится к сайту, использующему только встроенное хранилище учетных записей для управления пользователями и ролями. Термин аутентификация веб-уровня относится к сайту, использующему внешнее хранилище учетных записей для управления пользователями; в этой модели ролями также может управлять поставщик, или они могут управляться во встроенном хранилище.
Как показано на приведенной ниже схеме, аутентификация на уровне сервера выполняется полностью на сайте сервера, в то время как аутентификация на веб-уровне основывается на внешнем хранилище для проверки учетных данных пользователя.
Встроенное хранилище учетных записей управляется в ArcGIS Server Manager, если оно настроено. Информация о пользователях и ролях хранится в хранилище конфигурации сервера и только ArcGIS Server имеет доступ к этой информации. Пользователи проходят аутентификацию в хранилище учетных записей с помощью токенов – строк зашифрованной информации, содержащих имя пользователя, время истечения срока действия токена и другую конфиденциальную информацию.
Множество типов систем аутентификации на веб-уровне можно настроить для автономных сайтов-ArcGIS Server. К ним относятся директории Директории упрощенного протокола доступа к каталогам (LDAP), инфраструктура публичных ключей (PKI) и Интегрированная аутентификация Windows (IWA).
Если ваш сайт ArcGIS Server будет оставаться автономным сайтом, и вы не настраиваете аутентификацию на веб-уровне, см. Настройка аутентификации на уровне сервера.
Если вы настраиваете аутентификацию на веб-уровне (через директорию LDAP, IWA или PKI) для вашего автономного сайта ArcGIS Server см. Настройка аутентификации на веб-уровне.
Интегрированные сайты ArcGIS Server
При интеграции сайта ArcGIS Server с порталом ArcGIS Enterprise существует несколько возможных моделей безопасности для развертывания ArcGIS Enterprise. Независимо от того, какую модель безопасности использует портал, после объединения сайта ArcGIS Server с порталом эта модель безопасности заменит хранилище учетных записей сервера, включая всех пользователей и роли, настроенные в ArcGIS Server Manager.
Портал имеет собственное встроенное хранилище учетных записей, и его можно настроить с помощью аутентификации на веб-уровне с помощью поставщиков аутентификаций IWA, PKI или LDAP, как можно настроить и автономный ArcGIS Serverсайт. В дополнении совместимые с Security Assertion Markup Language (SAML)- внешние поставщики могут быть настроены для портала ArcGIS Enterprise.
Если у вас интегрированный сайт ArcGIS Server, или вы планируете выполнить интеграцию сайта с порталом ArcGIS Enterprise, см. Интеграция сайта ArcGIS Server с вашим порталом. Там вы можете узнать больше о параметрах модели безопасности портала, а также по эта тема описывается в документации Portal for ArcGIS.