Identitätskomponenten: LDAP und Single Sign-On—ArcGIS for INSPIRE

Identitätskomponenten: LDAP und Single Sign-On

Das Geoportal implementiert ein auf Java basierendes Standard-Authentifizierungsmuster. Der Java-Container ist für eine Authentifizierung gegenüber einem Identitätsspeicher konfiguriert. Eingehende Anforderungen werden vom Container verarbeitet, und Anmeldeinformationen werden angefordert und nach Bedarf authentifiziert. Die Informationen zu dem authentifizierten Benutzer werden anschließend pro Anforderung für jede teilnehmende Webanwendung bereitgestellt, die im Container ausgeführt wird. Diese Informationen werden als UserPrincipal-Objekt bereitgestellt, das normalerweise eine "username"-Anmeldeinformation aufweist. Die Anmeldeinformation "password" wird für die zugrunde liegenden Anwendungen nicht angegeben.

Das Geoportal benötigt mindestens einen Lesezugriff für einen externen LDAP-Identitätsspeicher (Lightweight Directory Access Protocol). Der Identitätsspeicher enthält Informationen zu Benutzern und Gruppen. Der Identitätsspeicher (schreibgeschützt) erhält Abfragen von einem Satz von Funktionen, um die einem Benutzer zugewiesenen Attribute (z. B. die E-Mail-Adresse), die Gruppen, denen ein Benutzer angehört und die Gruppen innerhalb des Speichers zu ermitteln. Der autorisierte Zugriff auf bestimmte Funktionen basiert auf der Gruppenmitgliedschaft (d. h. der Rolle) gemäß unten stehender Definition:

Geoportal Administrator: die Gruppenmitglieder haben uneingeschränkten Zugriff und das Recht zum Genehmigen von Metadatendokumenten.
Geoportal Publisher: die Gruppenmitglieder können Metadatendokumente veröffentlichen und Remote-Sites zu Harvesting-Zwecken registrieren.
Geoportal Registrierter Benutzer: die Gruppenmitglieder können Suchvorgänge und Karten für eine spätere Verwendung speichern.

Der Inhalt des Identitätsspeichers wird durch einen Satz von Funktionen bearbeitet. Diese Funktionen stehen in Beziehung zur Benutzerverwaltung und umfassen: die Möglichkeit zur Registrierung als Mitglied, die Benutzerprofilverwaltung (Bearbeitung von LDAP-Benutzerattributen, beispielsweise der E-Mail-Adresse), die Änderung des Kennwortes und die Vergabe eines neuen Kennwortes, wenn dieses vergessen wurde. Diese Funktionen können in der gpt.xml-Konfigurationsdatei deaktiviert werden, falls keine LDAP-Verbindung mit Schreibzugriff verfügbar oder gewünscht ist. Das Geoportal implementiert die LDAP-Kommunikation über eine erweiterbare Klasse, com.esri.Geoportal.framework.security.identity.ldap.LdapIdentityAdapter. Diese Klasse kann ggf. außer Kraft gesetzt werden, um ein benutzerdefiniertes Verhalten festzulegen. In den meisten Fällen jedoch kann eine Integration in das LDAP einer Organisation über den Abschnitt <identity> der Datei gpt.xml konfiguriert werden, ohne dass die Klassen geändert werden müssen.

Feedback zu diesem Thema?