Безопасность ваших ГИС-ресурсов зависит от правильной и строгой аутентификации и авторизации ваших пользователей. Аутентификация – это процесс проверки учетной записи пользователя, а авторизация – это процедура проверки наличия у пользователя с аутентификацией прав доступа к запрошенному ресурсу или прав на выполнение запрошенной операции. В целях реализации разрешений для защищенных ресурсов и операций пользователь сначала проходит аутентификацию, после чего выполняется проверка авторизации пользователя. Эти условия определяются моделью безопасности.
Модель безопасности сайта ArcGIS Server определяет, кто может получить доступ к сервисам сайта, кто может публиковать, изменять и удалять сервисы, а также выполнять административные задачи на сайте. Существует несколько доступных моделей безопасности, в зависимости от конфигурации развертывания ГИС и от того, хотите ли вы интегрировать поставщика корпоративной идентификации вашей организации с развертыванием.
Пользователи, роли и права доступа
Когда ресурс в ArcGIS Server защищен, только авторизованные пользователи могут получить доступ к этому ресурсу. ArcGIS Enterprise, в том числе автономный ArcGIS Server, управляет доступом к защищенному ресурсу с помощью системы управления доступом на основе ролей. Система контроля доступа на основе ролей содержит три основных компоненты: пользователи, роли и разрешения.
Пользователи
Пользователь – любое лицо или программный агент, который выполняет доступ к ресурсу. Хранилище учетных записей – это список пользователей, которые могут запрашивать ресурсы. И в ArcGIS Server, и на портале ArcGIS Enterprise есть встроенные хранилища учетных записей, но вы также можете работать с хранилищами учетных записей провайдера корпоративной идентификации.
Роли
Роль – это набор пользователей с определенным уровнем доступа. Пользователи, составляющие роль, как правило, связаны схожей функцией, должностью или отношением иного типа. Например, пользователи, которые будут выполнять администрирование сайта ArcGIS Server, могут быть сгруппированы в роль Administrator, а пользователям, которым нужно только просматривать и исследовать ресурсы ГИС, может быть назначена роль Viewer. Во встроенном хранилище учетных записей ArcGIS Server пользователь может участвовать в одной или нескольких ролях. Во встроенном хранилище учетных записей портала ArcGIS Enterprise пользователю можно назначить только одну роль.
Права доступа
Разрешения предоставляют полномочия на выполнение определенной задачи или доступ к определенному ресурсу. Права доступа могут назначаться только для ролей. Отдельные пользователи могут получить права доступа, только унаследовав их от своих ролей. Контроль доступа на основе ролей предоставляет возможность эффективной реализации, управления и проверки политик контроля доступа организации. Управление правами доступа осуществляется внутри ArcGIS Server.
Доступные модели безопасности
ArcGIS Server является основным компонентом платформы ArcGIS Enterprise, который обеспечивает для вашей организации современную систему Веб-ГИС. ArcGIS Server можно развернуть как автономную систему или интегрировать с порталом ArcGIS Enterprise.
Модель безопасности для автономного сайта ArcGIS Server определяется администратором сервера. В интегрированном развертывании ArcGIS Enterprise модели публикации и безопасности определяются администратором портала, заменяя те, что используются на сайте сервера.
И ArcGIS Server, и портал ArcGIS Enterprise обеспечивают надежную и эффективную встроенную проверку подлинности и располагают хранилищами учетных записей, которые применяются по умолчанию. ArcGIS Enterprise и автономные сайты ArcGIS Server также поддерживают аутентификацию на веб-уровне и внешних провайдеров аутентификаций. Если настроен такой провайдер, аутентификация пользователя выполняется через его хранилище учетных записей.
Автономные сайты ArcGIS Server
ArcGIS Server использует модель безопасности на основе ролей. Пользователям назначаются одна или несколько ролей, которым были предоставлены определенные права доступа.
Для управления этими пользователями и ролями сайты ArcGIS Server в автономной конфигурации могут использовать встроенное хранилище учетных записей, а также несколько типов сторонних поставщиков аутентификаций. Вы можете изменить эти настройки, используя Мастер конфигурации безопасности в ArcGIS Server Manager.
Аутентификация в автономном сайте ArcGIS Server может выполняться на уровне сервера или на веб-уровне.
В таблице ниже описаны конфигурации хранилища аутентификаций, которые поддерживаются для выбранного типа аутентификации:
Механизм аутентификации | Поддерживаемые конфигурации хранилища аутентификаций |
---|---|
Аутентификация ArcGIS Server |
|
Аутентификация на веб-уровне | Любое настраиваемое хранилище для которого веб-сервер имеет встроенную или расширяемую поддержку Например, если ваш веб-сервер имеет встроенную поддержку Active Directory, LDAP и настраиваемых хранилищ аутентификаций, вы можете использовать одну из следующих конфигураций:
|
Как показано на приведенной ниже схеме, аутентификация на уровне сервера выполняется полностью на сайте сервера, в то время как аутентификация на веб-уровне основывается на внешнем хранилище для проверки учетных данных пользователя.
Встроенное хранилище учетных записей управляется в ArcGIS Server Manager, если оно настроено. Информация о пользователях и ролях хранится в хранилище конфигурации сервера и только ArcGIS Server имеет доступ к этой информации. Пользователи проходят аутентификацию в хранилище учетных записей с помощью токенов – строк зашифрованной информации, содержащих имя пользователя, время истечения срока действия токена и другую конфиденциальную информацию.
Для автономных сайтов ArcGIS Server можно настроить множество типов систем аутентификации веб-уровня. К ним относятся директории Директории упрощенного протокола доступа к каталогам (LDAP), инфраструктура публичных ключей (PKI) и Интегрированная аутентификация Windows (IWA).
Если ваш сайт ArcGIS Server останется автономным сайтом, и вы не будете настраивать аутентификацию веб-уровня, см. Настройка аутентификации на уровне сервера.
Если вы будете настраивать аутентификацию на веб-уровне (через директорию LDAP, IWA или PKI) для вашего автономного сайта ArcGIS Server, см. Настройка аутентификации на веб-уровне.
Интегрированные сайты ArcGIS Server
При интеграции сайта ArcGIS Server с порталом ArcGIS Enterprise существует несколько возможных моделей безопасности для развертывания ArcGIS Enterprise. Независимо от того, какую модель безопасности использует портал, после объединения сайта ArcGIS Server с порталом эта модель безопасности заменит хранилище учетных записей сервера, включая всех пользователей и роли, настроенные в ArcGIS Server Manager.
Портал имеет собственное встроенное хранилище учетных записей, и его можно настроить на аутентификацию на веб-уровне посредством поставщиков аутентификаций IWA, PKI или LDAP, как и автономный сайт ArcGIS Server. Кроме того, с порталом можно настроить внешние поставщики учетных записей, которые совместимы с Security Assertion Markup Language (SAML) ArcGIS Enterprise.
Если у вас интегрированный сайт ArcGIS Server, или вы планируете его объединить с порталом ArcGIS Enterprise, см. раздел Интегрирование сайта ArcGIS Server с вашим порталом. Там вы можете узнать больше о параметрах модели безопасности портала, а также по эта тема описывается в документации Portal for ArcGIS.