ArcGIS Online 实施指南

应用程序安全性设置

ArcGIS Online 可使客户通过适当应用安全性设置来改善其所在组织的安全状态。 如果可能，建议客户遵循以下最佳做法。

• 仅允许标准 SQL 查询。
  • 强制使用默认的参数化查询以减少 SQL 注入漏洞的可能性。
  • 有助于与 OWASP 安全行业最佳做法保持一致。
• 除非需要，否则禁止匿名访问您的组织。
• 除非需要，否则禁止成员在组织外共享内容。
• 有关详细信息，请参阅 ArcGIS Online 帮助中的配置安全性设置。

身份验证

身份验证涉及在确认客户端身份的连接尝试中验证凭据。

• 使用安全声明标记语言 (SAML) 2.0 设置企业登录帐户，该登录帐户能为您的组织提供联合身份管理。 这允许用户使用用于访问企业信息系统的同一凭据登录到 ArcGIS Online，同时提供单点登录 (SSO) 的用户体验。 这需要 SAML 兼容身份提供者。 以下列表提供了已使用企业登录帐户进行集成的一些身份提供者和指向设置说明的关联链接，此外，还可以使用其他与 SAML 2.0 兼容的身份提供者：
  • Active Directory 联合身份验证服务 (AD FS)
  • Azure Active Directory
  • NetIQ Access Manager
  • OpenAM
  • Shibboleth
  • SimpleSAMLphp
  • CA SiteMinder
  • Google Workspace
• 如果企业中没有可用的身份提供者，则强烈建议组织启用以下内容：
  • ArcGIS Online 的多因子身份验证
  • 符合组织要求的强密码策略
• 有关详细信息，请参阅组织特定登录帐户常见问题解答文档。

授权

授权即在访问资源前验证客户端权限的过程。 此过程发生在身份验证成功后。

借助 ArcGIS Online，组织能够使用自定义角色为成员指定更细粒度的安全权限。 自定义角色为向组织成员分配权限增加了更大的控制力和灵活性。

• 在 ArcGIS Online 中，可以使用最小权限模型来分配用户类型和管理角色。
  • 现有四种默认角色 - 管理员、发布者、用户和数据编辑者。
  • 现有五种用户类型 - GIS Professional、Creator、Field Worker、Editor 和 Viewer。
  • ArcGIS Online 也允许管理员配置自定义角色，以根据组织中的特定工作流进一步细化权限。
• 有关详细信息，请参阅 ArcGIS Online 帮助中的配置角色。

加密

加密是一种转换数据的过程，没有解密密钥的用户无法读取这些数据。 借助 ArcGIS Online，客户可以通过要求 HTTPS 访问其 ArcGIS Online 组织并强制连接使用 TLS 1.2 来保护传输中的数据。

日志记录与审核

日志记录涉及记录系统中的关注事件。 审核是指为确保系统正常运行或解答有关发生的特定事务的问题检查上述日志的行为。

• 可以在 ArcGIS Online 组织中使用查看状态来查看配额的使用情况、内容信息及所有成员和群组的详细信息。
• 可以使用下载活动日志以查询 ArcGIS Online 组织中发生的历史事件。
• 使用 ArcGIS Dashboards 执行以下操作：
  • 监控活动和事件。
  • 追踪外业工作人员。
  • 评估日常操作的状态和性能。
• ArcGIS Online 将在系统级别执行日志记录与审核以符合 FedRAMP Tailored 低级要求。

相关内容

对于了解有关 ArcGIS 的安全性、隐私性和合规性信息所需的常用文档和演示文稿，请参阅文档。