GIS-Transforming our World
欢迎光临
安全与我们息息相关
安全与我们息息相关
安全与我们息息相关
安全与我们息息相关
安全与我们息息相关
3D
Map
Analysis &
Modeling
Services
Image
Information
GeoCoding
Information
GeoData
Services
GIS-Transforming our World
解析ArcGIS for Server安全策略
客户及合作伙伴支持中心 史斌
Server架构
ArcGIS for Server安全体系
总结
内容
一、ArcGIS for Server架构
Server Directory
移动设备 Web 浏览器 桌面客户端
Data Server
Web Adapter(s)
端口:80
ArcGIS Desktop 用户
连接到Server Manager
制作GIS资源
发布服务
GIS Server 管理员
GIS Server(s)
+
端口:6080
+ Cluster1 Cluster2 …
连接到Admin
GIS Server 管理员
二、ArcGIS for Server安全策略
网络安全 通信安全
应用安全 数据安全
1.网络安全——防火墙
1.网络安全——防火墙
TCP/IP存在先天不足
IP包的源地址可以伪造
IP包的生成时间可以伪造
认证环节相当薄弱
SSL确保传输的用户名、密码等敏感信息不被窃取
认证用户和服务器
加密数据
维护数据的完整性
2.通信安全——SSL
2.通信安全——SSL
创建证
书
关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf
测试环境:自签名证书
生产环境:CA签名证书
启用SSL
使用Web Adaptor/负载均衡器:Web Server/负载均衡器启
用SSL,站点中每台GIS服务器也都启用SSL
客户端访问
访问方式:HTTP Only、HTTPS Only、HTTP and HTTPS
HTTPS端口:6443
ArcGIS for Server自签名视频演示
2.通信安全——SSL
账户管理
服务安全
管理安全
Adapter
站点安全
3.应用安全
3.应用安全——账户管理
用户
角色
权限
User
•访问已被授权的服务
•应用程序应使用该角色
Publisher
•访问所有的服务,发布新服务,管理已有的服务
•查看日志,创建缓存,部署、卸载SOEs
•查看用户、角色信息及存储配置
Administrator
•无限制的完整权限
•务必谨慎使用
3.应用安全——账户管理
角色
自定义角色
用户
默认只有一个用户:主站点管理员
管理员 发布者 部门1 部门2
3.应用安全——账户管理
权限
从根节点
继承权限
从文件夹
继承权限
单独设置的
权限
单独设置的
权限root
3.应用安全——账户管理
Identity Store
默认提供内置的,基于文件的身份存储
可修改身份存储方式
用户存储 角色存储
ArcGIS Server内置存储 ArcGIS Server内置存储
LDAP服务器 ArcGIS Server内置存储或LDAP服务器
Windows 域 ArcGIS Server内置存储或Windows域
自定义存储 ArcGIS Server内置存储或自定义存储
3.应用安全——账户管理
Identity Store集成Apache Directory Server
3.应用安全——账户管理
用户认证
用户名、密码是否正确
授权验证
用户是否对请求的资源具有访问权限
认证方式
基于ArcGIS令牌的认证
Web服务器认证
3.应用安全——服务安全
3.应用安全——Token管理
获取令牌
http://myserver:6080/arcgis/tokens
http://myserver:6080/arcgis/admin/generateToken
令牌属性
用户名、密码
客户端:HTTP Referer、IP、Requested IP
过期时间、格式
访问
Web App(基于REST/SOAP)
硬编码 or 动态申请
动态申请Token视频演示
3.应用安全——Token管理
REST管理接口
SSL认证管理
Token管理
权限管理
用户角色管理
虚拟目录
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
……
管理权限IP认证
禁用主站点管理员
3.应用安全——管理安全
通过标准网站和端口访问Server
保护Server站点目录和Server Manager
IIS Adapter可以使用Windows 集成身份验证
3.应用安全—— Adapter
3.应用安全——站点安全
由数据库执行权限验证
访问粒度
控制用户是否有权限访问特定图层 /
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
控制用户是否有权限访问特定属性 / 列
控制用户是否有权限访问特定要素 / 记录
实现原理
建立与Server角色对应的数据库角色
建立与Server用户对应的数据库用户
将对表、列、记录的访问权限授予数据库角色
4.数据安全——集成数据库安全
与Oracle权限集成演示
4.数据安全——集成数据库安全
Server Directory
三、总结
移动设备 Web 浏览器 桌面客户端
Data Server
Web Adapter(s)端口:80
ArcGIS Desktop 用户
连接到Server Manager
制作GIS资源
发布服务
GIS Server 管理员
GIS Server(s)
+
端口:6080
+ Cluster1 Cluster2 …
连接到Admin
GIS Server 管理员
LDAP Server
Backup
Server
主站点
管理员
纵览趋势 纷享成功