解析ArcGISforServer安全策略.pptxVIP

解析ArcGISforServer安全策略安全与我们息息相关安全与我们息息相关安全与我们息息相关安全与我们息息相关安全与我们息息相关Analysis ModelingServicesMap3DImageInformationGeoDataServicesGeoCodingInformationArcGIS Server解析ArcGIS for Server安全策略客户及合作伙伴支持中心 史斌内容Server架构ArcGIS for Server安全体系总结一、ArcGIS for Server架构桌面客户端移动设备Web 浏览器端口：80Web Adaptor(s)连接到Admin端口：6080GIS Server 管理员 GIS Server(s)连接到Server Manager…＋Cluster2Cluster1+GIS Server 管理员发布服务制作GIS资源Server DirectoryData ServerArcGIS Desktop 用户二、ArcGIS for Server安全策略1.网络安全——防火墙1101……1101……1101……1101……1.网络安全——防火墙2.通信安全——SSLTCP/IP存在先天不足 IP包的源地址可以伪造 IP包的生成时间可以伪造 认证环节相当薄弱SSL确保传输的用户名、密码等敏感信息不被窃取 认证用户和服务器 加密数据 维护数据的完整性2.通信安全——SSL创建证书测试环境：自签名证书生产环境：CA签名证书启用SSL使用Web Adaptor/负载均衡器：Web Server/负载均衡器启用SSL，站点中每台GIS服务器也都启用SSL客户端访问访问方式：HTTP Only、HTTPS Only、HTTP and HTTPSHTTPS端口：64432.通信安全——SSL视频/SSL开启安装证书.wmvArcGIS for Server视频/SSL开启安装证书.wmv自签名视频演示3.应用安全账户管理服务安全管理安全Adaptor站点安全3.应用安全——账户管理权限角色用户3.应用安全——账户管理角色User访问已被授权的服务应用程序应使用该角色Publisher访问所有的服务，发布新服务，管理已有的服务查看日志，创建缓存，部署、卸载SOEs查看用户、角色信息及存储配置自定义角色Administrator无限制的完整权限务必谨慎使用3.应用安全——账户管理用户默认只有一个用户：主站点管理员管理员发布者部门1部门23.应用安全——账户管理权限单独设置的权限root单独设置的权限从根节点继承权限从文件夹继承权限3.应用安全——账户管理Identity Store默认提供内置的，基于文件的身份存储可修改身份存储方式用户存储角色存储ArcGIS Server内置存储ArcGIS Server内置存储LDAP服务器ArcGIS Server内置存储或LDAP服务器Windows Active DirectoryArcGIS Server内置存储或Windows Active Directory自定义存储ArcGIS Server内置存储或自定义存储3.应用安全——账户管理视频/LDAP安全集成.wmvApache Directory Server 视频/LDAP安全集成.wmv存储 视频/LDAP安全集成.wmvIdentity 视频/LDAP安全集成.wmvStore3.应用安全——服务安全用户认证用户名、密码是否正确授权验证用户是否对请求的资源具有访问权限认证方式基于ArcGIS令牌的认证Web服务器认证3.应用安全——Token管理获取令牌http://myserver:6080/arcgis/tokens令牌属性用户名、密码客户端：HTTP Referer、IP、Requested IP过期时间、格式访问Web App（基于REST/SOAP）硬编码 or 动态申请3.应用安全——Token管理视频/动态申请Token.wmv动态申请视频/动态申请Token.wmvToken视频/动态申请Token.wmv视频演示3.应用安全——管理安全REST管理接口SSL认证管理Token管理权限管理用户角色管理虚拟目录安全管理……管理权限IP认证禁用主站点管理员3.应用安全—— Adaptor 通过标准网站和端口访问Server 保护Server站点目录和Server Manager IIS Adaptor可以使用Windows 集成身份验证3.应用安全—— 站点安全4.数据安全——集成数据库安全由数据库执行权限验证访问粒度控制用户是否有权限访问特定图层 / 表控制用户是否有权限访问特定属性 / 列控制用户是否有权限访问特定要素 / 记录实现原理建立与Server角色对应的数据库角