2019 ArcGIS Güvenlik Standartları ve Protokolleri  İyileştirmeleri Nelerdir?

2019 ArcGIS Güvenlik Standartları ve Protokolleri İyileştirmeleri Nelerdir?

 

Esri hizmet ve yazılım ürünlerini mümkün olduğunca güvenli kalmasını sağlamak için, kullanılan güvenlik standartlarını ve protokolleri sürekli olarak takip etmekte ve güncellemektedir.Kullanıcılar, SaaS kullanan sistemlerini ve yapılandırmalarını (ArcGIS Online gibi) güncel tutmuyorlarsa, bu durum müşteriler için önemli kesintilere neden olabilir.

2019 boyunca, Esri yazılımlarını etkinleştirilmeden önce farkında olmanız ve hazırlamanız gereken birçok önemli değişiklik planmıştır.

Şubat 2019 – ArcGIS Online TLS 1.0 ve 1.1’in kaldırılması

ArcGIS Online şu anda 1.0, 1.1 ve 1.2 TLS’yi desteklemektedir. Ancak Şubat 2019’da kullanıcıların bağlanması için yalnızca 1.2 TLS protokü kullanılabilecektir. Daha eski protokol sürümleri on yıl önce yayınlandı ve piyasaya sürülmesinden bu yana birçok iyileştirme yapılmasına rağmen TLS 1.2, artık Internet üzerinden şifreli içerik sunmanın en güvenli ve en güvenilir yöntemi olarak kabul edilmektedir.

Ayrıca, PCI Veri Güvenliği Standardı (PCI DSS) ve FedRAMP yetkilendirme programı, SSL / TLS 1.0 uygulamalarının devre dışı bırakılmasını gerektirmektedir. TLS 1.2’yi şiddetle tavsiye etmelerine rağmen, PCI ve FedRAMP tarafından yine de TLS 1.1,  kabul edilecektir. Hem TLS 1.0 hem de 1.1 ile ilgili güvenlik kaygıları ve birden fazla standart kuruluşu tarafından verilen öneriler dikkate alınarak,ileriye yönelik hareket edilerek her iki sürümün de desteği kaldırılacaktır.

ArcGIS Online’a bir tarayıcı üzerinden erişen  kullanıcıların, TLS 1.2’nin en yeni tarayıcı sürümleriyle uyumlu olması nedeniyle herhangi bir ayarlama yapması gerekmemektedir . ArcGIS Pro gibi bazı ArcGIS Online istemcileri zaten TLS 1.2 etkindir.

Aksiyon gerektiren Esri yazılımı,

  • ArcGIS Desktop,
  • ArcGIS Desktop veya ArcGIS Enterprise üzerine geliştirilen uygulamalar,
  • ArcGIS Engine (ArcObjects) ile geliştirilen uygulamalar,
  • ArcGIS Online servilerine erişen eklentiler,

Bu güncellemeden önce gerçekleştirmeniz gerekebilecek daha fazla bilgi ve belirli eylemlere Esri TLS Destek sayfasından  ulaşabilirsiniz.

ArcGIS Enterprise 10.7 versiyonu – Varsayılan ayar olarak TLS 1.0, 1.1 ve HTTP devre dışı

Varsayılan olarak güvenli kurulumların yapılandırılmasına yardımcı olmak için, ArcGIS Enterprise 10.7 sürümü yalnızca TLS 1.2 ile HTTPS etkinleştirilebilecektir.(ArcGIS Enterprise 10.6.1 varsayılan ayar olarak, TLS 1.0’ı devre dışı bırakmaktadır ve ArcGIS Enterprise 10.6.1 önceki sürümlerinde TLS 1.0, 1.1, 1.2, HTTP ve HTTPS’yi kullanımı devam edecektir.)

Müşteri işlemlerinin aksamasını en aza indirmek için, ArcGIS Enterprise versiyon yükseltme yapıldığında HTTP, TLS 1.0 veya 1.1’i devre dışı bırakmayacağını unutmayın.(Önceden var olan yapılandırmada etkinleştirilmişlerse).Güncelleme yapan müşteriler ArcGIS Enterprise kurulumlarını kurulum ayarları dokümanında belirtildiği şekilde yalnızca HTTPS ve TLS 1.2 kullanacak şekilde yapılandırabilir.

Varsayılan olarak güvenli kurulumların geliştirilmesine yardımcı olmak için, yalnızca ArcGIS Enterprise 10.7 sürümünün serbest bırakılması için TLS 1.2 olan HTTPS etkinleştirilir (ArcGIS Enterprise 10.6.1, TLS 1.0’ı devre dışı bırakma varsayılanları ve önceki sürümleri varsayılan olarak TLS 1.0, 1.1, 1.2, HTTP ve HTTPS). Önceki bir ArcGIS Enterprise sürümünden yükseltme yapmanın, müşteri işlemlerinin aksamasını en aza indirmek için HTTP, TLS 1.0 veya 1.1’i (önceden mevcut dağıtımda etkinleştirildiyse) devre dışı bırakmayacağını unutmayın. Güncelleme yapan müşteriler ArcGIS Enterprise dağıtımını yapılandırabilir çevrimiçi yardımda belgelendiği gibi yalnızca HTTPS ve TLS 1.2’yi kullanmak.

Haziran 2019 – ArcGIS Online HTTP kullanımdan kaldırma, yerine HSTS güvenliği getirilmesi

ArcGIS Online kuruluş oluşturma ayarlarında opsiyonel olarak iletişim ayarlarının yapılmasına arayüz üzerinden imkan sağlamıştır.Ancak, ArcGIS Online tüm iletişimleri ve hizmetleri güvenlik protokolleri gereği HTTPS üzerinden olması gerekmektedir. (Eylül 2018 sürümünden sonra ArcGIS Online hesabı üzerinden oluşturulan kuruluşların HTTP ile etkinleştirme yapmalarına izin verilmemektedir).Ek olarak, ArcGIS Online coğrafi kodlama, yönlendirme ve altlık harita gibi tüm paylaşılan servislerle HTTPS tabanlı iletişimi desteklemektedir.

HTTP Strict Transport Security (HSTS) bir güvenlik geliştirmesidir. Bu, web uygulamaları tarafından belirlenen özel bir yanıt başlığı kullanmaktadır. Destekleyen bir internet tarayıcı bu özel yanıt başlığını aldığında, HTTP üzerinden domain alanına herhangi bir iletişim gönderilmesini engellemektedir. Tüm düz metin bağlantılarını otomatik olarak güvenli bağlantılara dönüştürerek bunu sağlamaktadır. Bunun dışında sertifikası uyarılarını devre dışı bırakır.

2017’de ArcGIS Online hesaplarında şeffaf bir şekilde HSTS etkinleştirildi  ve varsayılan ayar olarak tüm iletişim için HTTPS seçimini kullandırılmıştır.Bu, tüm müşteri verilerinin HSTS’nin varsayılan olarak sağladığı ek korumaya sahip olduğu anlamına gelir.

Kuruluş URL’lerine karşı güvenlik testleri (SSLLab’lar gibi) uygulayan müşteriler HSTS’nin etkin olmadığını belirten sonuçları görmeye devam edecektir.Bunun nedeni, tüm ArcGIS Online organizasyonlarının ortak bir statik dosya setine erişmesidir (bazıları HTTP üzerinden erişim ve diğerleri HTTPS üzerinden erişim) ve HSTS için başarısız testlerle sonuçlanan statik dosyalara (müşteri verisine değil) erişilmesidir.

Müşteri verilerinizin güvende olduğu ve bunun, müşteri veri erişim talepleriyle ilgili HSTS başlığını gösterecek olan Fiddler gibi araçlarla  doğrulanabilir ve raprolanabilir.Bu sorun, tüm müşterilerin HTTPS kullanımana geçtiğinde ortadan kalkacaktır.

TLS 1.0 ve 1.1’in kullanımdan kaldırılması, zorlu bir görev olması beklenmektedir.Bu nedenle, tüm ArcGIS Online hesaplarında HTTPS ve HSTS’nin nihai olarak zorunlu etkinleştirilmesi Haziran 2019 ArcGIS Online sürümümüz için planlanmıştır.Bu değişikliğin uygulanması ile , tüm ArcGIS Online kullanıcılarımızın HSTS testlerinden başarılı sonuçlar alacaktır.

Yakın zamanda – Güncellenmesi planlanan güvenlik protokolleri

TLS 1.3 – Bu yeni protokol standardı Ağustos 2018’de tamamlanmıştır. Bu nedenle bulut altyapısı sağlayıcıları tarafından henüz internet tarayıcılar arasında yaygın olarak kullanılmamaktadır.

Gelecekte ArcGIS Online’a dahil edilmesi için TLS 1.3 kullanımı  izlenmeye devam edilecek ve TLS 1.3 uyumlu şifreleme modüllerini bazı ürünlere dahil edilmeye  başlanmıştır. Bu ve benzeri değişiklikleri, ArcGIS Trust Center belgelerinde bulunan ArcGIS SSL / TLS brifingi üzerinden takip edebilirsiniz.

ArcGIS Pro’da Suç Analizi Çözümleri Bölüm 2

ArcGIS Pro’da Suç Analizi Çözümleri Bölüm 2

Suç analizi, elimizdeki veriler sayesinde mekân, zaman, suçun işleniş karakteristikleri, önceki olaylara benzerlikleri gibi konuların tespit edilmesi, aynı zamanda suç trendleri, suçlar ve diğer değişkenler arasındaki korelasyon ve nedensellik ilişkilerini ortaya çıkarmakta kullanılır.

Suç ve şüphelinin belirlenmesi, haritalanması, zaman çizelgelerinin çıkarılması, grafikler, tablolar ve şemalar oluşturulması işlemlerini de içerir. Bu sayede mahkeme sürecine katkı sağlayabilir.

Suç analizi, devriye, suçun önlenmesi, soruşturma, planlama, araştırma, personel, operasyon, bütçe vb. birçok birimin faaliyetlerini desteklemede kullanılabilir.

Suç analizlerinin en önemli kısımlarından olan veri toplama, veriyi standart hale getirme, suçların benzerliklerini kategorize etme ve soruşturmaya katkı sağlayacak bütün verilerin hazırlanması gibi işleri Esri’nin suç analizi çözümleri sayesinde hızlı ve etkin bir şekilde gerçekleştirilebiliriz, bu sayede de zaman ve kaynak tasarrufu sağlayabilirsiniz.

Esri’nin Suç analizi çözümleriyle;

  • Meydana gelen veya gelişmekte olan suç serilerini ve suç kalıplarını ortaya çıkarabilir, harita üzerinde görüntüleyebilir,
  • Olması muhtemel suçlar için yakın bir tahminde bulunabilir,
  • Coğrafi profilleme yapabilir, suçların mekânsal ilişkilerini çıkarabilir,
  • Personel, kaynak ve bütçe planlamalarında veri desteği sağlayabilirsiniz.

Daha önceki ArcGIS Pro ile Suç Analizi yazımızda Esri’nin suçla mücadele çözümü olan Crime Analyst Toolbar’ın (Suç Analizi Araç Çubuğunun) barındırdığı araçlara değinmiştik.

Crime Analyst Toolbar, Crime Analysis sayfasından ücretsiz olarak indirip ArcGIS Pro’da kullanabileceğiniz bir Add-in’dir.

Bu yazımızda ise bu araçlar sayesinde yapabileceklerinize değineceğiz. Ama tüm bunlardan önce şunu belirtelim ki bu yazı boyunca kullanılan bütün veriler ve görseller bizler tarafından oluşturulmuş tamamen kurmaca verilerdir. Gerçeklerle hiçbir ilişkileri bulunmamaktadır.

Şimdi de literatürdeki suç analizlerini Esri Suç analizi çözümleri ile nasıl gerçekleştirebileceğinizden kısaca bahsedelim:

Taktik Analizlerinizi gerçekleştirmek için, Suçları istediğiniz kriterlere göre sınıflandırarak (örneğin kişilere karşı suçlar, kamu güvenine karşı suçlar veya mal varlığına karşı suçlar gibi) İstatistiksel olarak anlamlı sıcak ve soğuk noktaları çıkartabilirsiniz. Böylece mevcut veya gelişmekte olan suçların günlük olarak haritalandırabilir, analiz edebilirsiniz.

Belirlenmiş suç türüne göre oluşturulmuş bir Hot Spot analizi haritası. Bu haritaya göre ihbarın en fazla olduğu kırmızı bölgeler için kaynak aktarımı gerektiği düşünülebilir. Bu analiz bize ihbarlara cevap süremizi ve intikal süremizi düşürmek için bölgeye personel aktarımı yapmamız gerektiği bilgisini de verebilir.

Crime Analyst Toolbar ile coğrafik profilleme yapabilirsiniz, bunun için;

İhbar verilerinden ya da elinizdeki raporlanmış herhangi bir veriden (bunlar olaylar sırasında tutulmuş raporlar ya da gelen ihbarlardan tablosal olarak tutulmuş veriler de olabilir) istediğiniz alanlara göre nasıl bir dağılım izlediğini gösteren haritalar oluşturabilirsiniz.

Bu harita tutuklama sayılarına göre gerçekleştirilen mekânsal gösterimdir. Devriye bölgesinde gerçekleşen olay sayılarına baktığınızda çalışma alanımızın kuzeyine ve doğusuna güney ve batıdaki devriye bölgelerinden kaynak aktarımı yapılması gerekmektedir gibi bir kaynak akarımı yorumunda bulunabiliriz.

Bu konuda Crime Analyst Toolbar aracımızın size sağlamış olduğu kolaylık ise birkaç tık işlemi ile bu haritaları otomatik olarak renklendirilmiş ve etiketleri ile birlikte elde ediyor oluşunuzdur. Bu yöntemleri kullanarak bir il, ilçe, mahalle, devriye bölgesi ya da karakol sorumluluk bölgesi için en fazla suç hangi bölgede işleniyor ya da ihbar nerelerden geliyor bunların gösterimini sağlayabilirsiniz. Bu da kaynaklarınızı nereye yönlendirmeniz gerektiğini ortaya koyabilir. Olayların en sık yaşadığı bölgelere devriye kaynaklarınızın aktarılmasını sağlayabilirsiniz.

Taktik analizleri içerisinde gerçekleşmiş suçların ötesinde “Suçun tahminini” de bulunmaktadır peki bu konuda nelere yapabiliriz bir de bunları inceleyelim:

Gelecekteki suçları tahmin edebilir miyiz?

  • Önümüzdeki hafta kaç hırsızlık suçu işlenmesi bekleniyor? Bunu öngörebilir miyiz?
  • Haftanın belirli gününde ve saatinde nerelerde soygun veya şiddet suçu riskinin artması bekleniyor?
  • Bu doğrultuda güvenlik güçlerimizin kaynaklarını suçların engellenmesi için en etkin şekilde tahsisini nasıl sağlayabiliriz?
  • Suçlar bir doku izliyor mu? Bir mekâna doğru eğilim gösteriyor mu zamansal veya mekânsal bir kümelenme var mı?

Tüm bu gibi sorulara cevap bulabilir miyiz?

Suçları haritalamak, analizler yapmak bizlere çeşitli tahminler yapma imkânı verir. Bu bize suçların engellenmesi için kaynaklarımızı en etkin biçimde kullanmamıza yardımcı olur. Bu sayede bir suç trendi oluşuyorsa bunu engelleyebiliriz.

Kısaca Amacımız suçu engellemek ve güvenlik güçlerinin kaynaklarını en etkin bicimde kullanmak ise Esri suç analizi çözümleri bizlere bu tahminlerimizi gerçekleştirebileceğiniz analiz araçlarını sağlıyor.

Suç tahminlerinin yapılması çerçevesinde gerçekleştirilebilecek analizlere bakarsak:

Esri’nin sunduğu araçlar sayesinde elimizdeki ihbar veya suç verileri ile sıcak nokta analizi uyguladığınızda suçların bir yerde mekânsal olarak kümelendiğini gösterecek haritalar oluşturabilirsiniz.

Sıcak nokta analizlerinizden elde ettiğiniz bilgilere ek olarak Esri tarafından sizlere sunulan işsizlik verileri, nüfus verileri, hane halkı sayısı, eğitim seviyesi gibi çok çeşitli demografik, sosyoekonomik ve coğrafik suça etki eden diğer verileri de ekleyebilir ve tüm bunlara sizden gelen verileri de dahil ederek ki bunlar mobese ile kontrol edilen noktalar, kontrol edilemeyip kör nokta olarak kalan alanlar, suça eğilimi arttıran terk edilen yıkıntı alanlar, arazi kullanım desenine geceyle gündüz aktif kullanılan alanlar ve devriye araçlarının güzergahları v.b. gibi birçok veriyi de ekleyerek risk haritaları oluşturabilirsiniz. Böylece suç riskinin yüksek olduğu alanları görüntüleyebilirsiniz ve önlemler alabilirsiniz.

“Bir suç türü belirli bir mekânda zaman içinde aynı metotlar ile gerçekleşiyorsa, tekrarlanma ihtimali yükselir.” Önceki bir suç olayından sonra etrafındaki risk artacaktır. Sık tekrar eden olayların mekânsal bir ilişki içerisinde olup olmadığını gösterebilirsiniz.

Tekrarlanan suçlar yüksek risk alanı olarak tanımlanan alanlara düşüyorsa önlemlerinizi arttırabilirsiniz.

Yani bu analizlerin sonucundaki çıkarımınız ile hangi bölgelere kaynakların aktarılması gerektiğine karar verebilirsiniz.

Suçun zaman ve mekânsal ilişkisini gösteren 3 Boyutlu bir gösterimle (buradaki 3. boyut zamandır), belirli bir zaman aralığında belirli mekânda suçun dönemler halinde artış mı izlediği ya da yaptığımız bir müdahale sonucu da olabilir, azalış mı izlediğini gözlemleyebiliriz.

Problem analizi olarak da bilinen stratejik analizler, suçla mücadele bağlamında bilgiye dayalı olarak karar vermenizi sağlar. Uzun vadeli problemlerin gösteriminde kullanılan suçun artış ve azalışını gösteren analizleri bu çözümün sunduğu araçlar sayesinde gerçekleştirebilirsiniz.

Stratejik Analiz Yüzde Değişimi haritamızda emek çevresinin sorumlu olduğu devriye bölgesinde hırsızlık suçlarının ikinci altı aylık dönemde %85 oranında arttığını görebilirsiniz.

Ya da ihbarların gece ve gündüz gibi belirli zaman periyodları arasındaki dağılım yoğunluğu çıkartarak hem telefon ihbarlarına yanıt veren ofis personeli açısından hem de olay yerine intikal edecek devriye ekiplerinin yönetilmesini sağlayabilirsiniz.

Tüm bu bahsetmiş olduğumuz taktik ve stratejik analizlerinizi birkaç tık ile gerçekleştirerek, zamanınızın çoğunu alan istatistik hazırlama ve rapor yazma süreçlerinizi çok daha hızlı yürütebilirsiniz. Bu veriler grafikler oluşturabilmenizi, oluşturduğunuz web uygulamaları ve dashboard’larda sorgulamalar yapabilmenizi ve ihtiyaçlarınızı detaylı şekilde görmenizi sağlayacaktır.

Bu harita bir ihbara, ekiplerin 3 dakika içinde intikal edilebileceği alanları temsil etmektedir.

Kaynakların yönetilmesi adına, devriye bölgelerinin olaya intikal etme süresine göre belirlenmesi, hizmet verilen bölgelerin büyüklüğü, personel sayısı, görevlendirme politikaları hatta görev yoğunluğunu analizlerinize dahil ederek kaynaklarınızı en etkin şekilde yönetebilirsiniz.

Tekrar etmek gerekirse, Esri’nin Suç analizi çözümleri sayesinde;

  • Meydana gelen veya gelişmekte olan suç serilerini ve suç kalıplarını ortaya çıkarabilir, harita üzerinde görüntüleyebilir,
  • Olması muhtemel suçlar için yakın bir tahminde bulunabilir,
  • Coğrafi profilleme yapabilir, suçların mekânsal ilişkilerini çıkarabilir,
  • Personel, kaynak ve bütçe planlamalarında veri desteği sağlayabilirsiniz.

Esri Türkiye 2018

ArcGIS Platformu ve TLS Protokolü ile İlgili Önemli Bir Güncelleme

ArcGIS Platformu ve TLS Protokolü ile İlgili Önemli Bir Güncelleme

Esri, güncel endüstri standartlarını ve güvenlik protokollerini ArcGIS platformunda uygulamaya, kullanıcılarına bu platformda en güvenli deneyimi sağlamak için çalışmaya devam etmektedir. Bu doğrultuda kullanıcı ihtiyaçları ve beklentilerini karşılamak amacıyla 2019 yılının Şubat ayında ArcGIS Online’da önemli bir güncelleme gerçekleştirecektir. Bu güncellemeyle birlikte artık yalnızca TLS (Transport Layer Security) 1.2’nin kullanımını destekleyecektir.

TLS veya “Taşıma Katmanı Güvenliği”, yaygın olarak kullanılan bir ağ güvenlik protokolüdür. Bir ağ üzerinden iletişim kuran uygulamalar arasında gizlilik ve veri bütünlüğü sağlar. ArcGIS Desktop, ArcGIS Enterprise ve diğer uygulamalardan ArcGIS Online servislerine, örneğin altlık harita, coğrafi işlem servisleri ve Living Atlas’a erişirken TLS protokolünü kullanmaktayız.

ArcGIS Platformu, bu protokolü web ve servis API bağlantılarında önemli bir güvenlik bileşeni olarak kullanır. Bu bağlantılar ArcGIS Online ile ArcGIS Desktop ve ArcGIS Enterprise gibi yazılımlar arasındaki bağlantıları içerebilir. Şu an TLS 1.0 ve 1.1 sürümlerini destekleyen bu bağlantılar yukarıda da ifade ettiğimiz gibi 2019 yılı Şubat ayından itibaren yalnızca TLS 1.2 sürümünü destekleyecektir. Eğer siz de ArcGIS Platformu içerisinde ArcGIS Online servisleri, altlık haritaları veya Living Atlas öğeleri kullanmaktaysanız; iş akışınızı bu yeniliğe uygun olarak düzenlemeyi ihmal etmeyiniz.

Güncellemeyle ilgili detaylı bilgiyi Esri Teknik Destek sayfasından da inceleyebilirsiniz.

Siz değerli kullanıcılarımıza önemle duyururuz.

ArcGIS Enterprise Güvenlik Temelleri – 2.Bölüm

ArcGIS Enterprise Güvenlik Temelleri – 2.Bölüm

ArcGIS Enterprise güvenlik temelleriyle ilgili bilgileri derlemeye çalıştığımız yazı serimizde, Esri’nin kullanıcılarına tavsiye ettiği iyi uygulamaları sizlere aktarmaya devam ediyoruz. ArcGIS Server ve Portal for ArcGIS yazılımlarında gerçekleştireceğiniz  küçük ayarlamalarla verilerinizin ve servislerinizin güvenlik seviyesini arttırabilirsiniz.

ArcGIS Enterprise teknolojisinin kurumsal güvenlik kontrollerini yürütmek diğer BT çözümlerindeki güvenlik kontrollerini yürütmenin mantığıyla benzerdir. Güvenlik ilke ve kontrolleri mimarinin/sistemin her seviyesinde uygulanmalıdır. Bu süreç güvenlik politikalarınıza ve kurumunuzun gereksinimlerine göre ağınıza, işletim sistemlerinize ve VTYS’lerinize göre değişkenlik gösterebilir.

ArcGIS Server ve Portal for ArcGIS üzerinde veya bunlara ek olarak yürütebileceğiniz güvenlik ilkelerini CBS ve BT uzmanlarınızın ortak kararlarıyla iş akışınıza uygun biçimde yapılandırabilirsiniz. Güvenlik seviyenizi arttıracak bu işlem adımlarının bazılarından kısaca aşağıda bahsediyor olacağız.

ArcGIS Server Güvenlik Durumunuzu Kontrol Edin

ArcGIS Server güvenlikle ilgili sisteminizi tarayıp kontrol edebileceğiniz bir araç barındırmaktadır. “serverScan.py” Python aracı sisteminizi Esri’nin önermiş olduğu iyi uygulamalar açısından yapılandırıp yapılandırmadığınıza göre tarar ve size tespit ettiği hatalarla ilgili bir rapor oluşturur.

“serverScan.py” aracı ArcGIS Server kurulum dizininizin altında \tools\admin klasörünün altında yer alır.  Bu araca komut istemciniz üzerinden erişerek çalıştırabilirsiniz.

Örneğin oluşturacağınız komut ;

python serverScan.py -n gisserver.domain.com -u admin -p my.password -o C:\Temp

şeklinde olabilir.

Aracı çalıştırmanızın ardından aynı dizinde HTML formatında, serverScanReport_[hostname]_[date].html. adında bir rapor oluşacaktır. Aracı çalıştırmayla ilgili ve çalıştırmanızın ardından oluşacak rapordaki hata kodları ile ilgili detaylı bilgiye https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm bağlantısından ulaşabilirsiniz.

ArcGIS Server İçerisine Güvenlik Sertifikasının Tanıtılması

İstemci-sunucu arasındaki iletişimde güvenli bir yol izlenmesinin ve kurum içi/dışı bu güvenilirliğinin doğrulanmasında Certification Authority (CA) imzalı sertifikalar, HTTPS üzerinden yürütülecek iletişimde güvenilir bir ortam sağlar. ArcGIS Server Administrator Directory üzerinden kurumunuzun sahip olduğu CA imzalı sertifikayı, ArcGIS Server’ınıza tanıtabilirsiniz.

  1. ArcGIS Server Administrator Directory’e giriş yapınız. https://gisserver.domain.com:6443/arcgis/admin
  2. machines>[machine name]>sslcertificates>importRootOrIntermediate sayfasına geliniz. Root (kök) sertifikanızı bu arayüzden içeri aktarabilirsiniz.
  3. “importSignedCertificate” sertifikanıza verdiğiniz takma adı giriniz, “Root Ca Certificate” için dosya yoluna gidiniz ve son aşamada sertifikayı seçmenizin ardından “Import” butonuna tıklayınız
  4. Sertifika yüklemenizin ardından yapılandırma için machines>[machinename]>Supported Operations: edit üzerinden “Web server SSL Certificate” yüklemiş olduğunuz sertifikanın takma adını girerek “Save Edits” butonuna tıklayınız.
  5. ArcGIS Server servisinizin yenilenmesinin ardından https://gisserver.domain.com:6443/arcgis/admin adresine erişip erişemediğinizden emin olunuz. Eğer bu adres üzerinden erişim gerçekleştiremiyorsanız http://gisserver.domain.com:6080/arcgis/admin adresine giderek sertifikanızı yükleyip yüklemediğinize dair durumu kontrol ediniz.

Görsel 1: ArcGIS Server Administrator Directory SSL Sertifika Yüklenmesi

Görsel 2 : ArcGIS Server İçerisinde SSL Sertifikasının Güncellenmesi

ArcGIS Server’a Yalnızca HTTPS Üzerinden Erişim İçin Yapılandırma

Halihazırda kurumunuza ait Certificate Authority (CA) imzalı bir sertifikanız bulunuyor ise bu sertifikayı ArcGIS Server’ınıza tanıtma işleminizin ardından yalnızca HTTPS üzerinden erişim için yapılandırabilirsiniz. Çoklu makineli üzerine kurulu bir ArcGIS Enterprise mimariniz var ise her ArcGIS Server için bu işlemi gerçekleştirmeniz gerekmektedir.

  1. ArcGIS Server Directory sayfanıza giderek giriş yapın  https://gisserver.domain.com:6443/arcgis/admin
  2. Security>config>update yolunu izleyiniz
  3. Açılan sayfada “Protocol” parametresinde “HTTPS only” seçerek “Update” butonuna tıklayınız

Görsel 3 : ArcGIS Server HTTPS Erişimini Yapılandırma İşlemi

Services Directory’i Kapalı Hale Getirme

Services Directory, ArcGIS Server web servislerinizi HTML tabanlı sunan ve REST üzerinden çeşitli işlemler  gerçekleştirebileceğiniz bir arayüz sunar. Services Directory yazılım geliştirme(development) kısmı için oldukça kullanışlıdır. Eğer bu amaçla kullanmıyorsanız, Esri kullanıcılarınızın tüm servislerinizin listesini görmemesi için canlı/üretim sistemlerinde bu arayüzün erişimini kapatmanızı önerir.

Services Directory arayüzünü erişime kapatmak için ArcGIS Server Administrator Directory arayüzüne admin yetkilerine sahip bir kullanıcı ile giriş yapmanız gerekmektedir.

https//gisserver.domain.com:6443/arcgis/admin veya https://gisserver.domain.com/webadaptoradı/admin adresiyle bu arayüze erişebilirsiniz

  1. ArcGIS Server Administrator Directory içerisinde system>handlers>rest>servicesdirectory>edit yoluyla Services Directory ayarlarına erişebilirsiniz.
  2. “Services Directory Enabled” seçeneğinin işaretini kaldırarak Save (Kaydet) butonuna basınız.

Görsel 4 : ArcGIS Server Services Directory Erişiminin Kapatılması

Yukarıda bahsettiğimiz işlem adımları daha önce de değindiğimiz gibi sizin iş akış sürecinize ve yürüttüğünüz CBS operasyonlarınıza, kurumunuzun IT politikalarına göre değişiklik gösterecektir. Yazımıza Portal for ArcGIS güvenliği ile ilgili yapabileceğiniz değişikliklerden de bahsedeceğiz.

ArcGIS Server için gerçekleştirebildiğiniz güvenlik kontrolü taramasını Portal for ArcGIS için de gerçekleştirebilirsiniz. Benzer adımların yürütüldüğü bu işlem için http://enterprise.arcgis.com/en/portal/latest/administer/windows/scan-your-portal-for-security-best-practices.htm bağlantısındaki dokümanı takip edebilirsiniz.

Portal for ArcGIS İçerisine Güvenlik Sertifikasının Tanıtılması

Portal for ArcGIS, ArcGIS Server’a HTTPS üzerinden istek gönderdiğinde, sunucu tarafından döndürülen sertifikanın güvenilir olup olmadığını kontrol eder. Eğer güvenilir bir sertifika kullanmıyor iseniz bu iki yazılım arasında iletişim başarısız olacaktır.

Portal for ArcGIS kurulum sırasında varsayılan olarak self-signed bir sunucu sertifikası oluşturmaktadır. Bu sertifika yalnızca kurulum sonrası ilk testleri gerçekleştirebilmeniz ve kurulumun başarı ile tamamlanıp tamamlanmadığını kontrol etmenize yardımcı olmaktadır. Eğer güvenli bir ArcGIS Enterprise mimarisine ihtiyacınız varsa, çalıştığınız ortam test değil üretim ortamı ise CA (Certificate Authority) tarafından onaylanmış bir güvenlik sertifikasını yüklemeniz gerekmektedir. Bu işlemi hem ArcGIS Server hem de Portal for ArcGIS içerisinde yürütmelisiniz.

Güvenilir bir sertifikayı ArcGIS Enterprise sisteminiz için kullanmanız güvenliğinizi sağlamanızın yanı sıra tarayıcı uyarıları almanızı veya diğer beklenmedik davranışlarla karşılaşmanızı engeller. Eğer güvenilir bir sertifika değil self-signed imzalı bir sertifika kullanmaya devam ederseniz aşağıda örnek olarak verilen durumlarla karşılaşabilirsiniz :

  • Web tarayıcınız ve ArcGIS Desktop uygulamanız tarafından sahip olduğunuz site’ın güvenilir olmadığına dair uyarılırsınız.
  • Federe bir ortamda Portal for ArcGIS Harita Görüntüleyici üzerinde bir servis görüntülemeye çalıştığınızda, güvenilir bir servis öğesini portalınız içerisine eklemeye çalıştığınızda veya ArcGIS Maps for Office üzerinden portalınıza bağlanmaya çalıştığınızda hatalarla karşılaşabilirsiniz.
  • Utility servislerinizin yapılandırılmasında, barındırılan servislerinizin yazdırılmasında ve portala istemci uygulamalar üzerinden erişim esnasında beklemediğiniz hatalar alabilirsiniz.

Kurumunuzun sahip olduğu CA imzalı sertifikanızı Portal for ArcGIS içerisine tanıtmak ve HTTPS üzerinden gerçekleştirilen iletişimlerde bu sertifikayı kullanmak için aşağıdaki işlem adımlarını yürütmelisiniz.

  1. ArcGIS Portal Directory içerisine Admin (Yönetici) hesabınız ile giriş yapınız. Gitmeniz gereken adresin URL formatı https://webadaptorhost.domain.com/webadaptoradı/portaladmin şeklinde olacaktır.
  2. Security>SSLCertificates>Import Root or Intermediate Certificate yolunu izleyerek sertifikanızı yükleyeceğiniz panele gidiniz.
  3. “Gözat” diyerek root (kök) sertifikanızın konumuna giderek “Import” butonuna tıklayınız. Eğer Intermediate seviyede bir sertifikanız var ise benzer adımlarla onu da yükleyiniz
  4. Portal for ArcGIS servisinizi işletim sisteminizin servisler penceresi üzerinden yenileyiniz.
  5. Var olan CA imzalı sertifikanızı da “Import Existing Server Certificate” paneli üzerinden yüklemeniz gerekmektedir. Sertifikanızın uzantısı “.p12” veya “.pfx” olmalıdır. Security>SSLCertificates>Import Existing Server Certificate yolunu izleyerek gideceğiniz panelden sertifikanızın parolası ve takma adını girerek Portal for ArcGIS içerisine yükleyebilirsiniz.

Portal for ArcGIS yazılımının yüklediğiniz bu sertifikaları kullanabilmesi için Security>SSLCertificates>Update arayüzünden yapılandırılması gerekmektedir. Bu arayüzde Web server SSL Certificate alanına varolan CA imzalı sertifikanızın takma adını girmelisiniz. “Update” butonuna bastığınızda Portal for ArcGIS yazılımınız HTTPS iletişimi için yüklemiş olduğunuz sertifikaları kullanıyor olacaktır.

ArcGIS Enterprise Portalınıza Güvenilir Domain Adları Ekleyin

Varsayılan ayarlarda, ArcGIS Enterprise portalınız cross-domain üzerinden Cross-Origin Resource Sharing (CORS) ile gelen isteklere izin vermektedir. Bu herhangi bir domainde yer alan Javascript istemcilerinin, örneğin bir web uygulaması, portal kaynaklarınızla iletişim kurabileceği anlamına gelmektedir.

ArcGIS Enterprise 10.6 ile gelen cross-domain isteklerinin engellenmesi özelliğiyle, belirli domain adreslerinden gelen isteklerin portalınıza erişmesini istiyorsanız, portalınıza bu domainleri güvenilir olarak tanıtabilirsiniz. Bu işlemi ArcGIS Enterprise portalınızın güvenlik ayarlarında izin verilen kaynak listesine domain adlarını ekleyerek gerçekleştirmeniz gerekmektedir. Bu ayarlama bilinmeyen bir uygulamanın web hizmetlerinize kötü amaçlı komutlar gönderebilme olasılığını azaltacaktır.

  1. Portalınıza yönetici olarak giriş yapınız.
  2. Organization>Edit Settings>Security sekmesine geliniz.
  3. Allow Origins kısmında portalınızdaki öğelere erişmesi gereken web uygulamalarının bulunduğu domain adlarını ekleyebilirsiniz. Bu domain adlarını tanıtırken mutlaka http veya https protokollerini de girmiş olmanız gerekmektedir. Örneğin domain adı formatınız https://webapp.domain.com şeklinde olabilir. Makine adını girerken fully qualified domain name olarak girmelisiniz.
  4. Add Domain butonuna basarak bu adresleri listeye ekleyebilirsiniz. Bir veya birden fazla domain eklemenizle beraber portalınız artık yalnızca bu adreslerden istek kabul edecektir.
  5. Tüm domainleri eklediğinizde “Save” diyerek işleminizi tamamlayabilirsiniz.

Yararlanılan Kaynaklar : 

  • https://trust.arcgis.com
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/configuring-https-using-a-new-ca-signed-certificate.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/disabling-the-services-directory.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/security-best-practices.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/import-a-certificate-into-the-portal.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/restrict-cross-domain-requests-to-your-portal.htm

Bu yazının hazırlanmasında destek olan ekip arkadaşım Belkiya Ercan’a teşekkür ederim..

Esri Türkiye, 2018

 

 

ArcGIS Enterprise Güvenlik Temelleri – 1.Bölüm

ArcGIS Enterprise Güvenlik Temelleri – 1.Bölüm

Etkili bir kurumsal güvenlik; kurumsal iş akışlarını veya kritik görev çözümlerini tasarlayan, kullanan ve bu sistemlere gerek donanımsal gerekse yazılımsal olarak destek veren BT ve güvenlik uzmanları için bir zorluk olabilir. Son dönemdeki teknolojik gelişmeler ve yenilikler, özellikle de web hizmet standartları ve servis odaklı mimariler, güvenlik hedeflerinizin daha etkili bir şekilde karşılanmasına yardımcı olurken; hali hazırda var olan sistem mimarinize ve güvenlik protokollerinize de entegre edilmesi konusunda bazı zorluklar yaşanmasına neden olabilmektedir.

Kurumsal coğrafi bilgi sistemi teknolojisinde dünya lideri olan Esri; bu teknolojik gelişmeleri destekleyen yazılım ve çözümleriyle, BT ve güvenlik uzmanlarının karşılaştığı çeşitli zorlukların üstesinden kolaylıkla gelebilmeleri için çalışmalarını hız kesmeden sürdürmektedir.

ArcGIS Enterprise, kuruluşunuzun güvenlik gereksinimlerini karşılamak için birçok seçeneğe ve kapasiteye sahiptir. Bu yazımızda, ArcGIS Enterprise için güvenlik seçeneklerinden bazıları açıklanacaktır. Ayrıca, ArcGIS Enterprise dağıtımı ve yapılandırması esnasında göz önünde bulundurmanız gereken öneriler için En İyi Uygulamalar bölümüne bakabilirsiniz. ArcGIS Enterprise güvenliğini çeşitli başlıklar altında inceleyebiliriz.

Yapılandırılabilir Güvenlik

ArcGIS Enterprise kuruluşunuz içerisindeki kullanıcılarınıza, kuruluşunuzun güvenlik politikaları ile uyumlu olacak şekilde ister hazır gelen roller ile isterseniz de kendi tanımlayacağınız roller vasıtasıyla farklı seviyelerde izinler tanımlayabilirsiniz. ArcGIS Enterprise bünyesindeki rol tabanlı kullanıcı yönetimi sayesinde, yönetim yükünü en aza indirerek, çok sayıda kullanıcı hesabını kolaylıkla yönetebilirsiniz.

Düzeyler

Kuruluşlar, kullanıcıların ihtiyaç duyduğu ayrıcalıklara dayanarak kullanıcı hesaplarını ayırmak için farklı ayrıcalıklara sahip düzeyleri (level) kullanabilirler. Kullanıcılarınızı kuruluşunuza eklediğiniz esnada bir kullanıcı düzeyi tanımlanır. Düzeyler, kullanıcınız için hangi ayrıcalıkların kullanılabileceğini belirler. ArcGIS Enterprise bünyesinde iki üyelik düzeyi bulunmaktadır.

DÜZEY 1: Üyeler kendileriyle paylaşılan içeriği görüntüleyebilir, ancak içerik oluşturamaz, sahiplenemez ve paylaşamaz. 1. Düzey üyelik yalnızca kuruluşunuzla paylaşılmış olan harita ve web uygulamaları gibi içerikleri görüntülemek veya kuruluş içerisindeki gruplara katılma ayrıcalıklarına ihtiyaç duyan kullanıcılarınız için uygun bir seçenektir.

DÜZEY 2: Üyeler içerik görüntüleyebilir, oluşturabilir ve paylaşabilir. 2. Düzey üyeliğe sahip bir kullanıcı, kendisine tanımlanmış ayrıcalıkların izin verdiği ölçüde, içerik oluşturabilir, grup kurabilir, kuruluş ayarlarına bağlı olarak bu içerikleri paylaşabilir. Eğer yönetici rolünde bir kullanıcı ise, ArcGIS Enterprise ayarlarında çeşitli değişiklikler yapabilir.

Roller

Kuruluşunuz bünyesindeki kullanıcılara tanımlayacağınız farklı izin gruplarını ifade eder. Kuruluşunuza bir kullanıcı hesabı eklerken, bu kullanıcıya uygun bir rol de tanımlamanız gerekmektedir. ArcGIS Enterprise, varsayılan olarak 4 farklı rol seçeneği ile birlikte gelir.

  • Görüntüleyici (Viewer): Kuruluşa ait ortak içeriği görüntüleyebilir. Kuruluşunuz içerisindeki gruplara katılabilir. Harita Görüntüleyici üzerinden ve uygulamalardan yol tarifi alabilir.
  • Kullanıcı (User): Görüntüleyici (Viewer) rolünün ayrıcalıklarına ek olarak, kuruluşunuzun haritalarını, uygulamalarını, katmanlarını kullanabilir. Gruplara üye olabilir ve bu gruplardaki içeriği güncelleyebilir.
  • Yayıncı (Publisher): Kullanıcı (User) rolünün ayrıcalıklarına ek olarak, barındırılan web katmanları yayınlama, detay ve raster analizleri gerçekleştirme gibi ayrıcalıklara sahiptir.
  • Yönetici (Administrator): Yayıncı (Publisher) rolünün ayrıcalıklarına ilave olarak, ArcGIS Enterprise kuruluşunuzu ve bünyesindeki kullanıcıları yönetebilme ayrıcalıklarına sahiptir. Bir kuruluş hesabında en az bir adet Yönetici rolüne sahip hesap bulunmalıdır. Olası her hangi bir acil müdahale gerektiecek durumda, yönetici hesabına sahip kullanıcıya erişilememesi ihtimaline karşı, bir kuruluş bünyesinde iki adet yönetici rolüne sahip kullanıcı bulunması önerilir. Yönetici rolüne atanabilecek kullanıcı sayısının bir sınırı bulunmamaktadır. Kuruluşunuzdaki Düzey 2 seviyesindeki kullanıcılardan istediklerinizi Yönetici rolüne atayabilirsiniz.

Varsayılan olarak, Portal’ınıza eklediğiniz tüm yeni hesaplara, Kullanıcı (User) rolü atanacaktır. Dilerseniz bu ayarı Kuruluşunuzun ayarlarından değiştirebilirsiniz.

ArcGIS Enterprise ile birlikte gelen varsayılan roller, sizin için yeterli değilse veya iş ihtiyaçlarınız doğrultusunda farklı gruplara farklı ayrıcalıklar tanımlamak isterseniz, özel roller de oluşturabilirsiniz. Sadece Yönetici (Administrator) rolüne sahip olan veya yönetim ayrıcalıklarına sahip kullanıcılar özel rol oluşturabilirler.

Ayrıcalıklar

Ayrıcalıklar, kuruluşunuzun üyelerinin farklı görevler ve iş akışları gerçekleştirmesine olanak sağlamaktadır. Örneğin kullanıcılarınızdan bazılarının hem içerik oluşturma hem de yayınlama hakkı varken, diğerlerinin ise bu içeriği görüntüleme ayrıcalığı olabilir, düzenleme ayrıcalığı olmayabilir.

Kuruluşunuz bünyesindeki kullanıcı rollerine tanımlayacağınız ayrıcalıkları iki başlık altında toplayabiliriz.

  • Genel Ayrıcalıklar: Kuruluşunuzdaki, harita oluşturmak, içeriği düzenlemek, öznitelik bilgilerini değiştirmek gibi görevleri yerine getiren kullanıcılara atayabileceğiniz ayrıcalıkları ifade etmektedir.
  • Yönetici Ayrıcalıkları: Kuruluşunuza ait çeşitli ayarları değiştirebilecek, kullanıcıların, grupların ve içeriğinizin yönetilmesiyle ilgili çeşitli işlemleri yapabilecek özel ayrıcalıkları ifade etmektedir.

ArcGIS Enterprise ile ilgili Roller ve Ayrıcalıklar hakkında detaylı bilgi için Yardım Dokümanı’nı inceleyebilirsiniz.

Güvenlik Politikalarını Tanımlamak

ArcGIS Enterprise kuruluşunuzun yöneticisi olarak, kurulum işlemi sonrasında iş ihtiyaçlarınız doğrultusunda bazı ayarlamalar yapmanız gerekebilir. Bunlardan bir tanesi de kuruluşunuzun güvenlik politikalarına uygun bir şekilde ArcGIS Enterprise kuruluşunuzu yapılandırmak olacaktır. Portal for ArcGIS arayüzünden ulaşacağınız “Ayarlar” sayfasındaki “Güvenlik” sekmesinde aşağıdaki seçenekleri bulabilirsiniz.

Politikalar

  • Portala yalnızca HTTPS üzerinden erişime izin ver: Bu seçeneği aktif ederek, kuruluşunuzun verilerinin yanı sıra, portalınız üzerindeki tüm trafiğin, şifrelenmiş olarak iletilmesini sağlayabilirsiniz. HTTPS’yi aktif etmek, sitenizin performansını bir miktar etkileyecektir.
  • Portala anonim erişime izin ver: Anonim kullanıcıların da kuruluş web sayfanıza erişmesine izin vermek için bu seçeneği aktif edebilirsiniz. Bu seçenek aktif olarak işaretlendiğinde, Herkese açık olarak paylaşılan harita ve uygulamalarınız, anonim kullanıcılar tarafından da görüntülenebilir olacaktır.
  • Üyelerin biyografik bilgilerini ve profillerini kimlerin görebileceğini düzenlemesine olanak tanıyın: Kuruluşunuzdaki kullanıcıların profil bilgilerini değiştirmelerine ve profillerini kimlerin görebileceğini ayarlamalarına olanak sağlar.
  • Kullanıcıların yeni dahili hesaplar oluşturmasına izin ver: Kullanıcıların portal giriş sayfasından dahili bir portal hesabı oluşturmalarına olanak sağlar. Kurumsal hesaplar kullanıyorsanız veya tüm hesapları kendiniz oluşturmak isterseniz, bu seçeneği devre dışı bırakabilirsiniz.

Parola İlkesi

Kullanıcılarınızın şifrelerini değiştirmek istediklerinde, kuruluşunuzun güvenlik politikalarına uygun bir şifre belirlemelerini isterseniz, bu bölümdeki seçeneklerden gerekli ayarlamaları yapabilirsiniz. Burada yapacağınız ayarlamalar kurumsal oturum açma seçeneği ile oturum açan kullanıcılarda geçerli olmayacaktır.

SAML Aracılığıyla Kurumsal Oturumlar

SAML (Security Assertion Markup Language) birbirinden farklı ve bağımsız kimlik doğrulama bileşenleri arasında, bilgilerin transferini sağlamak amacıyla kullanılan bir güvenlik protokolüdür. Kuruluşunuzda kullanmakta olduğunuz SAML uyumlu bir kimlik sağlayıcısı varsa, bu kısımdan gerekli ayarlamaları yaparak, kullanıcılarınızın portalınızda oturum açmasını sağlayabilirsiniz. Detaylı bilgi için Portalınızla bir SAML uyumlu kimlik sağlayıcı yapılandırın başlıklı yardım dokümanını inceleyebilirsiniz.

Güvenilen Sunucular

Güvenilir Sunucular için, istemcilerinizin web katmanlı (web-tier) kimlik doğrulamasıyla güvenilen hizmetlere erişmek için Kökler Arası Kaynak Paylaşımı (CORS) istekleri yaparken kimlik bilgilerini göndermesini istediğiniz güvenilir sunucular listesini yapılandırabilirsiniz. Tek başına (federe olmayan) ArcGIS sunucusundan güvenli servisleri düzenlemek veya güvenli OGC servislerini görüntülemek için geçerlidir. Belirteç (token) tabanlı güvenliğin sağladığı ArcGIS Server barındırma hizmetlerinin bu listeye eklenmesine gerek yoktur. Güvenilir sunucular listesine eklenen sunucular CORS’i desteklemelidir. CORS desteği olmayan sunucularda barındırılan katmanlar beklendiği gibi çalışmayabilir. ArcGIS Server, CORS’i varsayılan olarak 10.1 ve sonraki sürümlerde destekler.

Güvenilen Sunucuları yapılandırırken, sunucu adresleri ayrı ayrı girilmelidir. Joker karakterler kullanılamaz ve kabul edilmez. Ana bilgisayar adı önündeki protokol ile veya protokol olmadan girilebilir. Örneğin, secure.esri.com ana bilgisayar adı secure.esri.com veya https://secure.esri.com olarak girilebilir. Web katmanlı kimlik doğrulamasıyla güvenlik ayarları yapılmış olan bir servisi, internet tarayıcısı üzerinden düzenlemek için kullanmakta olduğunuz tarayıcının CORS özelliğini desteklemesi ve gerekmektedir. Firefox, Chrome, Safari ve Internet Explorer tarayıcıların güncel sürümlerinde CORS desteklenmektedir.

Portal Erişim İzinleri

ArcGIS Enterprise kuruluşunuzdaki üyelerinizin, kendi kurumsal giriş bilgilerini kullanarak diğer portallardaki güvenli içeriğe erişebilmelerini mümkün kılar. Bu sayede, tanımladığınız portalların apps klasörü altında barındırılan harita görüntüleyici ve web uygulamaları, kuruluşunuza erişebilir olacaktır.

Güvenli içeriği paylaşmak istediğiniz portalların URL adreslerini (örneğin https://digerkurulus.domain.com/arcgis) yapılandırdığınızda; kuruluşunuzun üyeleri güvenli içeriğe erişmek için kurumsal giriş bilgilerini (SAML girişleri dahil) kullanabileceklerdir.

ArcGIS Enteprise güvenliği ile ilgili çok çeşitli seçenekler mevcuttur. Bu seçenekler, ArcGIS Enterprise yapılandırmanıza, sistem mimarinize, kuruluşunuzun güvenlik politikalarına göre değişiklilk göstermektedir. Kuruluşunuzun CBS altyapısı için uygun güvenlik seçeneklerini belirlerken bu faktörleri göz önünde bulundurarak, sistemi kullanan tüm kullanıcıları ve iş akışınızı detaylı bir şekilde değerlendirmeniz, ilgili tüm birimlerle ortak bir güvenlik politikası oluşturmanız, işlevsel bir CBS altyapısı oluşturmak için sizlere büyük kolaylık sağlayacaktır.

Faydalı Bağlantılar:
Bu yazının hazırlanması esnasında desteğini esirgemeyen ekip arkadaşım Tuğba Oğuz'a teşekkürlerimle...

Esri Türkiye 2018

ArcGIS Enterprise için Active Directory Entegrasyonu (Portal for ArcGIS)

ArcGIS Enterprise ile ilgili “ArcGIS Enterprise için Active Directory Entegrasyonu” başlıklı yazımızda, ArcGIS Server ile entegre edebileceğiniz kullanıcı deposu seçeneklerinden biri olan Active Directory (AD) yapısından bahsetmiştik. Bu yazımızda da Portal for ArcGIS ile LDAP ve Active Directory entegrasyonundan bahsedeceğiz.

ArcGIS Enterprise güvenlik yapılandırmasında göz önünde bulundurmanız gereken birincil faktör, portal kullanıcılarınızın ve gruplarının kaynağını belirlemek olacaktır. Kimlik deposu olarak adlandırılan bu kaynak için dilerseniz Portal for ArcGIS ile birlikte gelen yerleşik kimlik deposunu ya da kuruluşunuzun kimlik deposunu kullanabilirsiniz. Kuruluşunuzdaki veya kuruluşunuz dışındaki kullanıcılar ve gruplar, kimlik deposu aracılığıyla yönetilmektedir. Portalınız için kullanacağınız kimlik deposu; portal kullanıcılarına ait hesapların kimlik bilgilerinin nerede saklanacağını, kimlik doğrulama işleminin nasıl gerçekleşeceğini ve grup üyeliklerinin nasıl yönetileceğini ifade etmektedir. Portal for ArcGIS; yerleşik veya kurumsal olmak üzere iki tür kimlik deposunu desteklemektedir.

Yerleşik Kimlik Deposu

Portal for ArcGIS’e öntanımlı olarak gelen kullanıcı deposudur. ArcGIS Enterprise kurulumunu ve yapılandırmasını tamamladıktan sonra portalınıza kolaylıkla kullanıcı ekleyebilir, gruplar oluşturabilir, kullanıcılarınızı bu gruplara atayabilirsiniz. Bunun için portal anasayfanızdaki Hesap Oluştur bağlantısını kullanabilirsiniz. Eğer hesap oluşturma bağlantısı kuruluşunuzun güvenlik politikaları gereği portal yöneticisi tarafından devre dışı bırakılmış ise, üye ekleme işlemi yöneticiler tarafından yapılmalıdır. Bunun için, yönetici olarak portala giriş yaptıktan sonra, “Kuruluş>Üye Ekle” (Organization>Add Members) bağlantısını izleyerek, karşınıza gelen ekrandaki seçeneklerden “Yerleşik portal üyeleri ekleyin” (Add built-in portal members) seçeneğini seçerek ilerleyebilirsiniz. Eklemek istediğiniz kullanıcıya ait gerekli bilgileri doldurarak, yerleşik hesap ekleme işlemini tamamlayabilirsiniz.

ArcGIS Enterprise yapılandırmanız içerisinde, Portal for ArcGIS kurulumunu tamamladıktan sonra, ilk yönetici hesabını oluşturmak için yerleşik kimlik deposunun kullanılması gerekmektedir. Yerleşik kimlik deposu, portalın çalışır duruma gelebilmesi için gerekli olmasının yanı sıra, yazılım geliştirme ve test ortamları için kullanışlı bir seçenektir.

Kurumsal Kimlik Deposu

Kurumsal hesapları ve grupları kullanabilmeniz için tasarlanan Portal for ArcGIS sayesinde, kuruluşunuzun CBS altyapısına erişimi kolaylıkla kontrol altında tutabilirsiniz. Örneğin, LDAP yada Active Directory sunucunuzdaki kimlik bilgilerini kullanarak, portalınıza erişimi denetleyebilirsiniz. Bu sayede Portal for ArcGIS içerisinde kullanıcılarınız için hesap oluşturmanıza gerek kalmayacaktır. Kullanıcılarınız, kurumsal kimlik deponuzdaki hali hazırdaki giriş bilgilerini kullanacaklardır. Ayrıca Portal for ArcGIS; kullanıcılarınıza yeniden şifre girmeden, kurumsal giriş bilgilerini kullanarak tek oturum açma (single sign-on) imkanı sağlamaktadır. LDAP veya Microsoft AD yi kullanarak, portalınıza erişimi güvenli hale getirebilirsiniz. LDAP kullanıyorsanız, kullanıcılarınızın portala giriş işlemleri LDAP sunucunuz tarafından yönetilecektir. Windows Active Directory kullandığınızda da, girişler Microsoft Windows Active Directory üzerinden yönetilecektir.

Portalınızla kurumsal kimlik deposu entegrasyonu için öncelikle, portalınızın kullandığı tüm iletişimi HTTPS üzerinden yapılandırmanız gerekmektedir. Bunun için portalınızda yönetici hesabınızla oturum açarak, “Kuruluş” (Organization) sayfasına geliniz. Bu sayfadaki “Ayarları Düzenle” (Edit Settings) bağlantısını tıklayıp “Güvenlik” (Security) sekmesine geliniz. Bu kısımda portalınızın güvenliği ile ilgili çeşitli ayarlar bulunmaktadır.

Güvenlik ayarları içerisinden “Portala yalnızca HTTPS üzerinden erişime izin ver” (Allow access to the portal through HTTPS only) seçeneğinin karşısındaki onay kutusunu işaretleyin ve “Kaydet” (Save) butonuna basarak değişiklikleri uygulayınız. Artık portalınızın tüm trafiği HTTPS protokolü üzerinden gerçekleşecektir. Kaydet butonuna bastıktan sonra, portalınız arka planda kısa bir süre içerisinde kendisini yapılandıracaktır.

LDAP ile Portal for ArcGIS Entegrasyonu

HTTPS yapılandırmasını tamamladıktan sonra, LDAP kullanıcılarını ve gruplarını kullanmak için portalınızın kimlik deposunu güncelleyebilirsiniz. Bunun için ArcGIS Portal Administrator Dizininde yönetici hesabınızla oturum açınız. Portalınızın yönetici dizinine erişmek için kullanacağınız URL formatı https://<webadaptorsunucusu.domain.com>/<webadaptorismi>/portaladmin şeklindedir. Örneğin: https://cbs.ornekadres.com.tr/portal/portaladmin

Oturum açtıktan sonra “Security>Config>Update Identity Store” yolunu takip ediniz. Karşınıza gelen sayfadaki “User store configuration (in JSON format)” metin kutusuna, kuruluşunuzun LDAP kullanıcı yapılandırma bilgilerini JSON formatında yapıştırabilirsiniz. Dilerseniz aşağıdaki örnek metni, kuruluşunuza göre uyarlayarak kullanabilirsiniz.

{
"type": "LDAP",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "uid=admin,ou=system",
"userFullnameAttribute": "cn",
"ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
"userEmailAttribute": "mail",
"usernameAttribute": "uid",
"caseSensitive": "false",
"userSearchAttribute": "uid"
}
}

LDAP entegrasyonu esnasında genellikle, “user”userPassword” ve ldapURLForUsers” parametrelerini düzenlemeniz yeterli olacaktır. LDAP URL’sini kuruluşunuzun bilgi işlem biriminden yada LDAP yöneticinizden temin edebilirsiniz. Kullanıcı parametresi için kullanılacak olan hesabın izinleri, kuruluş bünyesindeki kullanıcıların e-posta adreslerini ve kullanıcı adlarını arayabilecek şekilde yapılandırılmış olması gerekmektedir. Şifre parametresi kısmına yazacağınız açık metin, “Update Configuration” butonuna bastıktan sonra şifrelenmiş bir şekilde saklanacaktır. Eğer LDAP sunucunuz büyük-küçük harfe duyarlı olarak yapılandırılmış ise, “caseSensitive”: “false”parametresini “caseSensitive”: “true”şeklinde değiştirmelisiniz.

Yukarıdaki örnekte, LDAP URL’si belirli bir OU (kullanıcılar) içindeki kullanıcıları kapsamaktadır. Kullanıcılar birden fazla OU’da mevcutsa, LDAP URL’si gerekirse daha yüksek bir OU’yu veya kök (Root) seviyesini gösterebilir. Bu durumda, URL adresi şöyle görünür: “ldapURLForUsers”: “ldaps://bar2:10636/dc=example,dc=com”,

Eğer LDAP bünyesindeki mevcut gruplarınızı kullanarak portalınızda gruplar oluşturmak istiyorsanız, “Group store configuration (in JSON format)” metin kutusuna, kuruluşunuzun LDAP yapılandırma bilgilerini JSON formatında girebilirsiniz. Kolaylık olması bakımından dilerseniz aşağıdaki örnek metni kullanarak LDAP sunucunuzdaki bilgilere göre düzenleyebilirsiniz. Kullanıcı grupları için portalınızın yerleşik gruplarını kullanmak isterseniz, bu kısımda herhangi bir değişiklik yapmayınız.

{
"type": "LDAP",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "uid=admin,ou=system",
"ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
"ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
"usernameAttribute": "uid",
"caseSensitive": "false",
"userSearchAttribute": "uid",
"memberAttributeInRoles": "member",
"rolenameAttribute":"cn"
}
}

Active Directory ile Portal for ArcGIS Entegrasyonu

Portalınızın kimlik deposunu Active Directory ile entegre etmek içinse, yukarıdaki şekilde Portal Admin Directory arayüzüne eriştikten sonra, yönetici ayrıcalıklarına sahip hesabınızla oturum açınız. Oturum açma işleminden sonra “Security>Config>Update Identity Store” yolunu takip ediniz. Karşınıza gelen sayfadaki “User store configuration (in JSON format)” metin kutusuna, kuruluşunuza ait Active Directory kullanıcı yapılandırma bilgilerini aşağıdaki örnekte gösterildiği şekilde JSON formatında giriniz.

{
"type": "WINDOWS",
"properties": {
"userPassword": "sifrenizi_giriniz",
"isPasswordEncrypted": "false",
"user": "domaininiz\\kullanici_adi",
"userFullnameAttribute": "cn",
"userEmailAttribute": "mail",
"caseSensitive": "false"
}
}

Çoğu durumda, “userPassword” ve “user” parametrelerini değiştirmeniz yeterli olacaktır. Windows Actice Directory yapılandırmanız büyük-küçük harfe duyarlı ise, “caseSensitive”: “false” parametresini “caseSensitive”: “true” şeklinde değiştirmeyi unutmayın. Eğer mümkünse, portal içerisinde kullanacağınız Active Directory hesabına ait şifrenin süresini sona ermeyecek şekilde ayarlayabilirsiniz.

Active Directory bünyesindeki mevcut gruplarınızı portalınıza aktarmak isterseniz, “Group store configuration (in JSON format)” metin kutusuna,Windows Active Directory yapılandırma bilgilerini girmeniz yeterli olacaktır. Kullanıcı parametresi kısmında tanımlayacağınız hesabın yetkilerini, ağdaki Windows gruplarını arayacak şekilde yapılandırdığınızdan emin olunuz. Yapılandırma bilgilerinizi aşağıdaki örnekte gösterildiği şekilde düzenleyebilirsiniz. Eğer kullanıcı grupları için portalınızın yerleşik kimlik deposunu kullanmak isterseniz, metin kutusundaki tüm bilgileri silip bu adımı atlayabilirsiniz.

{
"type": "WINDOWS",
"properties": {
"isPasswordEncrypted": "false",
"userPassword": "sifrenizi_giriniz",
"user": "domaininiz\\kullanici_adi"
}
}

İhtiyacınıza uygun şekilde gerekli düzeltmeleri yaptıktan sonra, değişikliklerin etkili olabilmesi için “Update Configuration” butonuna basarak, yapılandırma işlemini tamamlayabilirsiniz. Kimlik deposu yapılandırmasında isteğe bağlı olarak kullanabileceğiniz çeşitli ek parametreler de bulunmaktadır. Bu ek parametreler hakkında detaylı bilgi için Yardım Dokümanını inceleyebilirsiniz.

Portal Katmanlı Kimlik Deposunu Yapılandırma

Portalınızı Active Directory veya LDAP ile yapılandırdıktan sonra, Web Adaptor üzerinden anonim erişimi etkinleştirmeniz gerekmektedir. Kullanıcılarınız portal oturum açma sayfasına erişim sağladığında, kurumsal kimlik bilgilerini veya yerleşik kimlik bilgilerini kullanarak oturum açabileceklerdir. Kurumsal kullanıcılar, portala giriş yaparken her seferinde kullanıcı bilgilerini gireceklerdir. Kullanıcılar portalda oturum açtıktan sonra, üye oldukları gruplarla, kendileriyle veya kuruluşunuzla paylaşılmış olan içeriklere erişebilirler. Anonim kullanıcılar ise sadece, herkesle paylaşılmış olan içeriklere erişebileceklerdir.

Kurumsal kimlik bilgilerinizi kullanarak portal’da oturum açmak için, öncelikle internet tarayıcınızdan portalınızın adresini yazarak portal ana sayfasına ulaşınız. Giriş kısmında aşağıdaki örneklere göre, kendi kurumsal kimlik bilgilerinizi kullanınız.

  • Portalı Active Directory’niz ile kullanıyorsanız; “domaininiz\kullanıcıadınız” veya “kullanıcıadı@domaininiz” şeklinde giriş yapabilirsiniz. Kullanıcılar ne şekilde giriş yaparsa yapsın, portal web sitesindeki kullanıcı adı her zaman “kullanıcıadı@domaininiz” şeklinde görüntülenir.
  • Eğer portalı LDAP ile kullanıyorsanız; “kullanıcıadı” şeklinde giriş yapabilirsiniz. Portal web sitesindeki kullanıcı hesabı da yine “kullanıcıadı” şeklinde görüntülenecektir.

Portalınıza Kurumsal Hesaplarınızı Ekleme

Kuruluşunuzdaki kullanıcılar, portal web sitesine erişebilir fakat yalnızca kuruluştaki herkesle paylaşılmış olan içerikleri görüntüleyebilirler. Bunun nedeni kurumsal hesapların henüz portala eklenmemesi ve erişim ayrıcalıklarının verilmemesidir. Aşağıdaki yöntemlerden dilediğinizi kullanarak portalınıza hesap ekleyebilirsiniz.

Hesaplar eklendikten sonra, kullanıcılar kuruluşunuzun portalına giriş yapabilir ve kendileriyle veya üye oldukları gruplarla paylaşılmış içeriğe erişebilirler. Hesap ekleme işlemleri esnasında; kurumsal hesaplarınızdan en az bir tanesine, yönetici rolü atayabilirsiniz. Alternatif bir portal yönetici hesabı oluşturduktan sonra, ilk yönetici hesabını kullanıcı rolüne atayabilir veya bu hesabı tamamen silebilirsiniz.

Faydalı Bağlantılar:

Bu yazının hazırlanmasında katkıda bulunan ekip arkadaşım Tuğba Oğuz'a teşekkürlerimle...

Esri Türkiye, 2018
Bu yazı için bir etiket bulunmamaktadır.