Основным фактором, который необходимо учитывать при настройке безопасности в организации ArcGIS Enterprise, является источник пользователей и, дополнительно, групп. Этот источник пользователей вместе с группами называется хранилищем аутентификаций. Управление пользователями и группами в вашей организации, а также сторонними пользователями осуществляется через хранилище аутентификаций.
- Описание хранилищ аутентификаций
- Настройка встроенных пользователей с помощью хранилища аутентификаций портала
- Настройка корпоративного входа в систему с использованием аутентификации веб-уровня
- Настройка корпоративного входа в систему с помощью SAML
Описание хранилищ аутентификаций
Хранилище аутентификаций организации определяет, где будут храниться учетные данные пользователей портала, как будет производиться аутентификация и как будет происходить управление участниками групп. Организация ArcGIS Enterprise поддерживает два типа хранилищ аутентификаций: встроенное и корпоративное.
Встроенное хранилище аутентификаций
Когда вы создаете в своей организации встроенные учетные записи и группы, вы используете встроенное хранилище аутентификаций, которое выполняет аутентификацию и сохраняет имена пользователей учетных записей, пароли, роли и принадлежность участников к группам. Для создания первичной учетной записи администратора организации вы должны использовать встроенное хранилище аутентификаций, но позднее вы сможете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций может оказаться особенно полезным, чтобы поднять и запустить портал, а также для разработки и тестирования. Однако в производственных средах обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
ArcGIS Enterprise устроен так, что вы можете использовать корпоративные учетные записи и группы для управления доступом в организацию ArcGIS. Данный процесс называют в документации настройкой учетных записей организации.
Преимущество такого подхода заключается в том, что вам не требуется создавать дополнительные учетные записи на портале. Участники используют логин, который уже настроен в корпоративном хранилище аутентификаций. Управление учетными данными, включая политики сложности и срока действия пароля, осуществляется за пределами портала. Аутентификация может выполняться на уровне портала с использованием аутентификации уровня портала или через внешнего поставщика аутентификации с использованием SAML.
Аналогичным образом вы также можете создавать группы на портале, который использует группы Windows Active Directory, LDAP или SAML, которые есть в хранилище аутентификаций. Это позволяет управлять принадлежностью участников к группам полностью вне портала. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в группе Active Directory, LDAP или SAML. Также корпоративные учетные записи можно добавлять пакетно, из групп Active Directory, LDAP или SAML вашей организации.
Например, рекомендуется отключить анонимный доступ к организации, подключить портал к требуемым корпоративным группам Active Directory, LDAP или SAML в вашей организации, а затем добавить корпоративные учетные записи на базе этих групп. Таким образом вы запрещаете доступ к порталу определенным группам Active Directory, LDAP или SAML из вашей организации.
Поддержка нескольких хранилищ аутентификаций
С помощью SAML 2.0 вы можете предоставлять доступ на свой портал для нескольких хранилищ аутентификации. Пользователи смогут выполнять вход как под встроенными учетными записями, так и под учетными записями, которые управляются в нескольких SAML-совместимых провайдерах аутентификации, имеющих конфигурацию взаимного доверия. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами. Подробные сведения см. в разделе Настройка SAML-совместимого провайдера аутентификации для работы с порталом.
Настройка встроенных пользователей и групп с помощью хранилища аутентификаций портала
Настройка портала для работы со встроенными пользователями и группами не требуется; портал готов к работе со встроенными пользователями и группами сразу после установки соответствующего ПО. Если вы собираетесь работать с корпоративными пользователями, дополнительно ознакомьтесь со следующими разделами.
Настройка корпоративного входа в систему
С порталом могут быть настроены следующие провайдеры корпоративной аутентификации. Аутентификация может выполняться на веб-уровне (с помощью ArcGIS Enterprise on Kubernetes Web Adaptor) или на уровне портала.
Аутентификация на веб-уровне
Если в вашей организации настроено внешнее хранилище идентификационных данных, можете настроить проверку подлинности веб-уровня для развертывания ArcGIS Enterprise on Kubernetes. Подробнее см. в Аутентификация на веб-уровне.
Аутентификация на уровне портала
Чтобы разрешить доступ к порталу, используя одновременно корпоративное и встроенное хранилище аутентификаций, без SAML, можно использовать аутентификацию на уровне портала. Это достигается с помощью настройки портала на работу с хранилищем аутентификаций Active Directory или LDAP. Когда пользователи открывают страницу входа на портал, они могут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователи должны будут вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа недоступны.
При использовании аутентификации уровня портала участники организации будут заходить в систему, используя следующий синтаксис:
- При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain. Независимо от того, как входит участник, имя пользователя всегда отображается на веб-сайте портала как username@domain.
- При работе с порталом с использованием LDAP синтаксис может быть определен администратором. На веб-сайте портала всегда отображается учетная запись в этом формате.
Настройка корпоративного входа в систему с помощью SAML
Портал ArcGIS Enterprise поддерживает все SAML-совместимые провайдеры аутентификации. Более подробно см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
Правила блокировки учетной записи
В программных системах часто устанавливаются правила блокировки учетной записи для защиты от массированных автоматизированных попыток взлома пароля пользователя. Если пользователь производит определенное число неудачных попыток входа в систему в течение определенного периода времени, ему может быть отказано в дальнейших попытках входа на определенный срок. При составлении этих правил учитывается та ситуация, что пользователи иногда могут действительно забыть их имена и пароли и безуспешно пытаться войти в систему.
Политика принудительной блокировки портала зависит от того, какой тип хранилища аутентификаций вы используете:
Встроенное хранилище аутентификаций
Встроенное хранилище аутентификаций блокирует пользователя, если он последовательно совершил пять неудачных попыток входа. Блокировка длится 15 минут. Эти правила применяются ко всем учетным записям в хранилище аутентификаций, включая первичную учетную запись администратора. Эти правила нельзя изменить или заменить.
Корпоративное хранилище аутентификаций
При использовании корпоративного хранилища аутентификаций применяются правила блокировки учетной записи, установленные для этого хранилища. Вы можете изменять правила блокировки учетной записи, установленные для хранилища. По вопросу изменения правил блокировки учетной записи обратитесь к документации на соответствующий тип хранилища.
Отслеживание неудачных попыток входа в систему
Вы можете отслеживать неудачные попытки входа в систему, просматривая журналы организации ArcGIS Enterprise Manager. Каждая неудачная попытка сопровождается сообщением-предупреждением о том, что пользователю не удалось войти в систему из-за неверной комбинации имени пользователя и пароля. Если пользователь превышает лимит неудачных попыток входа, выдается сообщение высокого уровня важности о том, что учетная запись заблокирована. Просмотр записей в журналах о неудачных попытках входа в систему может помочь понять, производится ли в действительности кибератака на вашу систему.
Более подробно см. Работа с системными журналами.