Umożliwienie publicznym przeglądającym i prywatnym redaktorom serwisu funkcji w ArcGIS Online dla organizacji?

10

W jaki sposób w ArcGIS Online dla organizacji publikuje się hostowaną usługę funkcji, która jest udostępniana wszystkim do przeglądania, przy jednoczesnym ograniczeniu edycji do określonych użytkowników lub grup oraz różnego rodzaju edycji dla różnych grup?

W pomocy na końcu uprawnień edytora do usług funkcji w sekcji Konfigurowanie wielu poziomów dostępu jest napisane

Jeśli potrzebujesz obsługiwać wiele warstw użytkowników, z których każdy wymaga różnych operacji, zalecane jest utworzenie jednej usługi dla każdego poziomu użytkownika. Na przykład możesz utworzyć usługę profesorów, w której wszystkie operacje będą dozwolone. Oprócz tego możesz stworzyć mniej uprzywilejowaną usługę Studentów z dozwolonymi tylko operacjami Utwórz, Zapytaj i Prześlij.

Co jest świetne, właśnie to muszę zrobić. Pominięto jednak sposób, w jaki można pogodzić wiele usług Feature Feature, aby podczas tworzenia nowych funkcji przez Profesorów Uczniowie zobaczyli nowe rekordy i odwrotnie.

Create ServiceKreator zarządzania przeglądarką internetową umożliwia korzystanie z jednej usługi funkcji jako źródła nowej, ale używany jest tylko model danych (definicje symboli, nazwy i typy pól itp.), Podczas gdy rzeczywiste funkcje pozostają w tyle, nowa usługa jest pusty. To jest zamierzone zachowanie .

arcgis-online security feature-service matowe wilkie
źródło
chcesz tego na tej samej mapie? Jeśli nie obchodzi Cię posiadanie więcej niż jednej mapy. Każda usługa obiektów zawiera również usługę map, jedną mapę z usługą obiektów i jedną z usługą mapy = kontrola edycji.
Brad Nesom,
@brad, nie, nie muszą znajdować się na tej samej mapie. Należy jednak udostępnić usługę obiektów, aby została uwzględniona na mapie internetowej, a kiedy to się stanie, ludzie mogą ominąć mapę i przejść bezpośrednio do usługi obiektów, niezależnie od ustawień udostępniania w usłudze map internetowych.
matt wilkie

Odpowiedzi:

7

Po 2015-14 lipca

Sytuacja jest znacznie poprawiona. Administrator organizacji może utworzyć grupę, w której członkowie mogą aktualizować uprawnienia do elementów . Eliminuje to potrzebę udostępniania poświadczeń logowania i / lub przyznawania wszystkim redaktorom uprawnień administratora w całej organizacji * , a także sprawia, że ​​uprawnienia grupowe odpowiadają ** w przypadku map publicznych.

Nowa zalecana praktyka to:

  • Całkowicie wyłącz edycję w hostowanej usłudze funkcji
  • Jako administrator organizacji: utwórz grupę redaktorów i udziel nowe uprawnienia „Członkowie mogą aktualizować”, w razie potrzeby wypełnij je. (Musi to być nowa grupa, utworzona po lipcu 2015 r.).
  • W codziennym użyciu redaktorzy używają opcji „Dodaj warstwę do mapy z włączoną edycją” ze strony szczegółów elementu, aby zastąpić flagę „tylko do odczytu”.

Aby uzyskać szczegółowe informacje, zobacz Zobacz Umożliwianie współpracownikom aktualizowania twoich map i aplikacji na blogu ArcGIS oraz Najlepsze praktyki korzystania z warstw w mapach w pomocy online.

...

Zastrzegam pewne zastrzeżenia, ponieważ wydaje się, że podstawowy model bezpieczeństwa nie zmienił się, sama usługa funkcji nie ma pojęcia autoryzowanego użytkownika lub grupy. Wierzę, że wciąż jest miejsce na problemy, ale przynajmniej powierzchnia jest znacznie zmniejszona, a możliwość przypadkowego i spowodowanego ciekawością uszkodzenia danych jest usunięta.

Należy również pamiętać, że istniejące usługi wykorzystujące stare metody są nadal podatne na ataki. Wczoraj podczas moich testów z łatwością odkryłem nieświadomie wyeksponowane usługi związane z obiektami, po prostu przeszukując arcgis.com w poszukiwaniu „edycji warstwy usług związanych”.

Przed lipcem 2015 r

W lutym 2015 r. Rozmawialiśmy o tym z niektórymi osobami z Esri Canada. W ArcGIS Online (obecnie) nie ma bezpiecznej metody zarządzania jednoczesnymi rolami edycji i uprawnień tylko do odczytu. Najlepsze, co można zrobić, to ukryć lokalizację edytowalnej usługi, zgodnie z odpowiedziami Brada i Bmearna tutaj, a następnie włączyć Edytor ścieżek . Następnie miałyby następować okresowe zaplanowane przeglądy zapisów i usuwanie tych, które nie zostały wykonane przez osobę do tego upoważnioną.

Dodatkowym (małym, słabym) środkiem ochronnym może być dodanie filtra do mapy sieci, aby wyświetlać tylko te rekordy, w których Creator is not {one space}( nie jest puste , nie działa). Wpływa to tylko na tę mapę internetową. Osoby omijające mapę internetową i uzyskujące dostęp do usługi obiektów bezpośrednio widzą wszystko.

Jeśli potrzebna jest zabezpieczona i edytowalna usługa funkcji, musisz uruchomić własny ArcGIS Server gdzie indziej, z udostępnianiem i edycją zablokowaną w razie potrzeby, a następnie usługę tylko do odczytu dostępną dla ArcGIS Online.

Pozwala to na wykorzystanie ogromnego czasu bezawaryjnej pracy, buforowania sieci dystrybucji treści, skalowania procesora / pamięci itd. Infrastruktury ArcGIS Online w celu powszechnego korzystania z publicznego odczytu tylko z dostępem do edycji na bardziej przeciętnie podzielonym i tańszym komputerze. Dzięki ArcGIS Online nie uzyskasz obu w jednym miejscu.

aktualizacja , 2015-27 maja: dodano wskazówkę Filtruj według twórców

matowe wilkie
źródło
2

Skonfigurowałem grupy.
Jedna grupa to grupa edycji. W tej grupie udostępniona jest mapa do edycji (z usługą obiektów).
Grupa jest prywatna i zapraszam do niej tylko redaktorów.
Inna grupa przeznaczona jest dla osób nie będących redaktorami i zapraszam do niej innych członków.
W tej grupie moja mapa serwisu (nieedytowalna) jest udostępniana.
Działa to trochę jak przypisywanie uprawnień i ról.

Brad Nesom
źródło
Nie jest to skuteczne, ponieważ uprawnienia do edycji / bez edycji są kontrolowane na poziomie grupy. Każdy może ominąć twoje grupy i przejść bezpośrednio do usługi funkcji z możliwością edycji. W efekcie tworzą własną grupę, która ma dowolne uprawnienia. Podstawowa usługa funkcji jest otwarta lub zamknięta, bez żadnej gradacji między. Zobacz odpowiedź i komentarz Bena Mearn'a.
matt wilkie
wtedy nie są już kontrahentami, ponieważ zostali zwolnieni. Nie mają też dostępu do usługi bez mapy internetowej.
Brad Nesom,
Nie mogę zwolnić kogoś, kto nie pracuje dla ciebie. Dodałem funkcję do ograniczonej do edycji grupy Bena z osobistego konta publicznego, zasadniczo jest to anonimowa edycja. Do tego nie potrzebowałem ani nie użyłem jego mapy internetowej.
matt wilkie
Mogę zwolnić kontrahenta. Wszystkie moje grupy nie są publiczne, wszystkie moje dane nie są publiczne, Nie ma globalnie udostępnianych usług. Nie możesz edytować mojej mapy internetowej. Nie mówię nawet wykonawcy, że istnieje mapa internetowa. „I” podaje dane logowania ios i kontroluje hasło do nazwy użytkownika. więc dokonują edycji, ja wykopuję ich użytkownika.
Brad Nesom,
Jeśli usługa nie jest w ogóle dostępna publicznie, opisany przeze mnie problem nie ma zastosowania. Jednak jeśli FS jest wyświetlany na mapie publicznej, dowolnej mapie publicznej, a jednocześnie FS ma możliwość edycji dla każdego, to anonimowi użytkownicy mogą tworzyć / edytować / usuwać dane w FS przy minimalnym wysiłku. W przypadku, gdy FS nigdy nie jest wyświetlany w żaden sposób poza uprawnioną grupą, dane mogą być nadal edytowane anonimowo , ale próba odnalezienia identyfikatora fs-ID w celu dotarcia do niego nie jest trywialna. Drzwi zostały zmienione z ukrytego na ukryte, ale nie są zamknięte.
matt wilkie
2

(edytowany 5/7/15)

Nie jest to idealne rozwiązanie, ale umożliwia edycję zespołową oraz publiczne wyświetlanie / brak edycji.

  1. uczynić redaktorów administratorami w ramach organizacji
  2. uniemożliwić edytowanie warstwy, ale udostępniaj ją publicznie
  3. administratorzy mogą „dodawać jako warstwę edytowalną” dla administratora sieci i przeprowadzać rozłączoną / zsynchronizowaną edycję na komputerze

Nie mogłem odtworzyć poprawnych uprawnień przy użyciu ról, ale to zadziała dla nas, ponieważ liczba redaktorów jest niewielka i ufam im.

Właściwości usługi obiektów (edycja wyłączona) Dodaj z włączonym menu edycji

Coś takiego, co sugerował Brad, zadziałało dla mnie

  1. Zaloguj się na konto z uprawnieniami wydawcy
  2. Moja zawartość> Dodaj element> Z mojego komputera> (zaznacz) Opublikuj ten plik jako warstwę funkcji
  3. Moja zawartość> [Warstwa funkcji]> Edytuj> (zaznacz) Włącz edycję i pozwól edytorom na ...
  4. Moja zawartość> [Warstwa funkcji]> Udostępnij> Wszyscy
  5. Moja zawartość> [Warstwa obiektów]> Dodaj warstwę do [nowej] mapy
  6. Na mapie> udostępnij wszystkim, wyłącz edycję na warstwie, jeśli jest z jakiegoś powodu włączona, zapisz, opublikuj za pomocą aplikacji internetowej z udziałem, jeśli chcesz
  7. Grupy> Utwórz grupę, dodaj użytkowników, aby mieć uprawnienia do edycji grupy
  8. Moja zawartość> [Warstwa funkcji]> Dodaj warstwę do [nowej] mapy z włączoną edycją
  9. Udostępnij tę mapę grupie właśnie utworzonej dla redaktorów
Ben Mearns
źródło
Osoba o umiarkowanej wiedzy na temat działania usług Arcgis Online, a nawet po prostu spędzająca dużo czasu na naciskaniu przycisków i podążaniu za linkami, może nadal przejść bezpośrednio do udostępnionej na całym świecie usługi edycji (ujawnionej w kroku 4) z własnej mapy , która mają pełną kontrolę. Procedura opisana tutaj sprawia, że ​​dotarcie do edytowalnego miejsca jest niewygodne, ale nie zabrania tego. Zapewnia środek ochrony, ale nie jest bezpieczny.
matt wilkie
Matt, sprawdź moją funkcję w udel.maps.arcgis.com/home/… . Na koncie, którego nie ma w grupie z warstwą do edycji, nie mogę tego wyświetlić ani edytować. Kiedy ponownie dodam to konto do grupy, będę mógł ponownie wyświetlić / edytować. Aplikacja internetowa zbudowana z tej usługi funkcji znajduje się pod adresem: udel.maps.arcgis.com/apps/webappviewer/ ... ... może to być przypadek, w którym funkcjonalność zmieniła się w wyniku kolejnych aktualizacji?
Ben Mearns,
Chcę to rozwiązać, proszę ping do mnie na [email protected]. Potwierdzam, że próba wyświetlenia szczegółów elementu powyższego łącza FS kończy się niepowodzeniem, ponieważ nie znaleziono 404, podobnie jak w przypadku warstw „Budynki” i „Parkowanie” z poziomu aplikacji. Chciałbym omówić szczegóły twojej konfiguracji w porównaniu do mojej (zrzut ekranu itp.). Dzięki!
matt wilkie
Znalazłem wejście. Spójrz na usługę „Budynki”. Jest nowy rekord NAME=Fake Building made by matt, na północnym wschodzie przy drodze Old Paper Mill. i.imgur.com/hi03EqU.png . Czy ta funkcja usługi ma zostać zablokowana przed edycją publiczną?
matt wilkie
a oto zrzut ekranu we własnej aplikacji: i.imgur.com/ROeNA48.png
matt wilkie
1

Nowa zalecana praktyka opisana przez Matta Wilkie działa dobrze dla użytkowników w grupie z uprawnieniem „członkowie mogą aktualizować” tylko wtedy, gdy potrzebują tylko zaktualizować dane w przeglądarce map AGOL za pomocą funkcji „Dodaj warstwę do mapy z włączoną edycją”. Chcę jednak, aby użytkownicy w tej grupie mogli aktualizować dane za pomocą ArcGIS Collector. Uprawnienia do edycji nie są zachowywane po otwarciu hostowanej warstwy obiektów w przeglądarce map AGOL z włączoną edycją i zapisaniem mapy. Mapę można udostępnić grupie za pomocą funkcji „Udostępnij> Możliwości dostępu i aktualizacji” na ekranie Moja zawartość. Ale nie pojawi się w programie Collector dla członków grupy, aby uzyskać dostęp, ponieważ funkcja aktualizacji nie jest zapisywana jako część mapy.

Neil Curri
źródło
1
Witamy w GIS SE! Jako nowy użytkownik koniecznie zapoznaj się z przewodnikiem, który opisuje skoncentrowany format pytań i odpowiedzi, którego tu używamy. Kilka razy przeczytałem twoją odpowiedź i wydaje mi się, że próbujesz przedstawić nieco inny problem w obszarze zarezerwowanym na bezpośrednie odpowiedzi na pierwotne pytanie. Zwykle każda „odpowiedź”, która to robi, jest po prostu usuwana, ale w tym przypadku nie jestem do końca pewien, więc zostawię to tutaj, aby dać innym szansę na przejrzenie tego.
PolyGeo
Czytam to również jako nieco inny problem. Zaktualizuj język, jeśli tak nie jest.
MaryBeth,
Przepraszamy za niezrozumienie formatu i dziękuję za wskazanie mi trasy. Pomyślałem, że komentarz jest odpowiedni, ponieważ moim zdaniem nie powinno mieć znaczenia, czy edytujesz w przeglądarce map AGOL vs. Collector. Uprawnienia powinny być spójne. Ale zajmę się tym dzięki wsparciu Esri i / lub stronie ArcGIS Ideas. Dla takich jak ja, którzy natknęli się na to pytanie z tego samego powodu, co ja, wydaje się, że jeśli chcesz, aby usługa funkcji była edytowana przez jedną grupę w programie Collector i oglądana przez inne, musisz wrócić do konfigurowania wielu poziomów dostęp.
Neil Curri,
Usuń moją „odpowiedź” i kolejny komentarz, jeśli uważasz, że nie są one istotne.
Neil Curri,
Dziękujemy za Twój wkład @Neil. Zgadzam się, że administracja powinna być taka sama, niezależnie od tego, jaką aleję wykorzystano do edycji, ale z niejasnych powodów nie jest to najwyraźniej. Twój komentarz dotyczy tematu, ale dodaje wymiar, który moim zdaniem najlepiej nadaje się, otwierając nowe pytanie w stylu „Jak mieć publicznych widzów i prywatnych redaktorów za pomocą ArcGIS Collector?”. i odwołaj się do tego pytania, aby ludzie zrozumieli, że tak naprawdę nie jest duplikatem.
matt wilkie