Управление доступом на портал
Примечание:Этот раздел применим только к версии 10.2.1 и более поздним.
Одним из ключевых аспектов планирования развертывания Portal for ArcGIS является выбор, как управлять учетными записями, которые будут заходить на портал, и какими правами доступа их наделять. Определение, как управлять учетными записями, влияет на выбор хранилища аутентификаций.
Описание хранилищ аутентификаций
хранилище аутентификаций для вашего портала определяет, где будут храниться учетные данные портала и как выполняется аутентификация. Portal for ArcGIS поддерживает два типа хранилищ аутентификаций: встроенное и хранилище организации.
Встроенное хранилище аутентификаций
Portal for ArcGIS можно предварительно настроить для простого создания учетных записей на портале. Вы можете использовать команду Создать учетную запись (Create an account)на домашней странице веб-сайта портала для добавления встроенной учетной записи на ваш портал и начала работы с ресурсами организации или доступа к ресурсам других пользователей. При создании учетных записей в вашем портале таким способом вы используете встроенное хранилище аутентификаций, которое сохраняет имена, пароли и роли пользователей портала.
Вам следует использовать встроенное хранилище аутентификаций для создания первичной учетной записи администратора портала, но позже вы можете переключиться на корпоративное хранилище аутентификаций. Встроенное хранилище аутентификаций полезно, когда вы желаете поднять портал и запустить его, а также для разработки и тестирования. Однако в организациях обычно используется корпоративное хранилище аутентификаций.
Корпоративное хранилище аутентификаций
Portal for ArcGIS разработана так, чтобы вы могли использовать учетные данные организации для контроля доступа к вашей ArcGIS организации. Например, вы можете использовать учетные данные из Windows Active Directory или хранилища LDAP для контроля доступа на портал. При использовании корпоративного хранилища аутентификаций, управление учетными данными и процесс аутентификации выполняются полностью вне Portal for ArcGIS.
Например, если ваша организация желает ввести политику ограничения по времени использования пароля и его сложности , или вы желаете применять аутентификацию Integrated Windows Authentication (IWA) или PK, вам следует работать с корпоративным хранилищем аутентификаций. Наибольшее преимущество корпоративного хранилища аутентификаций заключается в том, что организация может централизованно управлять информацией об учетных данных в одном репозитории и использовать её для портала; без дублирования учетных записей.
Доступ к порталу с помощью корпоративных учетных записей также много проще для конечных пользователей, так как им не требуется помнить другое имя и пароль. Когда вы настраиваете ваш портал для работы с корпоративным хранилищем аутентификаций, вы включаете систему единого входа, и вашим пользователям не потребуется вновь вводить учетные данные.
Portal for ArcGIS поддерживает корпоративные хранилища учетных против Windows Active Directory и LDAP. Подробнее см. в разделе Использование встроенной аутентификации Windows (Integrated Windows Authentication) в вашем портале или Использование LDAP и аутентификации яруса веб-узлов в вашем портале.
Описание прав доступа
После выбора, как управлять учетными данными и аутентификацией на Portal for ArcGIS, вам следует решить, какими правами доступа наделять пользователей, входящих на вашу ArcGIS организацию. Права доступа определяются в зависимости от того, является ли входящий на портал пользователь сотрудником ArcGIS организации. Пользователя, которые входят на портал без учетной записи ArcGIS организации, могут только искать и использовать общедоступные элементы. Например, если на веб-сайт внедрена публичная веб-карта, пользователи, которые её просматривают, получают доступ к элементу портала, несмотря на то, что у них нет учетной записи.
Если это то, что вы хотите, включите данный тип доступа. Вы всегда можете закрыть доступ для людей, не относящихся к ArcGIS организации. Чтобы узнать, как это выполнить, см. Отключение анонимного доступа.
Пользователи получить к вашему порталу расширенные права доступа, если они сотрудники вашей ArcGIS организации. Сотрудники ArcGIS организации перечислены на закладке Моя организация (My Organization) веб-сайта портала. Следующая таблица описывает различные типы уровней прав доступа.
Доступ без учетной записи ArcGIS организации | Доступ с учетной записью ArcGIS организации | |||
|---|---|---|---|---|
Роль пользователя | Роль издателя | Роль администратора | ||
Поиск и использование публичных элементов (например, веб-карт и веб-приложений) | Да | Да | Да | Да |
Поиск и использование частных элементов (например, веб-карт и веб-приложений) | No | Да | Да | Да |
Создание и публикация элементов (например, веб-карт и веб-приложений) | No | Да | Да | Да |
Использование приложений Collector for ArcGIS, Esri Maps for Office или Dashboard for ArcGIS | No | Да | Да | Да |
Публикация новых ресурсов как сервис объектов и сервис, разделенный на листы | No | No | Да | Да |
Управление элементами, созданными другими | No | No | No | Да |
Управление пользователями и их правами | No | No | No | Да |
Администрирование ArcGIS организации | No | No | No | Да |
При добавлении на портал новой корпоративной учетной записи ArcGIS по умолчанию ей будет назначаться роль пользователя. Однако администратор портала может изменить роль в любое время. Подробнее см. Управление ролями пользователей.
Управление корпоративными учетными записями ArcGIS
Корпоративная учетная запись ArcGIS – это пользовательская учетная запись, которая была добавлена веб-сайт портала вашей организации. В документации и на веб-сайте портала этих пользователей часто называют корпоративными учетными записямя или сотрудниками организации.
Администратору важно полностью контролировать не только права доступа каждого сотрудника ArcGIS организации, но и кому разрешается быть пользователем.
Максимальное число корпоративных учетных записей ArcGIS на вашем портале определяется файлом авторизации, который вы использовали для активации программного обеспечения. В любое время вы можете сравнить итоговое число пользователей в вашей организации и максимум, разрешенный на странице Моя организация (My Organization) на веб-сайте портала.
Управление учетными записями при использовании встроенного хранилища
При использовании встроенного хранилища веб-сайт портала будет по умолчанию показывать ссылку для того, чтобы пользователь мог присоединиться к организации ArcGIS. Это упрощает присоединение пользователей к организации, но не может реально регламентировать, кто может присоединяться; любой входящий на портал может создать учетную запись. Если вы хотите осуществлять больший контроль, то вы можете отключить самостоятельную авторизацию и затем предоставить поименный список учетных записей портала. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление пользователей портала. В любое время вы можете также удалить пользователей с веб-сайта вашего портала или изменить их права доступа.
Управление учетными записями при использовании корпоративного хранилища аутентификаций
Portal for ArcGIS не позволит вам удалять, редактировать или создавать новые учетные записи в корпоративном хранилище, но вы можете зарегистрировать существующие корпоративные учетные записи. По этой причине страница авторизации на веб-сайте портала не будет доступна, когда вы настраиваете портал на работу с корпоративным хранилищем аутентификаций.
Как администратор, вы обычно выбираете учетные данные организации, которые вы желаете добавить в организацию, и добавляете их пакетно. Подробнее о пакетном создании корпоративных учетных записей ArcGIS см. Добавление пользователей портала. В любое время вы можете также удалить пользователей с веб-сайта вашего портала или изменить их права доступа.
Или вы можете выбрать автоматическое добавление любой корпоративной учетной записи, которая подключается к порталу, либо к любому элементу портала. Подробнее см. Автоматическая регистрация корпоративных учетных записей.
Важно понимать, что при настройке портала на использование корпоративного хранилища аутентификаций анонимный доступ в ArcGIS организацию закрывается; что любой пользователь, входящий на ваш портал, должен сначала авторизоваться в вашем хранилище организации. После авторизации права пользователя будут определяться в соответствии с правами корпоративной учетной записи ArcGIS.
Примечание:При обновлении Portal for ArcGIS 10.2.1 до 10.2.2, настройка включения автоматического создания учетной записи не сохраняется; после обновления автоматическое создание учетной записи отключено. Это не является нормальным поведением и будет исправлено в следующих выпусках. Если вы включили автоматическое создание учетных записей в 10.2.1, вы можете решить эту проблему, снова включив эту настройку сразу после обновления до 10.2.2. Более подробно см. Автоматическая регистрация корпоративных учетных записей.
Прежние версии:В Portal for ArcGIS 10.2 корпоративные учетные записи регистрировались автоматически как пользователи организации. Это означает, что ваша организация может незаметно превысить максимум пользователей. Когда вы обновите Portal for ArcGIS 10.2 до версии 10.2.2 унаследованное поведение сохранится; учетные записи будут также регистрироваться по умолчанию. Напротив, новая установка Portal for ArcGIS 10.2.1 или 10.2.2 не позволит проводить автоматическую регистрацию учетных записей. Если вы обновили ваш портал с версии 10.2 до 10.2.2, вы можете захотеть запретить автоматическую регистрацию, чтобы получить больше контроля за тем, какие пользователи добавляются как сотрудники организации. Более подробно см. Автоматическая регистрация корпоративных учетных записей.