Конфигурирование безопасности ArcGIS Server
Сконфигурировать безопасность в ArcGIS Server можно с помощью Менеджера (Manager) ArcGIS Server Manager. Настройки безопасности определяют, как происходит управление пользователями и ролями, и как производится авторизация пользователей. Для настройки параметров безопасности ArcGIS for Server необходимо войти в Manager в качестве первичного администратора сайта или пользователя с административным доступом. Если учетная запись первичного администратора сайта была отключена, вам необходимо снова ее включить перед тем, как изменять параметры безопасности ArcGIS for Server.
В Менеджере (Manager) имеется три опции для конфигурации способов управления пользователями и ролями:
- Пользователи и роли из встроенного хранилища ArcGIS Server
- Пользователи и роли из существующей корпоративной системы (Users and roles from an existing enterprise system)
- Пользователи из существующей корпоративной системы и роли из встроенного хранилища ArcGIS Server (Users from an existing enterprise system and roles from ArcGIS Server's built-in store)
Дополнительные сведения о том, как управлять пользователями и ролями в пользовательском хранилище идентичностей учетных записей, см. в статье Установка пользовательского хранилища идентичностей учетных записей с помощью Java (Setting up a custom identity store using Java).
В Менеджере (Manager) имеется две опции, определяющие, как пользователи авторизуются при доступе к веб-сервисам GIS:
- Авторизация в ArcGIS Server (ArcGIS Server authentication)
- Авторизация на веб-сервере (Web server authentication)
Управление пользователями и ролями в ArcGIS Server
Пользователи и роли из встроенного хранилища ArcGIS Server
Обычно безопасность в ArcGIS Server обеспечивается с помощью пользователей и ролей из встроенного хранилища. Когда выбрана эта опция, информация о пользователях и ролях хранится в файловом формате в хранилище конфигураций. Получать доступ и управлять пользователями и ролями во встроенном хранилище может только ArcGIS Server. В результате, когда безопасность сконфигурирована таким образом, чтобы использовать встроенное хранилище, пользователи авторизуются с помощью кодов токенов ArcGIS.
Пользователи и роли из существующей корпоративной системы
ArcGIS Server может обеспечивать безопасность с помощью пользователей и ролей, управляемых с внешнего сервера Microsoft Active Directory или LDAP. ArcGIS Server использует сервер Active Directory или LDAP как хранилище, доступное только для чтения. Пользователей и роли с сервера Directory или LDAP можно видеть в Менеджере (Manager), но их нельзя добавлять, редактировать или удалять. При использовании Active Directory или LDAP в качестве хранилища пользователей, авторизация пользователя может быть произведена ArcGIS Server или веб-сервером.
Пользователи из существующей корпоративной системы и роли из встроенного хранилища ArcGIS Server
ArcGIS Server можно сконфигурировать так, чтобы он обеспечивал безопасность с помощью пользователей, управляемых с внешнего сервера Microsoft Active Directory или LDAP, и ролей, управляемых во встроенном хранилище ArcGIS Server. ArcGIS Server использует сервер Active Directory или LDAP как хранилище, доступное только для чтения. Пользователей с сервера Directory или LDAP можно видеть в Менеджере (Manager), но их нельзя добавлять, редактировать или удалять. Роли во встроенном хранилище можно добавлять, изменять и удалять, используя для этого с помощью Менеджер (Manager). При использовании Active Directory или LDAP в качестве хранилища пользователей, авторизация пользователя может быть произведена ArcGIS Server или веб-сервером.
Запросы авторизации на веб-сервисы ArcGIS
ArcGIS Server позволяет выбирать, как пользователи авторизуются при доступе к защищенным веб-сервисам ArcGIS. Однако доступ к Менеджеру (Manager) ArcGIS Server Manager и Директории администратора (Administrator Directory) всегда осуществляется с помощью механизма авторизации ArcGIS на основе кодов токенов.
Авторизация в ArcGIS Server
Когда авторизация производится на уровне ГИС сервера, пользователи авторизуются, используя специальныхого механизма авторизации с помощью кодов токенов. Дополнительные сведения об авторизации с помощью кодов см. в статье О кодах токенах ArcGIS (About ArcGIS tokens). Авторизация в ArcGIS Server – это самый распространенный способ, который используется, когда ГИС веб-сервисы используются в основном клиентами, созданными с помощью веб API ArcGIS Server.
Проверка подлинности на веб-сервере
Если аутентификация выполняется веб-сервером, можно использовать стандартные механизмы аутентификации на веб-сервере, такие как HTTP-дайджест, аутентификация сертификата клиента в инфраструктуре открытых ключей (PKI) и т.д. В отличие от аутентификации с помощью токена, эти механизмы поддерживаются сторонними клиентами сервисов ArcGIS. Аутентификация на веб-сервере также широко используется при создании веб-приложений с единым входом или пользовательским механизмом аутентификации.
Авторизация на веб-сервере требует, чтобы на веб-сервер был установлен ArcGIS Web Adaptor. Когда сконфигурирована авторизация на веб-сервере, ArcGIS Server передает право проводить авторизацию Web Adaptor. Когда пользователь успешно прошел авторизацию, ArcGIS Web Adaptor шифрует и присоединяет пользовательскую информацию к запросу и отправляет его на ArcGIS Server. ArcGIS Server получает и расшифровывает пользовательскую информацию, чтобы убедиться, что пользователь имеет право на доступ к запрашиваемому ГИС веб-сервису.
Web Adaptor можно установить на веб-сервер как до, так и после конфигурирования авторизации на веб-сервере в Менеджере (Manager). Дополнительные сведения о Web Adaptor и инструкции по его установке на веб-сервер см. в О ArcGIS Web Adaptor.
Поддерживаемые конфигурации хранилища идентичностей учетных записей
Механизм авторизации | Поддерживаемые конфигурации хранилища идентичностей учетных записей |
|---|---|
Авторизация в ArcGIS Server |
|
Проверка подлинности на веб-сервере | Любое хранилище идентичностей учетных записей, для которого веб-сервер имеет встроенную или расширяемую поддержку |