Сервисы, которые будут защищёны securityManager, создаются и управляются на закладке Администратора Защищённые сервисы (Protected Services).
Столбцы таблицы содержат следующую информацию:
- Имя: имя сервиса, данное Администратором для этого сервиса. Имя включено в URL, созданный securityManager для сервиса.
- Активный: устанавливает, является ли сервис активным, т.е. готовым к использованию, или неактивным, т.е. недоступным.
- Тип: тип сервиса (WMS, WFS, WFS-T, WCS, ARCGIS-SERVER, ARCIMS, URL)
- URL защищённого сервиса: URL сервиса, который будет защищён.
Внимание! securityManager не может предотвратить прямой доступ к этому URL. Администратор решает, нужно ли обеспечивать безопасность. Более подробно см. Раздел под заголовком 'Защита от прямого доступа' в приложениях к этому документу.
- Методы аутентификации: методы аутентификации, сконфигурированные для данного шлюза(WSS, httpauth, guest, saml).
- Группа: имя группы, которой принадлежит данному шлюзу. Все sM_Administrators sM_Group Administrators группы могут редактировать этот шлюз.
- Changed by: имя пользователя, внесшего последние изменения в данном шлюзе.
- Changed at: отметка времени последнего изменения
Редактирование защищённых сервисов
Щёлкните на имени сервиса в виде Protected Services, чтобы открыть диалоговое окно Change.
В этом диалоговом окне вам доступны следующие параметры:
- Активный: если вы поставите или уберёте отметку в этом окошке, будет активирован или дезактивирован сервис. Если отметка не стоит, конфигурация сервиса и связанные права всё ещё существуют, но доступ невозможен.
- Описание: здесь можно добавить описание сервиса.
- Тип: здесь можно выбрать тип сервиса. Доступны: WMS, WFS, WFS-T, WCS, ARCGIS-SERVER, ARC-IMS и URL.
- URL защищённого сервиса: это URL, где можно получить доступ к защищённым сервисам. Внимание! Изменения, внесённые в этот URL, будут отражать любые policy models, созданные для этого неэффективного сервиса, поскольку они также содержат (неизменённый) URL сервиса.
- Методы аутентификации: securityManager поддерживает различные типы аутентификации. Можно активировать и дезактивировать отдельные методы, используя соответствующие флаговые кнопки. Поддерживаются следующие методы аутентификации:
o WSS: аутентификация с помощью протокола Web Security Service. Она, прежде всего, предназначена для использования со шлюзом или sdi.suite mapClient.
o httpauth: аутентификация с помощью HTTP Basic Authentication: Этот протокол поддерживается многими стандартными клиентскими приложениями (включая системы веб-браузера и desktop GIS). Внимание! При использовании HTTP Basic Authentication настоятельно рекомендуется использовать только HTTPS, поскольку в противном случае логин пользователя будет передан открытым текстом.
o saml: аутентификация с помощью SAML tickets (SAML Assertion Consumer Service). Этот интерфейс позволяет использовать расширенную интеграцию в случае single sign-on scenarios.
o guest: используется для установки гостевого шлюза. Данный шлюз может быть вызван полностью без аутентификации. Логин автоматически сопровождается ролью 'guest'.
Впоследствии, необходимо указать группу, которой присвоен данный шлюз, кто и когда её создал, а также кто и когда вносил изменения. Соединение делается в целях присвоения набора политик.
Кнопки в конце диалогового окна используются для сохранения изменений, удаления сервиса (обратите внимание, что сохраняются соответствующие наборы политик), создания шлюза для этого сервиса (см. раздел 'Управление') и возвращения в предыдущее диалоговое окно.
Создание нового защищённого сервиса
Можно добавить другую запись, используя кнопку «Создать» (Create) на закладке «Защищённые сервисы» (Protected Services). Записи, которые должны быть сделаны здесь, описаны в предыдущем разделе.
Доступ для администраторов группы
Администраторы группы также могут получить доступ к закладке «Защищённые сервисы» (Protected Services) в Администраторе securityManager. Однако отображаются только те сервисы, которые принадлежат группе администратора группы.
Управление правами
Администратор securityManager учитывает обслуживание политики, используемой WSS при тестировании авторизации для защищённых сервисов.
Администратор поддерживает политику доступа в качестве так называемых наборов политик. Эти наборы политик формируют политику для конкретного защищённого сервиса, они имеют определённую форму. Установленная версия securityManager содержит следующие типы: WMS, WFS, WFS-T, ArcIMS, ArcGIS Server, INSPIRE View Service, INSPIRE Feature Download Service и URL. Также возможно установить дополнительные типы с соответствующими плагинами.
Набор политик устанавливается для каждого сервиса в области управления «Политики» Администратора. В этом наборе содержаться все политики, имеющие отношение к сервису и его присвоению ролям (и тем самым владельцам). Содержание, атрибуты и опции настройки, доступные для набора, зависят от типа сервиса. Политика, используемая securityManager, всегда является комбинацией следующих пунктов:
- Ресурсы: объекты, которые будут защищены от несанкционированного доступа; зависящие от типа, например, URL защищённого сервиса, слоя, типа пространственных объектов)
- Действия: операции, которые могут быть выполнены на ресурсах; зависят от типа, например, GetMap, GetCapabilities, GET_IMAGE
- Объекты: Объекты, которые получают доступ к ресурсу с помощью определенных действий; в securityManager на объекты ссылаются роли.
Менеджер политик (The policy manager of the securityManager) – это так называемая 'закрытая, положительная система'. Это означает, что все разрешения должны быть сформулированы как политики (положительные). Если WSS не в состоянии разместить политики для сервиса, доступ полностью блокируется. Любые запросы, на которые невозможно ответить однозначно на основе сформированных политик, считаются запрещенными (отклоняются).
Следующий раздел представляет пример создания набора политик с несколькими политиками для безопасного WMS.