Одним из ключевых аспектов планирования развертывания ArcGIS Enterprise является выбор, как управлять учетными записями, у которых будет доступ на портал, и какими правами доступа их наделять. Определение, как управлять учетными записями, влияет на выбор хранилища аутентификаций.
Описание хранилищ аутентификаций
Хранилище аутентификаций организации определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Организация ArcGIS Enterprise поддерживает два типа хранилищ аутентификаций: встроенное и корпоративное.
Встроенное хранилище аутентификаций
Когда вы создаете в своей организации встроенные учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей, пароли, роли и принадлежность участников к группам. Для создания первичной учетной записи администратора организации вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в производственных средах обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
ArcGIS Enterprise устроен так, что вы можете использовать корпоративные учетные записи и группы для управления доступом в организацию ArcGIS. Данный процесс называют в документации настройкой корпоративных учетных записей.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют логин, который уже настроен в корпоративном хранилище аутентификаций. Управление учетными данными, включая политики сложности и срока действия пароля, осуществляется за пределами портала. Аутентификация может выполняться на уровне портала с использованием аутентификации уровня портала или через внешнего поставщика аутентификации с использованием SAML.
Аналогичным образом вы также можете создавать группы на портале, который ссылается на группы Active Directory, LDAP или SAML, имеющиеся в хранилище аутентификаций. Это позволяет управлять принадлежностью участников к группам полностью вне портала. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в группе Active Directory, LDAP или SAML. Также корпоративные учетные записи можно добавлять пакетно, из групп Active Directory, LDAP или SAML вашей организации.
Например, рекомендуется отключить анонимный доступ к порталу, подключить портал к требуемым группам Active Directory, LDAP или SAML в вашей организации, а затем добавить учетные записи организации на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам Active Directory, LDAP или SAML из вашей организации.
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Узнайте все о правах доступа
После того, как вы определитесь со способом управления учетными данными в ArcGIS Enterprise, вам следует решить, какими правами доступа наделять пользователей, имеющих доступ к вашей организации ArcGIS. Права доступа определяются в зависимости от того, является ли пользователь, входящий на портал, сотрудником ArcGIS организации.
Пользователи, которые входят на портал без учетной записи организации ArcGIS, могут только искать и использовать общедоступные элементы. Например, если на веб-сайт внедрена публичная веб-карта, пользователи, которые ее просматривают, получают доступ к элементу портала, несмотря на то, что у них нет учетной записи. Вы сами должны принять решение о включении данного типа доступа. Вы всегда можете закрыть доступ для людей, которые еще не принадлежат к организации ArcGIS. Чтобы узнать, как это выполнить, см. Отключение анонимного доступа.
Пользователи могут получить расширенные права доступа к вашему порталу, если они участники вашей ArcGIS организации. Участники вашей организации ArcGIS перечислены на вкладке Организация веб-сайта портала. Участники организации объединяются по типам пользователей, которые соответствуют различным ролям с разными правами доступа. Более подробно см. Типы пользователей, роли и права доступа.
При добавлении на портал новой учетной записи организации ArcGIS по умолчанию ей назначается роль пользователя. Однако администратор портала может изменить роль в любое время.
Управление учетными записями организации ArcGIS
Корпоративная учетная запись ArcGIS – это пользовательская учетная запись, которая была добавлена на веб-сайт портала вашей организации. В документации и на веб-сайте портала этих участников часто называют корпоративными учетными записями или участниками организации.
Администратору важно полностью контролировать не только права доступа каждого участника ArcGIS организации, но и то, кому разрешается быть участником.
Максимальное число корпоративных учетных записей ArcGIS на вашем портале определяется файлом лицензии, который вы использовали для лицензирования портала. В любой момент можно сравнить общее число участников, которым назначен тип пользователя, и оставшееся количество доступных лицензий типов пользователей на вкладках Обзор или Лицензии на странице Организация веб-сайта портала. Во вкладке Обзор можно просмотреть количество назначенных и доступных лицензий в разделе Участники. Во вкладке Лицензии можно просмотреть назначенные и доступные лицензии для каждого типа пользователей со вкладки Типы пользователей.
Управление учетными записями при использовании встроенного хранилища
При использовании встроенного хранилища те, у кого есть административные права для управления участниками, могут управлять встроенными учетными записями с помощью вкладки Участники в настройках организации. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление участников портала. В любое время вы можете также удалить участников с веб-сайта вашего портала или изменить их права доступа.
Управление учетными записями при использовании корпоративного хранилища аутентификаций
Портал ArcGIS Enterprise не позволит вам удалять, редактировать или создавать новые учетные записи в корпоративном хранилище, но вы можете зарегистрировать существующие корпоративные учетные записи.
Как администратор, вы обычно выбираете учетные данные организации, которые вы желаете добавить в организацию, и добавляете их пакетно. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление участников портала. В любое время вы можете также удалить участников с веб-сайта вашего портала или изменить их права доступа.
Или вы можете автоматически добавлять любые корпоративные учетные записи, которые подключаются к порталу или его элементом. Подробнее см. в Автоматическая регистрация корпоративных учетных записей.
Важно понимать, что при настройке портала на использование корпоративного хранилища аутентификаций анонимный доступ в ArcGIS организацию закрывается; что любой пользователь, входящий на ваш портал, должен сначала авторизоваться в вашем хранилище организации. После авторизации права пользователя будут определяться в соответствии с правами корпоративной учетной записи ArcGIS.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Политика принудительной блокировки портала зависит от того, какой тип хранилища аутентификаций вы используете:
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил пять неудачных попыток входа. Блокировка длится 15 минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.