Ограничение функциональных возможностей прокси портала

В некоторых ситуациях ArcGIS Enterprise работает как прокси-сервер. Эта его функциональная возможность реализуется в следующих ситуациях:

  • Вы пытаетесь открыть ресурс, находящийся вне вашего портала на другом домене, а CORS (Cross Origin Resource Sharing) не поддерживается. CORS – это технология, которая дает разрешение на взаимодействие веб-сервера и веб-браузера и определяет, должен ли быть разрешен запрос cross-origin.
  • Вы пытаетесь поделиться надежным ресурсом с другими пользователями и при этом скрыть учетные данные пользователя, необходимые для доступа к этому ресурсу.

По умолчанию модуль доступа портала не имеет никаких ограничений. Вследствие этого портал может быть использован с целью организации DoS (отказ в обслуживании) и SSRF (подделка запроса на стороне сервера)-атак против любого компьютера, доступного для компьютера портала. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить возможности прокси-модуля портала, определив для него список доверенных веб-адресов. ArcGIS Enterprise сможет направлять прокси-запросы только на адреса, указанные в этом списке; все другие адреса будут блокироваться. Если ArcGIS Server интегрирован с порталом, то этот список должен содержать адреса всех компьютеров этого сайта, а также всех ресурсов, опубликованных на этом портале в качестве элемента.

Чтобы задать список доверенных адресов, выполните следующие действия.

  1. Откройте веб-браузер и войдите в ArcGIS Enterprise Administrator Directory в качестве администратора своей организации. URL-адрес имеет формат https://example.organization.com/<context>/admin.
  2. Щелкните Безопасность > Конфигурация > Обновить конфигурацию.
  3. В поле Security Configuration (JSON) добавьте параметр allowedProxyHosts и укажите список доверенных адресов, например:

    {
      "disableServicesDirectory": false,
      "enableAutomaticAccountCreation": false;
      "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    

    Примечание:
    Используйте формат (.*).domain.com, чтобы разрешить прокси-запросы на все компьютеры в заданном домене. Используйте звездочки (*) с осторожностью, чтобы случайно не предоставить доступ неправомочным пользователям.

  4. Щелкните Обновить конфигурацию безопасности.