Модели и поставщики аутентификации ArcGIS

ArcGIS построена, поддерживает и развивается с помощью стандартных механизмов, протоколов и технологий ИТ-аутентификации, чтобы обеспечить плавную интеграцию с политиками, практиками и инфраструктурой безопасности существующей организации.Продукты ArcGIS следуют стандартным методам аутентификации при доступе к защищенным ресурсам, включая файловые источники, источники СУБД и веб-источники.ArcGIS Enterprise и ArcGIS Online поддерживают встроенное хранилище пользователей, а также множество поставщиков корпоративных удостоверений (IdP), которые используют и предоставляют ИТ-организации, например, Microsoft Entra ID, Active Directory или Okta. Клиенты и серверы ArcGIS поддерживают аутентификацию на каждом уровне в одноуровневой или многоуровневой архитектуре, включая доступ к веб-сервисам, порталам, СУБД, файловым хранилищам, озерам данных и другим источникам. В этом разделе приведены дополнительные сведения о процессах проверки подлинности и параметрах, которые учитываются в процессе проектирования архитектуры.

провайдеры идентификации

ArcGIS поддерживает и продвигает возможности аутентификации пользователей с помощью единого входа (SSO), которые полагаются на существующую в организации IdP и связанную с ней инфраструктуру безопасности для управления идентификационными данными и учетными данными пользователей, а также механизмами аутентификации.Интеграция с IdP таким образом гарантирует, что ArcGIS легко встраивается в созданную критически важную инфраструктуру безопасности с надежными, централизованными ресурсами для предоставления, администрирования, мониторинга и аудита пользователей. ArcGIS интегрируется с IdP организации с помощью широко распространенных шаблонов аутентификации, таких как SAML, OIDC, IWA/AD, LDAP или PKI. Этот интегрированный подход упрощает модель безопасности и позволяет ArcGIS полагаться на IdP для прямой аутентификации пользователей, предоставления услуг аутентификации, управления доступом (например, для добавления или удаления прав или включения или отключения учетных записей), а также предоставления пользовательского интерфейса с помощью единого входа (SSO), а также ресурсов для предотвращения уязвимостей и вторжений.

Установление идентичности с помощью ArcGIS

При использовании веб-ресурсов в ArcGIS пользователь устанавливает свою идентичность после первоначальной аутентификации. Идентичность может быть установлена с помощью различных методов, но общая последовательность описывается следующим образом:

1. Пользователь может инициировать вход в систему через диалоговое окно входа ArcGIS или при появлении запроса на аутентификацию, например, при доступе к защищенному ресурсу.
2. Приглашение для входа в ArcGIS может отображаться в виде перенаправления, всплывающего окна или встроенных ресурсов. Будут представлены доступные варианты входа для конкретного развертывания ArcGIS Enterprise или организации ArcGIS Online, что позволит пользователю выбрать вариант или вместо этого представить единственную доступную опцию, если включена только одна. Это окно входа и базовый процесс основаны на стандартах OAuth, поэтому существуют также сценарии, в которых пользователю может быть предложено утвердить доступ к внешнему приложению, как в случае с другими рабочими процессами OAuth, используемыми другими приложениями или системами.
3. В большинстве сценариев пользователь выбирает вход в систему с помощью поставщика идентичности SAML или OIDC. При этом они щелкнут кнопку, которая запустит процесс входа в этот IdP. Каждый IdP настроен по-разному и может поддерживать широкий спектр шаблонов аутентификации. Успешная аутентификация для этого поставщика учетных записей вернет пользователя в ArcGIS либо с утверждением SAML, либо с набором утверждений OIDC, которые идентифицируют пользователя как действительного пользователя с точки зрения IDP (одобренного для этого приложения и должным образом аутентифицированного). На этом этапе ArcGIS генерирует код OAuth и последующий токен доступа ArcGIS для пользователя, который затем может получить доступ к нужным приложениям или сервисам.
4. Кроме того, пользователь может выбрать вход в систему непосредственно с помощью встроенной учетной записи пользователя, учетной записи на основе AD или LDAP, введя свои учетные данные в окне входа в приложение ArcGIS. После успешной аутентификации они получают код OAuth, который обменивается на токен доступа.

После завершения аутентификации результирующая сессия пользователя основана исключительно на токене доступа ArcGIS. Этот токен либо хранится в коде приложения, либо хранится и передается в виде файла cookie HTTP и действителен в течение определенного периода времени. Срок действия токена по умолчанию составляет 120 минут, хотя токены могут быть обновлены и запрошены на более длительные периоды. Вместе с токеном доступа также создается refresh_token, который можно использовать для обновления токена доступа пользователя и продления сеанса, когда использование превышает двухчасовой период.

Идентификатор пользователя также включает в себя специфичные для пользователя атрибуты, которые применяются в системе ArcGIS и пользовательском интерфейсе, такие как:

• Тип пользователя — например, Viewer, Contributor, Creator или другой
• Роль пользователя — например, Publisher, Administrator, Custom или другая
• Авторизованные лицензии
• Различные права, задаваемые с помощью элементов управления доступом на основе ролей, такие как участие в группах

При использовании ресурсов настольного компьютера в традиционной конфигурации клиент-сервер, такой как СУБД или файловый сервер, идентификация пользователя основана на модели безопасности, связанной с серверной технологией или возможностями операционной системы.

В сценариях автоматизации серверной части, таких как обмен данными между серверами или обмен данными на основе процессов операционной системы, клиент в этих взаимодействиях следует приведенным выше шаблонам, чтобы установить идентичность с соответствующими учетными данными.

Дополнительную информацию о шаблонах аутентификации, специфичных для ArcGIS, можно найти на сайте Esri Developer.

Протоколы и механизмы аутентификации пользователей в ArcGIS

Чтобы установить пользовательский или программный сеанс с ArcGIS Enterprise или ArcGIS Online, используются следующие поддерживаемые стандартные отраслевые протоколы и механизмы для аутентификации пользователей и клиентов в системе ArcGIS. К ним относятся:

Корпоративные идентификаторы — SAML и OIDC

Esri предоставляет поддержку входа в систему на основе SAML в ArcGIS Enterprise и ArcGIS Online, а также набор документации, специфичной для поставщика удостоверений. OpenID Connect (OIDC) также полностью поддерживается ArcGIS Enterprise и организациями ArcGIS Online. Esri рекомендует использовать учетные записи SAML или OIDC для всех организаций, где доступна эта опция.

В контексте ArcGIS как SAML, так и OIDC обеспечивают безопасный доступ, позволяя пользователям входить в систему, используя свои существующие учетные данные от доверенных поставщиков идентичности, таких как Google, Microsoft Entra ID, Okta или других корпоративных систем идентификации. Когда пользователь пытается получить доступ к системе ArcGIS без текущего сеанса аутентификации, он перенаправляется к поставщику идентичности для аутентификации. Поставщик учетных записей обрабатывает этап аутентификации, на котором имя пользователя, пароль, одноразовый код или другие факторы предоставляются системе, и в случае успеха выдает утверждение SAML или утверждение OIDC, которое отправляется обратно в ArcGIS для проверки личности пользователя.

Преимущества использования SAML или OIDC включают в себя:

• Оптимизированное взаимодействие с пользователем: благодаря единому входу с помощью SAML или OIDC пользователи могут получать доступ к нескольким приложениям с помощью одного набора учетных данных. Это снижает необходимость запоминания нескольких имен пользователей и паролей, улучшая общее взаимодействие с пользователем.
• Повышенная безопасность: эти шаблоны используют механизмы строгой аутентификации, предоставляемые поставщиком идентичности, такие как многофакторная аутентификация (MFA). Это гарантирует, что только авторизованные пользователи могут получить доступ к конфиденциальным ресурсам.
• Централизованное управление идентификацией: организации могут централизованно управлять удостоверениями пользователей и разрешениями доступа через своего поставщика учетных записей. Это упрощает администрирование пользователей и обеспечивает согласованность политик безопасности во всех интегрированных приложениях.
• Снижение накладных расходов на ИТ: используя SAML или OIDC для аутентификации, ИТ-отделы могут сократить время и усилия, необходимые для управления несколькими системами аутентификации. Это приводит к снижению административных расходов и более эффективному использованию ресурсов.
• Улучшенное соответствие нормативным требованиям: централизованная аутентификация и авторизация помогают организациям поддерживать соответствие стандартам и нормам безопасности. Это обеспечивает четкий журнал контроля доступа пользователей и их активности во всех приложениях.
• Гибкие варианты аутентификации: для временных пользователей или сторонних внешних подрядчиков, у которых может не быть постоянных учетных записей у централизованного поставщика идентичности, встроенные учетные записи могут быть созданы и использованы по мере необходимости, а ArcGIS поддерживает одновременное использование обоих шаблонов.
• Мобильные ГИС-приложения: Корпоративные удостоверения особенно полезны для мобильных ГИС-приложений, таких как ArcGIS Field Maps и ArcGIS Survey123, где пользователям необходимо получать доступ к защищенным ресурсам на ходу. Используя этот шаблон, такие приложения могут обеспечить беспрепятственный и безопасный вход в систему, используя существующих поставщиков идентичности в виде учетных записей для проверки подлинности пользователей.
• Сторонние приложения: Разработчики, создающие сторонние приложения, которые взаимодействуют с ArcGIS, могут использовать аналогичные шаблоны аутентификации для безопасного доступа к пользовательским данным и поддержки сеансов между приложениями с помощью единого входа. Это позволяет создавать инновационные решения, которые расширяют возможности ArcGIS, сохраняя при этом высокие стандарты безопасности.

Встроенное хранилище учетных записей для компонентов ArcGIS Server и Portal for ArcGIS

Как это работает

Встроенное хранилище учетных записей позволяет управлять пользователями и группами непосредственно в компонентах ArcGIS Server или Portal for ArcGIS. Это означает, что вам не нужна внешняя система для обработки аутентификации пользователей. ArcGIS берет на себя процесс аутентификации, проверяя имена пользователей и пароли, хранящиеся в собственной базе данных. Этот метод часто используется для первоначальной настройки, разработки и тестирования, поскольку он позволяет быстро и легко создать учетную запись.

Практический пример

Представьте, что вы создаете новый портал ArcGIS Enterprise для небольшой команды ГИС-специалистов. Вы можете быстро создать учетные записи пользователей для каждого участника команды прямо на портале. После этого каждый пользователь может войти в систему со своими учетными данными, чтобы получить доступ к картам, приложениям и другим ресурсам, совместно используемым в организации.

Преимущества

Простота использования — нет необходимости в сложной интеграции с внешними системами.

Быстрая настройка — идеально подходит для быстрого начала работы, особенно в средах разработки и тестирования.

Автономность — управление всеми пользовательскими данными осуществляется внутри портала, что упрощает администрирование.

Ограничения

Масштабируемость — не идеальна для средних и крупных организаций с большим количеством пользователей, так как управление может стать громоздким.

Безопасность — может не соответствовать строгим требованиям безопасности некоторых организаций по сравнению с использованием LDAP или SAML.

IWA, AD и LDAP

Интегрированные протоколы Windows Authentication (IWA) и Active Directory (AD), а также Lightweight Directory Access Protocol (LDAP), доступные только в ArcGIS Enterprise, обычно используются в организациях для внутренних или сетевых рабочих процессов. Esri рекомендует использовать конфигурации IWA, AD и LDAP только для внутренних развертываний ArcGIS Enterprise.

Дополнительные шаблоны

Инфраструктура открытых ключей (PKI) с использованием клиентских сертификатов используется в нескольких шаблонах аутентификации, включая IWA, SAML и OIDC.

Многофакторная аутентификация (MFA) часто применяется к встроенным учетным записям ArcGIS или применяется как часть процесса SAML или OIDC с использованием внешнего поставщика удостоверений. Это рекомендуемая практика, особенно для учетных записей с высоким уровнем прав.

Аутентификация на основе приложений — еще один шаблон аутентификации, связанный со встроенным шаблоном пользователя, при котором аутентификация завершается с помощью ключей API или пар идентификатора клиента и секрета клиента.¹

ArcGIS также поддерживает анонимный доступ пользователей к большинству типов ресурсов в системе для организаций, которым требуется либо открытый доступ к глобальной сети, либо публичный доступ к приложениям через Интернет.

• Эта строка необходима для сносок, чтобы они отображались на странице, а не внизу страницы.

Межсерверная аутентификация

В то время как большинство рабочих процессов, выполненных в системах ArcGIS, основаны на пользователях, где человек взаимодействует с веб-страницей или приложением, которое отправляет запросы на сервер, другие рабочие процессы требуют межсерверного или программного уровня взаимодействия, будь то интеграция между системами, автоматизация задач обработки данных или обеспечение какого-либо другого уровня связи между различными серверными или серверными системами.

Несмотря на то, что серверные запросы, разрешающие анонимную идентификацию, просты в поддержке, существует множество вариантов аутентификации этих запросов, когда сервис или конечная точка защищены и требуется определенный уровень аутентификации или идентификации. Вот некоторые общие рекомендации в этой области:

• В большинстве случаев при обмене данными между серверами нельзя использовать шаблон проверки аутентификации на основе SAML или OIDC, так как эти поставщики IdP требуют интерактивного входа в систему с помощью интерфейса HTML и часто включают запросы многофакторной проверки подлинности или проверку в стиле капчи.
• Запросы, исходящие из инструмента геообработки или запланированного скриптового инструмента, запущенного на сервере, обычно предполагают идентификацию сервисного аккаунта или локального аккаунта, выполняющего этот процесс. Особенно в сценариях на основе IWA, удостоверение и настройки для этой учетной записи пользователя могут существенно повлиять на успех запроса на стороне сервера.
• Использование refresh_token на основе ArcGIS OAuth (созданного встроенным или корпоративным поставщиком удостоверений) может быть встроено в систему и использоваться для генерации токенов сеанса по мере необходимости. Действующий токен обновления также можно обменять на новый, таким образом, можно создать логику для поддержания этого токена обновления и сохранения его действительным в течение неограниченного времени.
• Ключи API — это еще один потенциальный метод аутентификации процессов на стороне сервера, где ключ API может быть сгенерирован для определенного сервиса и рабочего процесса и использоваться процессом на стороне сервера для аутентификации и выполнения определенных операций, таких как геокодирование или запросы маршрутизации.