Activation des visualiseurs publics et des éditeurs privés du service d'entités sur ArcGIS Online For Organizations?

10

Dans ArcGIS Online pour les organisations, comment publier un service d'entités hébergé partagé avec tout le monde pour affichage, tout en restreignant la modification à des utilisateurs ou des groupes spécifiques, et différents types de modification pour différents groupes?

Dans l'aide à la fin des autorisations de l' éditeur pour les services d'entités, sous Configuration de plusieurs niveaux d'accès, il est indiqué

Si vous devez prendre en charge plusieurs niveaux d'utilisateurs, chacun nécessitant des opérations différentes, l'approche recommandée consiste à créer un service pour chaque niveau d'utilisateur. Par exemple, vous pouvez créer un service Professeurs qui peut autoriser toutes les opérations. Parallèlement à cela, vous pouvez créer un service Étudiants moins privilégiés avec uniquement les opérations de création, de requête et de téléchargement autorisées.

C'est super, c'est ce que je dois faire. Cependant, ce qui est laissé de côté est de savoir comment réconcilier les multiples services de fonctionnalités afin que lorsque les professeurs créent de nouvelles fonctionnalités, les étudiants voient les nouveaux enregistrements, et vice versa.

L' Create Serviceassistant de gestion du navigateur Web vous permet d'utiliser un service d'entités comme source pour un nouveau, mais seul le modèle de données est utilisé (définitions de symboles, noms et types de champs, etc.) tandis que les fonctionnalités réelles sont laissées pour compte, le nouveau service est vide. C'est le comportement souhaité .

arcgis-online security feature-service Matt Wilkie
la source
le voulez-vous dans la même carte Web? Si vous ne vous souciez pas d'avoir plus d'une carte. Chaque service d'entités contient également un service de carte, une carte avec le service d'entités et une avec le service d'édition = contrôle d'édition.
Brad Nesom
@brad, non, ils n'ont pas besoin d'être sur la même carte. Cependant, un service d'entités doit être partagé pour être inclus dans une carte Web, et une fois que cela se produit, les gens peuvent contourner la carte et accéder directement au service d'entités indépendamment des paramètres de partage définis dans le service de carte Web.
matt wilkie

Réponses:

7

Après 2015-juil-14

La situation s'est beaucoup améliorée. L'administrateur de l'organisation peut créer un groupe dont les membres peuvent mettre à jour l' autorisation des éléments . Cela supprime le besoin d'informations d'identification de connexion partagées et / ou donne à tous les éditeurs des privilèges d'administrateur à l'échelle de l'organisation * , tout en rendant les autorisations de groupe réponse ** viables pour les cartes publiques.

La nouvelle pratique recommandée est la suivante:

  • Désactiver la modification entièrement sur le service de fonctionnalités hébergé
  • En tant qu'administrateur de l'organisation: créez un groupe de rédacteurs et accordez la nouvelle autorisation «Les membres peuvent mettre à jour», remplissez si nécessaire. (Doit être un nouveau groupe, créé après juillet 2015).
  • Dans une utilisation quotidienne, les éditeurs utilisent «Ajouter une couche à la carte avec l'édition activée» à partir de la page des détails de l'élément pour remplacer l'indicateur de lecture seule.

Pour plus de détails, voir Voir Permettre à des collègues de mettre à jour vos cartes et applications dans le blog ArcGIS et Meilleures pratiques pour l'utilisation de couches dans les cartes dans l'aide en ligne.

...

Je nourris certaines réserves car le modèle de sécurité sous-jacent ne semble pas avoir changé, le service de fonctionnalités lui-même n'a pas de concept d'utilisateur ou de groupe autorisé. Je pense qu'il y a encore de la place pour des problèmes, mais au moins la surface est considérablement réduite et la possibilité de dommages accidentels et simplement causés par les données est supprimée.

Veuillez également noter que les services existants utilisant les anciennes méthodes sont toujours vulnérables. Hier, lors de mes tests, j'ai découvert facilement des services d'entités exposés involontairement en recherchant simplement sur arcgis.com "Modifier la couche de services d'entités".

Avant 2015 juillet

Nous avons eu une longue conversation avec des gens d'Esri Canada à ce sujet en février 2015. Il n'y a pas de méthode sécurisée pour régir les rôles de privilèges de modification et de lecture seule simultanés dans ArcGIS Online (actuellement). Le mieux que l'on puisse faire est d'obscurcir l'emplacement du service modifiable, selon les réponses de Brad et Bmearns ici, puis d'activer l' éditeur de pistes . Cela serait suivi d'examens périodiques des enregistrements et de suppression de ceux qui n'ont pas été effectués par une personne autorisée à le faire.

Une mesure de protection supplémentaire (petite, faible) peut être d'ajouter un filtre à la carte Web pour afficher uniquement les enregistrements où Creator is not {one space}( n'est pas vide ne fonctionne pas). Cela n'affecte que cette carte Web. Les personnes contournant la carte Web et accédant directement au service d'entités voient tout.

Si un service d'entités sécurisé et modifiable est nécessaire, vous devez exécuter votre propre ArcGIS Server ailleurs avec le partage et la modification verrouillés au besoin, puis un service en lecture seule exposé à ArcGIS Online.

Cela permet d'utiliser la disponibilité massive, la mise en cache du réseau de distribution de contenu, la mise à l'échelle du processeur / de la mémoire, etc. de l'infrastructure ArcGIS Online pour une consommation publique en lecture seule généralisée avec un accès en modification sur une machine plus répartie et moins coûteuse. Vous n'allez pas réunir les deux au même endroit, avec ArcGIS Online.

mise à jour , 2015-May-27: ajout du filtre par astuce du créateur

Matt Wilkie
la source
2

J'ai créé des groupes.
Un groupe est un groupe d'édition. Dans ce groupe, la carte modifiable (avec le service d'entités) est partagée.
Le groupe est privé et je n'y invite que les éditeurs.
Un autre groupe est destiné aux non-éditeurs et j'invite d'autres membres à y participer.
Dans ce groupe, ma carte Web du service de carte (non modifiable) est partagée.
Cela fonctionne un peu comme l'attribution d'autorisations et de rôles.

Brad Nesom
la source
Cela n'est pas efficace car les autorisations de modification / non-modification sont contrôlées au niveau du groupe. Tout le monde peut contourner vos groupes et accéder directement au service de fonctionnalités permettant la modification. En effet, ils créent leur propre groupe qui dispose des autorisations qu'ils souhaitent. Le service d'entités sous-jacent est ouvert ou fermé, sans aucune gradation entre. Voir la réponse et le commentaire de Ben Mearn.
matt wilkie
alors ils ne sont plus un entrepreneur parce qu'ils sont licenciés. De plus, ils n'ont pas d'accès ioda sur le service sans la carte Web.
Brad Nesom
Impossible de renvoyer quelqu'un qui ne travaille pas pour vous. J'ai ajouté une fonctionnalité au groupe restreint aux modifications de Ben à partir d'un compte public personnel, c'est essentiellement une modification anonyme. Je n'ai pas eu besoin ni utilisé sa carte Web pour le faire.
matt wilkie
Je peux virer un entrepreneur. Tous mes groupes ne sont pas publics, toutes mes données ne sont pas publiques, il n'y a pas de services partagés à l'échelle mondiale. Vous ne pouvez pas modifier ma carte Web. Je ne dis même pas à l'entrepreneur qu'il existe une carte Web. "I" fournit les informations de connexion ios et contrôle le mot de passe du nom d'utilisateur. donc ils font un montage, je frappe leur utilisateur.
Brad Nesom
Si le service d'entités n'est pas du tout ouvert au public, le problème que je décris ne s'applique pas. Cependant, si le FS est affiché dans une carte publique, n'importe quelle carte publique, et en même temps que le FS est activé pour n'importe qui, alors les utilisateurs anonymes peuvent créer / modifier / supprimer des données dans le FS avec un effort minimal. Dans le cas où le FS n'est jamais affiché de quelque manière que ce soit en dehors du groupe autorisé, les données peuvent toujours être modifiées de manière anonyme , mais l'effort de découvrir le fs-ID pour y accéder n'est pas anodin. La porte est passée de cachée à cachée, mais elle n'est pas verrouillée.
matt wilkie
2

(modifié le 5/7/15)

Pas idéal, mais permet une édition collaborative et une visualisation / non édition publique.

  1. faire des éditeurs des administrateurs sous l'organisation
  2. rendre la couche non modifiable mais partager publiquement
  3. les administrateurs peuvent «ajouter en tant que couche modifiable» pour l'administrateur Web et effectuer des modifications déconnectées / synchronisées sur le bureau

Je n'ai pas pu recréer les autorisations correctes à l'aide de rôles, mais cela fonctionnera pour nous, car le nombre d'éditeurs est petit et je leur fais confiance.

Propriétés du service d'entités (modification désactivée) Ajouter avec le menu d'édition activé

Quelque chose comme ce que Brad a suggéré a fonctionné pour moi

  1. Connectez-vous au compte avec les autorisations de l'éditeur
  2. Mon contenu> Ajouter un élément> Depuis mon ordinateur> (cocher) Publier ce fichier en tant que couche d'entités
  3. Mon contenu> [Feature Layer]> Modifier> (cochez) Activer l'édition et autoriser les éditeurs à ...
  4. Mon contenu> [Couche de fonctionnalités]> Partager> Tout le monde
  5. Mon contenu> [Couche d'entités]> Ajouter une couche à la [nouvelle] carte
  6. Sur la carte> partager avec tout le monde, désactiver l'édition sur la couche si elle est activée pour une raison quelconque, enregistrer, publier via une application Web avec partager si vous le souhaitez
  7. Groupes> Créer un groupe, ajouter des utilisateurs pour avoir des autorisations de modification sur le groupe
  8. Mon contenu> [Couche d'entités]> Ajouter une couche à la [nouvelle] carte avec l'édition activée
  9. Partagez cette carte avec le groupe qui vient d'être créé pour les éditeurs
Ben Mearns
la source
Une personne connaissant modérément le fonctionnement des services Arcgis Online, ou même simplement disposée à passer beaucoup de temps à appuyer sur des boutons et à suivre des liens, peut toujours accéder directement au service d'entités modifiables partagé à l'échelle mondiale (exposé à l'étape 4) à partir de sa propre carte , qui ils ont un contrôle total sur. La procédure décrite ici rend difficile l'accès à un endroit modifiable mais ne l'interdit pas. Il fournit une mesure de protection, mais il n'est pas sécurisé.
matt wilkie
Matt, consultez mon service de fonctionnalités sur udel.maps.arcgis.com/home/… . Sur un compte qui ne fait pas partie du groupe avec une couche modifiable, je ne suis pas en mesure d'afficher ou de modifier cela. Lorsque j'ajoute ce compte au groupe, je peux à nouveau afficher / modifier. L'application Web créée à partir de ce service de fonctionnalités se trouve sur: udel.maps.arcgis.com/apps/webappviewer/… ... cela peut être un cas où la fonctionnalité a changé via des mises à jour ultérieures?
Ben Mearns
Je suis intéressé à poursuivre, s'il vous plaît envoyez-moi un ping à [email protected]. Je confirme que la tentative d'afficher les détails de l'élément du lien FS ci-dessus échoue avec 404 introuvable, idem pour les couches "Buildings" et "Parking" à partir de l'application. Je voudrais revenir sur les détails de votre configuration par rapport à la mienne (capture d'écran etc.). Merci!
Matt Wilkie
J'ai trouvé un moyen. Regardez le service de fonctionnalité "Bâtiments". Il y a un nouveau record avec NAME=Fake Building made by matt, au nord-est de la route Old Paper Mill. i.imgur.com/hi03EqU.png . Ce service de fonctionnalité est-il censé être verrouillé de l'édition publique?
matt wilkie
et voici une capture d'écran dans votre propre application: i.imgur.com/ROeNA48.png
matt wilkie
1

La nouvelle pratique recommandée décrite par matt wilkie fonctionne bien pour les utilisateurs du groupe avec l'autorisation "les membres peuvent mettre à jour" s'ils ont seulement besoin de mettre à jour les données dans la visionneuse de carte AGOL en utilisant la fonction "Ajouter une couche à la carte avec l'édition activée". Cependant, je souhaite que les utilisateurs de ce groupe puissent mettre à jour les données à l'aide d'ArcGIS Collector. Les autorisations de modification ne persistent pas après l'ouverture de la couche d'entités hébergée dans la visionneuse de carte AGOL avec l'édition activée et l'enregistrement de la carte. La carte peut être partagée avec le groupe à l'aide de la fonction «Partager> Capacités d'accès et de mise à jour» de l'écran Mon contenu. Mais il n'apparaîtra pas dans Collector pour les membres du groupe, car la capacité de mise à jour n'est pas enregistrée dans le cadre de la carte.

Neil Curri
la source
1
Bienvenue dans GIS SE! En tant que nouvel utilisateur, assurez-vous de prendre le Tour qui décrit le format de Q&A ciblé que nous utilisons ici. J'ai lu votre réponse plusieurs fois et il me semble que vous essayez de présenter un problème légèrement différent dans le domaine réservé aux réponses directes à la question d'origine. Normalement, toute "réponse" qui le fait est simplement supprimée, mais dans ce cas, je ne suis pas tout à fait certain, je vais donc laisser cela ici pour donner aux autres la possibilité de l'examiner aussi.
PolyGeo
Je lis également ceci comme un problème légèrement différent. Veuillez mettre à jour la langue si ce n'est pas le cas.
MaryBeth
Toutes mes excuses pour avoir mal compris le format et merci de m'avoir indiqué la tournée. Je pensais que le commentaire était pertinent, car dans mon esprit, cela ne devrait pas faire de différence si vous modifiez dans la visionneuse de carte AGOL vs Collector. Les autorisations doivent être cohérentes. Mais je reprendrai cela avec le support Esri et / ou le site ArcGIS Ideas. Pour ceux comme moi qui sont tombés sur cette question ici pour la même raison que moi, il semble que si vous voulez qu'un service d'entités soit édité par un groupe dans Collector et vu par d'autres, vous devez revenir à la configuration de plusieurs niveaux de accès.
Neil Curri
N'hésitez pas à supprimer ma "réponse" et le commentaire suivant si vous ne pensez pas qu'ils soient pertinents.
Neil Curri
Merci pour votre contribution @Neil. Je suis d'accord que l'administration devrait être la même quelle que soit l'avenue utilisée pour éditer, mais pour des raisons obscures ce n'est apparemment pas le cas. Votre commentaire est sur le sujet, mais ajoute une dimension qui, je pense, est mieux servie en ouvrant une nouvelle question sur le thème "Comment avoir des téléspectateurs publics et des éditeurs privés avec ArcGIS Collector?" , et référencez cette question pour que les gens comprennent que ce n'est pas vraiment un doublon.
matt wilkie