- Использование буфера (в контексте области пространственного допуска) является очень важным, если дело касается защиты доступа GET_FEATURE к ArcIMS, поскольку в данном случае метод пространственной операции 'Внутри' не поддерживается. Чтобы симулировать эффект операции ' Внутри ', можно определить отрицательный диапазон допуска после выполнения точного анализа предлагаемых данных, чтобы убедиться, что только эти геометрии пересекаются с (inbound buffered) авторизованной областью, которая полностью заключена в авторизованные геометрии.
- Необходимо определить только пространственное обязательство для каждой политики, чтобы не оказать негативного влияния на время обработки процесса авторизации.
- Если несколько политик, которые устанавливают пространственные обязательства вовлечены в исследование определённого запроса, пространственные области каждого обязательства объединяются.
- Сложные геометрии фильтра замедляют процесс авторизации и процесс построения запроса к сервису. Генерализация геометрий фильтра может оказаться более эффективной, хотя она и может привести к неточности в пограничных областях.
Создание прав для ArcGIS Server
Чтобы создать наборы политик для сервисов ArcGIS Server, выберите ArcGIS Server в дереве навигации.
Чтобы добавить новый ArcGIS Server, щёлкните на символе '+'. Появится диалоговое окно, в котором вы можете выбрать ранее созданный ArcGIS Server на закладке Защищённые сервисы (Protected Services) или ввести URL прямо в поле 'URL of the ArcGIS-Server', сначала выбрав 'Other' в поле Защищённые сервисы (Protected Services).
Щёлкните на кнопке 'Запросить сервисы', чтобы запросить и отобразить доступные сервисы ArcGIS.
Отдельные сервисы ArcGIS Server показаны вместе с кнопками множественного выбора, чтобы вы могли выбрать сервисы, для которых будут созданы policy sets. Щёлкните на кнопке 'Create policy sets', чтобы создать их. Они будут тогда перечислены в узле дерева навигации ArcGIS Server.
Создание политик в пределах этих наборов политик выполняется таким же образом, как и для политик WMS.
Интерфейс ArcGIS Server REST
Для доступа к интерфейсу ArcGIS Server REST через securityManager должен использоваться тот же URL, что и для сервисов SOAP. securityManager автоматически перенаправляет все запросы GET к "arcgis/rest/services" вместо "arcgis/services".
Обратите внимание, что поддерживаются только запросы для форматов “f=json” или “f=pjson”. Формат “f=html” вызовет сообщение об ошибке.
Определение запросов для ArcGIS Server MapServer
ArcGIS Server MapServer позволяет использовать определяющие запросы, для фильтрации атрибутов или значений атрибутов для конкретных слоев Эффект состоит в том, что MapServer предоставляет только пространственные объекты в соответствии с выражением фильтра. Такие фильтры можно создать с помощью Конструктора запросов ArcMap.
securityManager позволяет добавлять такие определяющие запросы как обязательство для policy, чтобы ограничить доступ только к определённым пространственным объектам. Для создания таких запросов предлагается использовать Конструктор запросов и копировать&вставить их в определение обязательства.
Создание прав для ArcIMS
Чтобы создать права для ArcIMS, выберите узел ArcIMS на закладке Policies.
Щёлкните на символе '+' и либо выберите сервис, который уже был сконфигурирован на закладке Защищённые сервисы (Protected Services), либо выберите опцию закладки 'Другой' и введите ArcIMS URL в соответствующем поле.
Теперь щёлкните на 'Запросить возможности'.
Теперь можно запрашивать и отображать все сервисы ArcIMS. Щёлкните на соответствующей кнопке множественного выбора, чтобы выбрать сервисы, для которых вы хотите создать наборы политик. Если вы щёлкнете на кнопке 'Create policy sets', наборы политик будут созданы и будут доступны в дереве навигации в узле ARcIMS.
Политики создаются так же, как для WMS.
Создание прав для URLs
Для других сервисов или он-лайн ресурсов можно выпустить политики, используя универсальную защиту URL. Чтобы сделать это, выберите URL в дереве.
Универсальная защита URL позволяет пользователю установить как базовый URL, так и дополнительный суб-URL. Если установить только базовый URL, определение политики будет относиться исключительно к этому URL, и в политике не будут содержаться суб-URL.
- Пример базового URL: https://myservice.de
Если не установлены суб-URL, политика не будет применяться к полученным для них URL.
o https://myservice.de/index.html
o https://myservice.de/de/suburl/document.pdf
o https://myservice.de/services/myservice?parameter1=1¶meter2=2
Принимаются во внимание параметры, которые присоединяются к базовому URL с символом '?', что означает, что следующий пример является неотъемлемой частью policy:
o https://myservice.de?Parameter1=1&Parameter2=2
Если используются суб-URLS, только они будут приниматься во внимание, что означает, что базовый URL в одиночку больше не является автоматически неотъемлемой частью policy. Могут использоваться символы одной '*' и двух '**' звёздочек ('*' означает любой элемент в пути URL, а '**' означает конец URL).
- Пример суб-URL: de**
Во внимание принимается любой суб-URLS, начинающийся с https://myservice.de/de, например:
o https://myservice.de/de/index.html
o https://myservice.de/de/suburl/document.pdf
o https://myservice.de/de?Parameter1=1&Parameter2=2
o https://myservice.de/de/service?Parameter1=1&Parameter2=2
Однако следующий URL больше не включается:
o https://myservice.de?Parameter1=1&Parameter2=2
- Пример суб -URL: */index.html
В этом примере любой элемент может использоваться после базового URL, но на следующем уровне есть ограничение на добавление окончания index.html. Это означает, что следующие URL являются неотъемлемой частью лицензии:
o https://myservice.de/de/index.html
o https://myservice.de/en/index.html
o https://myservice.de/fr/index.html
С другой стороны, следующий URL не принимается во внимание:
o https://myservice.de/de/document.pdf
- Пример суб -URL: */suburl/**
В этом примере показано, что возможно также использовать to use сцеплённые символы звёздочки. Следующие URL удовлетворяют этому определению:
o https://myservice.de/de/suburl/index.html
o https://myservice.de/en/suburl/index.html
o https://myservice.de/de/suburl/dokument.pdf
o https://myservice.de/fr/suburl/suburl2/index.html
o https://myservice.de/sonst/suburl/suburl2?Parameter1=1&Parameter2=2
Однако следующие URL не принимается во внимание:
o https://myservice.de/suburl/index.html
o https://myservice.de/index.html
o https://myservice.de?Parameter1=1&Parameter2=2
Введённые URLS перечислены как ресурсы, каждому из них может быть дана либо полная авторизация, либо авторизация только для определённых действий. Доступные действия:e HTTP GET, HTTP POST, HTTP PUT и HTTP DELETE. Обратите внимание, что последние два действия не поддерживаются WSS. securityManager поддерживает дальнейшие механизмы защиты доступа для всех веб-приложений на основе Java, помимо WSS. Политики, содержащие HTTP PUT или HTTP DELETE, будут отклонены WSS, если будет сделан подобный запрос.
Обратите внимание, что в ответном документе для защищённого сервиса ссылки автоматически удаляются, чтобы скрыть их из внешнего представления. Вместо этого используется URL веб-клиента безопасности или enforcement, в зависимости от метода выбранного доступа. Удаляются все абсолютные URL, начинающиеся с URL защищённого сервиса, как и все относящиеся к ним URL, начинающиеся с символа '/'. Ссылки на другой веб-контекст или внешний ресурс игнорируются и переносятся без изменений.
URL удаляется, только если ответный документ защищённого сервиса поддерживает один из следующих типов MIME: text/html, text/xml, text/plain, application/xml,
application/xhtml+xml, application/x-httpd-php, text/javascript, text/vnd.wap.wml или application/x-www-form-urlencoded.
Управление шлюзами
На закладке Gates можно создать постоянные шлюзы для защищённых сервисов. Это означает, что для защищённых сервисов устанавливается особый URL, который связан с определённой учётной записью. Все запросы к этому URL неявно зарегистрированы с этой учётной записью и используются соответствующие права.
Предупреждение: шлюзы, подобные данным, могут использоваться кем угодно! Это можно предотвратить, только держа URL шлюза в секрете, при необходимости, применяя IP фильтры.