Модели авторизации и доступа

После того, как этап аутентификации завершен и у пользователя есть действительный токен доступа к ArcGIS, применяются правила авторизации и доступа. Они могут принимать различные формы, и ArcGIS был разработан и построен для поддержки сложных, специфичных для организаций моделей или структур авторизации.

Авторизация доступа

Этот тип авторизации относится к ресурсам, услугам или интерфейсам, к которым пользователь может получить доступ. В ArcGIS авторизация доступа управляется с помощью модели совместного использования ArcGIS, которая основана на следующих принципах:

• Элементы ресурсов в ArcGIS принадлежат определенной учетной записи пользователя. Отдельный пользователь может управлять, редактировать, удалять и выполнять любые операции с ресурсом, которым он владеет.
• Элементы могут быть опубликованы в группах в ArcGIS. Группы – это конструкции, созданные в ArcGIS, которые имеют метаданные, специфичные для группы, и список участников. Одним из типов групп является группа общего обновления, которая позволяет любому участнику группы редактировать и управлять элементами, опубликованными в группе.
• Группы также могут быть основаны на корпоративных группах, где членство в группах определяется во внешнем каталоге организации и распространяется в ArcGIS через процессы аутентификации Active Directory, LDAP, SAML или OIDC. В этом случае членство пользователя в группе ArcGIS определяется членством в этой корпоративной группе. Это членство устанавливается в момент входа в ArcGIS, действительно для этого сеанса и обновляется при каждом последующем входе в систему.
• Элементы также могут быть опубликованы в организации или для всех.
  • При совместном использовании элемента в организации любой пользователь, который может установить действительный сеанс в организации путем аутентификации, может получить доступ и взаимодействовать с ним.
  • При совместном использовании для всех любой пользователь, у которого есть подключение к системе по протоколу HTTPS, может просматривать ресурс. Он анонимно доступен либо через WAN системы, либо через Интернет, в зависимости от того, как настроена сеть. Контроль доступа к сети может дополнительно ограничить эту уязвимость.

При работе с ключами API, особенно в ArcGIS Location Platform, доступ к ресурсам контролируется путем добавления Доступа к элементу в ключ API.

Авторизация возможностей

Помимо доступа к ресурсу, еще один тип авторизации, который определяет, какие действия вы можете выполнять в данной системе. Сюда входит доступ к возможностям, интерфейсам или конкретным инструментам или приложениям в системе ArcGIS. Эта авторизация также обычно управляется ArcGIS и основывается на нескольких различных принципах:

• Каждому пользователю в системе ArcGIS присваивается Тип пользователя, который определяет его уровень доступа к возможностям. Примеры типов пользователей: Viewer, Creator или Professional Plus.
• Каждому пользователю также назначена роль, которая более детально управляет его авторизацией с помощью набора назначенных прав для этой роли в системе ArcGIS. Права включают в себя возможность создавать ресурсы, делиться ими со всеми, запускать блокноты Python или создавать размещенные сервисы изображений. Стандартные роли включают в себя, среди прочего, Viewer, Data Editor или Publisher.
• Существуют определенные возможности или уровни доступа, которые включены в Тип пользователя по умолчанию. Кроме того, конкретным пользователям могут быть назначены дополнительные приложения или расширения типов пользователей, чтобы предоставить им доступ к дополнительным возможностям.

Эти различия более подробно описаны в разделе Типы, роли и права доступа пользователей. Возможности и доступ устанавливаются при входе пользователя в систему, поэтому для применения обновления любых изменений доступа или прав может потребоваться повторная аутентификация пользователя.

Аутентификация с помощью ключа API обрабатывает авторизацию возможностей по-разному, при этом каждый ключ API имеет настроенный набор доступных прав, таких как геокодирование, геообогащение, маршруты или листы базовой карты, а доступ к другим возможностям при использовании этого ключа API запрещен.

Интеграция с внешними шаблонами авторизации

В то время как большинство организаций управляют правами доступа для пользователей ArcGIS непосредственно в ArcGIS, некоторые организации требуют внешнего управления авторизацией, для чего доступно несколько вариантов.

1. Членство в группах может поддерживаться с помощью корпоративных групп, где членство пользователя основано на утверждении, включенном в SAML-утверждение во время входа, на утверждении OIDC или на запросе к удаленному хранилищу групп, определенному в конфигурации безопасности, которое также запрашивается во время входа пользователя.
2. Большинство провайдеров идентификации для входа на основе SAML или OIDC включают конфигурацию, в которой пользователи либо назначаются, либо инициализируются для приложения ArcGIS с помощью некоторого процесса, что позволяет им использовать процесс входа в систему SAML или OIDC. Пользователи, которые не были инициализированы, не смогут войти в систему через SAML или OIDC, и могут быть определены различные процессы либо для автоматического предоставления доступа ArcGIS новым учетным записям, либо для выполнения определенного типа запроса.
3. ArcGIS предоставляет REST API для всех действий авторизации на основе пользователя, таких как создание и управление группами, добавление участников в группы, изменение ролей или типов пользователей и т.д. Автоматизация с помощью внешнего скрипта, инструмента или системы, такой как блокнот Python, также может быть использована для автоматизации авторизации доступа пользователей путем запроса к удаленному источнику или с помощью формы Survey123 для запуска процесса, который предоставляет пользователю дополнительные полномочия после проверки.