Как администратор по умолчанию или участник с необходимыми правами доступа вы можете определить, требуется ли использование HTTPS для всех транзакций, и будет ли возможен анонимный доступ к вашему порталу. Также можно настроить параметры безопасности для публикации и поиска, политику паролей, опции входа, примечание к доступу, информационные заставки, доверенные серверы и другое.
Подсказка:
Посетите ArcGIS Trust Center для получения полной информации, касающейся безопасности, конфиденциальности и сведений о соответствии.
- Убедитесь, что вы вошли в систему как администратор по умолчанию или как участник с пользовательской ролью с правами администратора для управления безопасностью и инфраструктурой.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность сбоку страницы.
- Настройте следующие параметры безопасности:
Доступ и разрешения
Измените любые настройки правил ниже, если необходимо:
- Разрешить доступ к организации только с использованием HTTPS - по умолчанию, портал обеспечивает доступ только с использованием HTTPS, что гарантирует шифрование данных вашей организации, а также временных токенов идентификации, позволяющих осуществлять доступ к данным в процессе обмена через Интернет. Отключение этого переключателя разрешает сообщение по обоим протоколам: HTTP и HTTPS. Изменение этой настройки может повлиять на производительность сайта.
Разрешить анонимный доступ к вашему порталу – Включите эту опцию, чтобы разрешить анонимным пользователям подключаться к веб-сайту вашей организации. Если эта опция не включена, анонимный доступ отключен, и анонимные пользователи не смогут получить доступ к веб-сайту. Также они не смогут просматривать ваши карты, содержащие Bing Maps (если ваша организация настроена для Bing Maps).
При включении анонимного доступа убедитесь, что выбранные в конфигурации сайта группы открыты для общего доступа, иначе анонимные пользователи не смогут надлежащим образом просматривать общедоступные ресурсы таких групп и работать с ними.
- Разрешить участникам редактировать анкетные данные, а также указывать тех, кто может видеть их профиль – включите эту опцию, чтобы позволить участникам изменять биографическую информацию в своем профиле и указать, кто может видеть их профиль.
Общий доступ и поиск
Измените любые настройки общего доступа и поиска, если необходимо:
Участники, которые не являются администраторами, могут делать свои ресурсы, группы и профиль общедоступными — Включите эту опцию, чтобы разрешить участникам делать свой профиль или группы видимыми для всех (общедоступными), делиться своими веб-приложениям и другими элементами и встраивать свои ресурсы и группы в веб-сайты. Если вы отключите эту опцию, администраторы по умолчанию и участники, которым назначены права администратора на публикацию ресурсов для общего доступа, по-прежнему смогут делать ресурсы, группы и профили других участников общедоступными.
- Просмотр ссылок на социальные сети на страницах элемента и группы—включите эту опцию, чтобы добавить ссылки на Facebook и Twitter на страницах групп и элементов.
Политика входа
Настройте политику паролей и параметры блокировки в соответствии с требованиями вашей организации.
Политика паролей
Когда участник меняет пароль, он должен учитывать политику организации. Если это не так, появится сообщение с описанием политики. Политика паролей организации не применяется к собственным системам учетных записей организации, таких как учетные записи SAML, или к учетным данным приложений, использующих ID и пароль приложения.
Щелкните Управление политикой паролей, чтобы настроить длину пароля, сложность и историю паролей для участников со встроенными учетными записями. Можно задать длину пароля и необходимость включения в него хотя бы одного из следующих элементов: прописная буква, строчная буква, число или специальный символ. Также можно настроить, сколько дней действует пароль, и задать количество последних паролей, которые участник не может использовать повторно. Пароли чувствительны к регистру, они не могут быть такими же, как имя пользователя. Щелкните Использовать настройки портала по умолчанию, чтобы сбросить настройки организации до стандартной политики паролей ArcGIS Enterprise (длина не менее восьми символов, в том числе хотя бы одна буква и одна цифра, пробелы недопустимы).
Примечание:
Слабый пароль может быть отклонен. Пароль считается слабым, если это один из наиболее популярных паролей, например, password1, либо содержит повторяющиеся или идущие по порядку символы, например, aaaabbbb или 1234abcd.
Примечание:
Если в организации настроены параметры email, при изменении политики паролей вашим административным контактам будут отправлены автоматические email-уведомления.
Параметры блокировки
По умолчанию, когда участник пытается войти в свою организацию ArcGIS Enterprise, используя встроенную учетная запись, доступ к веб-сайту блокируется на 15 минут после пяти неудачных попыток за 15-минутный период. Нажмите Управление параметрами блокировки, чтобы изменить разрешенное количество неудачных попыток входа или продолжительность блокировки, если это число превышено, или и то, и другое. Щелкните Восстановить настройки по умолчанию, чтобы вернуться к настройкам блокировки по умолчанию.
Учетные записи
Вы можете настроить страницу входа организации, чтобы разрешить участникам выполнять вход с помощью любого из следующих методов: учетные записи ArcGIS, Security Assertion Markup Language (учетные записи SAML) (ранее называемые корпоративные учетные записи) и учетные записи OpenID Connect.
Вы также можете настроить порядок, в котором методы входа будут отображаться на странице входа организации. Чтобы изменить порядок методов входа в систему, щелкните его метку-манипулятор и перетащите его в новое положение. Щелкните Предварительный просмотр, чтобы увидеть, как будет выглядеть страница входа.
Включите кнопку Учетная запись ArcGIS, чтобы разрешить пользователям входить в ArcGIS с их учетными записями ArcGIS. После настройки корпоративных логинов вы можете отключить кнопку Учетная запись ArcGIS, чтобы перенаправлять пользователей на страницу входа внешнего провайдера идентификаций вместо страницы входа в организацию.
Примечание:
Параметр Учетная запись ArcGIS скрывает только параметр ArcGIS на странице входа в организацию. Вы по-прежнему можете получить доступ к ресурсам, размещенным ArcGIS в ваших приложениях ArcGIS, сгенерировав токен вручную или используя ArcGIS API и SDK. Чтобы отключить учетную запись ArcGIS, см. раздел Отключение учетных записей участников.
Используйте кнопку Новая учетная запись SAML, чтобы настроить SAML-совместимый поставщик удостоверений для вашего портала, если хотите, чтобы участники входили на портал с использованием существующего поставщика удостоверений SAML вашей организации.
Используйте кнопку Новая учетная запись OpenID Connect, чтобы настроить учетные записи OpenID Connect, если вы хотите, чтобы участники выполняли вход, используя существующего поставщика удостоверений OpenID Connect вашей организации.
Многофакторная аутентификация
Примечание:
Эта опция управляет многофакторной аутентификацией для встроенных учетных записей. Для настройки многофакторной аутентификации для учетных записей, основанных на SAML или OpenID Connect, обратитесь к своему провайдеру идентификации, чтобы настроить соответствующие параметры.
Многофакторную аутентификацию для встроенных учетных записей можно включить, только если в вашей организации настроены параметры электронной почты.
Организации, которые хотят разрешить участникам настройку многофакторной аутентификации при входе в ArcGIS, могут включить кнопку переключателя Разрешить многофакторную аутентификацию для организации. Многофакторная аутентификация представляет собой более защищенный механизм авторизации, который при входе, помимо имени и пароля, также запрашивает код верификации.
При включении этой опции участники организации могут настраивать многофакторную аутентификацию на странице настроек и получать коды верификации на свои мобильные телефоны или планшеты из поддерживаемых приложений аутентификации (в настоящий момент Google Authenticator для Android и iOS и Authenticator для Windows Phone).
Подсказка:
У участников, которые включили опцию многофакторной аутентификации на устройстве, имеется отметка в столбце Многофакторная аутентификация в таблице участников на вкладке Участники на странице Организация.
Если вы включили многофакторную аутентификацию для своей организации, необходимо назначить как минимум двух администраторов, которые будут обрабатывать запросы по отключению многофакторной аутентификации для учетных записей участников. ArcGIS Enterprise отправляет электронные письма от имени участников, которые запрашивают помощь с многофакторной аутентификацией через ссылку Проблемы с входом с помощью кода? (на странице, где участнику предлагается ввести код аутентификации). Необходимы как минимум два администратора, чтобы быть уверенными, что хотя бы один будет доступен для помощи участникам при проблемах с многофакторной аутентификацией.
Многофакторная аутентификация работает с приложениями Esri, которые поддерживают OAuth 2.0. Это включает веб-сайт портала, ArcGIS Pro, приложения ArcGIS и My Esri.
Многофакторная аутентификация должна быть отключена при доступе к приложениям без поддержки OAuth 2.0. К ним относятся сервисы геокодирования и геообработки, выполняющие маршрутизацию и анализ высот. Многофакторную аутентификацию также следует отключать при сохранении учетных данных в премиум-ресурсах Esri.
Уведомление о доступе
Вы можете настроить и отобразить примечание об условиях использования для тех, кто будет иметь доступ к вашему сайту.
Вы можете настроить уведомление о доступе для участников организации или для всех пользователей, которые открывают вашу организацию, или для тех и других. Если вы настроили уведомление о доступе для участников организации, оно будет отображаться после входа участника. Если вы настроили уведомление о доступе для всех пользователей, оно будет отображаться после входа любого пользователя. Если настроены оба варианта, участники организации увидят два сообщения.
Чтобы настроить примечание к доступу для участников организации или всех пользователей, щелкните в соответствующем разделе Настроить примечание к доступу, включите кнопку, чтобы показать примечание и введите заголовок и сам текст. Выберите опцию Принять и отклонить, если вы хотите, чтобы пользователи приняли уведомление о доступе, прежде чем переходить на сайт, или выберите Только OK, если вы хотите, чтобы пользователи только нажимали ОК, чтобы продолжить. По окончании щелкните Сохранить.
Примечание:
HTML-теги не допускаются в уведомлении о доступе.
Для изменения примечания к доступу для участников организации или всех пользователей щелкните Редактировать примечание к доступу в соответствующем разделе и выполните изменения заголовка, текста или опций кнопок действий. Если вы не хотите, чтобы примечания к доступу отображались в дальнейшем, используйте кнопку переключателя, чтобы отключить примечания. После отключения примечаний к доступу, ранее введенный текст и настройки будут сохранены на случай, если примечания будут включены в будущем. По окончании щелкните Сохранить.
Информационная заставка
Вы можете использовать информационные заставки для оповещения всех пользователей, имеющих доступ к вашей организации, о статусе и содержании вашего сайта. Например, информируйте пользователей о графиках обслуживания, оповещениях о секретной информации и режимах только для чтения, создавая настраиваемые сообщения, которые будут отображаться в верхней и нижней части вашего сайта. Информационные заставки отображаются на страницах Главная, Галерея, Map Viewer, Scene Viewer, Блокнот, Группы, Ресурсы и Организация и на сайтах, созданных в ArcGIS Enterprise Sites, если они включены в приложения.
Чтобы включить информационную заставку для своей организации, щелкните Настроить информационную заставку и включите Показать информационную заставку. Добавьте текст в окне Текст заставки и выберите цвет фона и цвет шрифта. Коэффициент контрастности появится для выбранного текста и цвета фона. Коэффициент контрастности – это мера различимости текста, основанная на стандартах доступности WCAG 2.1, рекомендуется придерживаться коэффициента контрастности не менее 4.5 для соответствия этим стандартам.
Примечание:
HTML-теги не допускаются в информационном баннере.
Вы можете просмотреть информационный баннер на панели Просмотр. Щелкните Сохранить, чтобы добавить заставку в свою организацию.
Для изменения информационной заставки щелкните Редактировать информационную заставку и измените текст и стиль заставки. Если вы не хотите, чтобы информационная заставка отображалась в дальнейшем, используйте кнопку переключателя, чтобы отключить ее. После отключения информационной заставки ранее введенный текст и настройки будут сохранены на случай, если она будут включена в будущем. По окончании щелкните Сохранить.
Доверенные серверы
Для Доверенных серверов настройте список доверенный серверов, на которые клиенты должны отправлять учетные данные при создании запросов Cross-Origin Resource Sharing (CORS) для доступа к сервисам, защищенным аутентификацией на веб-уровне. Это, в основном, применяется к редактированию защищенных сервисов объектов с отдельного (не интегрированного) сервера с ArcGIS Server или к просмотру защищенных сервисов Open Geospatial Consortium (OGC). ArcGIS Server размещенные сервисы, защищенные на основе токенов, не нужно добавлять в этот список. Серверы, добавленные в список доверенных, должны поддерживать CORS. Слои, размещенные на серверах без поддержки CORS, могут работать неправильно. ArcGIS Server по умолчанию поддерживает CORS в версиях 10.1 и более поздних. Для настройки CORS на серверах, отличных от серверов ArcGIS, обратитесь к документации по вашему веб-серверу.
Имена хостов должны вводиться по-отдельности. Подстановочные знаки использовать нельзя. Имя хоста может вводиться как с протоколом, так и без него. Например, имя хоста secure.esri.com можно ввести как secure.esri.com или https://secure.esri.com.
Примечание:
Для редактирования сервисов объектов, защищенных с помощью аутентификации на веб-уровне, необходим веб-браузер с технологией CORS. Последние версии Mozilla Firefox, Google Chrome и Safari поддерживаемых для имеют поддержку CORS. Чтобы проверить, включена ли в браузере поддержка CORS, откройте сайт https://caniuse.com/cors.
Разрешить источники
По умолчанию, ArcGIS REST API открыт для запросов CORS от веб-приложений на любом домене. Если ваша организация хочет ограничить домены веб-приложения, которым позволен доступ к ArcGIS REST API через CORS, вам необходимо явно указать эти домены. Например, чтобы ограничить доступ CORS только веб-приложениями на acme.com, щелкните Добавить и введите в текстовое поле https://acme.com, затем щелкните Добавить домен. Вы можете указать до 100 доверенных доменов для вашей организации. Не обязательно указывать arcgis.com в качестве доверенного домена, поскольку приложения, запускаемые на домене arcgis.com, всегда имеют разрешение на подключение к ArcGIS REST API.
Разрешить доступ к порталу
Настройте список порталов (например, https://otherportal.domain.com/arcgis), с которыми вы хотите делиться защищенными ресурсами. Это позволит участникам вашей организации использовать их системы учетных записей (включая учетные записи SAML), для доступа к защищенным ресурсом при просмотре их из этих порталов. Порталы, с которыми сотрудничает ваша организация, будут включены автоматически, и их не нужно будет добавлять в этот список. Это применимо только к порталам в ArcGIS Enterprise версии 10.5 и более поздних. Это настройка необязательна для предоставления общего доступа к защищенным ресурсам для организации ArcGIS Online.
Адреса URL портала должны быть введены по-отдельности и должны включать протокол. Подстановочные знаки использовать нельзя. Если добавляемый портал поддерживает доступ по протоколам HTTP и HTTPS, то необходимо добавить два адреса URL для этого портала (например, http://otherportal.domain.com/arcgis и https://otherportal.domain.com/arcgis). Любой портал, добавленный в список, в первую очередь проверяется и поэтому должен быть доступен из браузера.
Приложения
Вы можете указать, какие внешние приложения могут быть доступны участникам организации, и при необходимости сделать утвержденные веб-приложения доступными для участников организации в средстве запуска приложений. Вы также можете указать список приложений Esri, которые должны быть заблокированы для пользователей в соответствии с правилами, стандартами и рекомендациями.
Одобрение приложений
Все приложения Esri и лицензированные приложения автоматически утверждаются для доступа участников. Чтобы предоставить участникам организации доступ к другим типам приложений без запроса прав доступа, необходимо указать список утвержденных приложений для организации. Одобренные приложения могут включать веб-, мобильные или собственные приложения, размещенные в вашей организации или за ее пределами. Для доступа к внешним приложениям вы также можете ограничить вход участников только теми приложениями, которые добавлены в список утвержденных приложений.
Примечание:
Одобренные веб-приложения также могут быть доступны участникам организации в средстве запуска приложений. Лицензированные приложения автоматически появляются в окне запуска приложений для участников, имеющих соответствующие лицензии. Дополнительные сведения см. в разделе Управление приложениями в панели запуска приложений.
Выполните следующие действия, чтобы утвердить приложения для доступа участников организации:
- Убедитесь, что вы вошли в систему как администратор по умолчанию или как участник с пользовательской ролью с правами администратора для управления безопасностью и инфраструктурой.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность сбоку страницы и щелкните Приложения, чтобы перейти в раздел Приложения страницы.
- В разделе Одобренные приложения щелкните Добавить одобренное приложение.
- Выполните поиск приложения одним из следующих способов:
- Найти приложение в списке: по умолчанию в список включены только приложения, зарегистрированные в вашей организации.
- Поиск по имени
- Поиск по URL элемента: URL элемента находится на вкладке Обзор (раздел URL) страницы элемента приложения.
- Поиск по ID приложения - если вы являетесь владельцем элемента приложения или у вас есть доступ к нему, вы можете найти идентификатор приложения на вкладке Настройки (Настройки приложения > Информация о регистрации) на странице элемента приложения. Другой способ найти ID приложения - открыть приложение в приватном окне браузера, щелкнуть ссылку для входа в приложение и найти значение client_id в URL-адресе, отображаемом в адресной строке браузера.
- Выберите приложение для разрешения.
- Если вы выбрали веб-приложение, вы можете дополнительно отключить переключатель Показать в окне запуска приложений, чтобы скрыть веб-приложение в этом окне.
Чтобы отобразить веб-приложение в средстве запуска приложений, оставьте этот переключатель включенным и следуйте инструкциям в разделе Управление приложениями в окне запуска приложений.
- Нажмите кнопку Сохранить, чтобы добавить приложение в список утвержденных приложений.
Заблокированные приложения Esri
Если ваша организация хочет ограничить доступ к некоторым приложениям, включенным в типы пользователей и не контролируемых через лицензирование, вы можете настроить список заблокированных приложений.
Заблокированные приложения удаляются из программы запуска приложений, и их элементы не могут быть созданы со страницы ресурсов или из веб-карты. Администраторы по-прежнему могут блокировать приложения через управление лицензиями и добавление новых участников, но не могут выбрать их. Элементы приложения, созданные до его блокировки, остаются видимыми в организации, но участники не могут войти в них. Если заблокированное приложение опубликовано для вашей организации, участники не смогут войти и использовать его.
Чтобы заблокировать приложения, нажмите Управлять заблокированными Esri приложениями, выберите приложения, которые вы хотите заблокировать, и нажмите Сохранить.
Администраторы могут удалить приложения из списка заблокированных приложений своей организации, сняв с них выбор в окне Управление заблокированными приложениями или нажав кнопку Удалить рядом с приложением в списке.
Настройка параметров электронной почты
Вы можете настроить параметры электронной почты для своей организации, которые можно использовать для отправки уведомлений по электронной почте участникам. Можно настроить следующие уведомления по электронной почте:
- Уведомления о политике паролей - при изменении политики паролей вашим административным контактам по электронной почте будет отправлено автоматическое уведомление. Если административные контакты не установлены, самая старая учетная запись администратора в организации или начальная учетная запись администратора получит уведомление по электронной почте.
- Уведомления о сбросе пароля - администраторы могут сбросить пароль участника на вкладке Участники, при этом участнику будет отправлено электронное письмо с временным паролем. Участник также может запросить ссылку для сброса пароля, если он укажет, что забыл свой пароль на странице входа в организацию. Электронные письма будут отправлены на адрес электронной почты, связанный с профилем участника.
- Уведомления о Многофакторной аутентификации - в вашей организации должны быть настроены параметры электронной почты для включения многофакторной аутентификации. Если настроена многофакторная аутентификация, назначенные администраторы будут получать уведомления по электронной почте, чтобы при необходимости отключить многофакторную аутентификацию для определенных участников.
- Уведомления о комментариях к элементам - если в организации включены комментарии, владельцы элементов будут получать по электронной почте уведомления о новых комментариях, опубликованных к их элементам.
- Уведомления о профиле и настройках - участники будут уведомлены об изменениях в своем профиле и настройках, таких как пароль, секретный вопрос и видимость профиля.
Выполните следующие действия, чтобы настроить параметры электронной почты:
- Чтобы настроить уведомления по электронной почте для вашей организации, в разделе Параметры электронной почты щелкните Настроить.
Если параметры электронной почты уже настроены, нажмите Управление настройками email, чтобы открыть окно Настройка параметров электронной почты.
- На странице настроек SMTP выполните следующее:
- Введите адрес SMTP-сервера.
Это IP-адрес или полное доменное имя (FQDN) SMTP-сервера, например, smtp.domain.com.
- Укажите порт SMTP.
Это порт, через который будет взаимодействовать SMTP-сервер. Некоторые из наиболее распространенных коммуникационных портов - 25, 465 и 587. Значение по умолчанию 25.
- В разделе Метод шифрования выберите метод шифрования для сообщений электронной почты, отправляемых из вашей организации.
Вы можете выбрать Обычный текст, STARTTLS или SSL.
- Включите Обязательную SMTP-аутентификацию, если для подключения к указанному серверу SMTP требуется аутентификация.
Вы можете оставить эту опцию выключенной, если SMTP-аутентификация не требуется.
- Если выше включена Обязательная SMTP-аутентификация, введите имя пользователя и пароль пользователя, имеющего право доступа к серверу SMTP.
- Введите адрес электронной почты, с которого будут отправляться электронные письма организации.
Рекомендуется, чтобы участник, связанный с этим адресом электронной почты, был указан в разделе Административные контакты вашей организации.
- Введите надпись адреса электронной почты, которая будет отображаться вместе с адресом электронной почты.
Эта информация будет отображаться как отправитель в строке «От» для всех уведомлений по электронной почте. Вы можете использовать имя, связанное с адресом электронной почты отправителя, или использовать надпись, например DO NOT REPLY, если не хотите, чтобы участники отвечали непосредственно на адрес электронной почты отправителя.
- Введите адрес SMTP-сервера.
- Щелкните Далее.
Рекомендуется отправить тестовое электронное письмо, чтобы убедиться, что вы правильно настроили параметры электронной почты.
- Введите адрес электронной почты, который можно использовать для проверки успешной доставки тестового письма, и нажмите кнопку Отправить письмо.
Появится уведомление, сообщающее, успешно ли отправлено электронное письмо. Вы можете проверить журналы портала для получения дополнительной информации.
- Нажмите кнопку Готово, чтобы настроить параметры электронной почты.
Чтобы отключить уведомления по электронной почте от вашей организации, нажмите Отключить настройки электронной почты.