Konfigurieren der Portal-Authentifizierung
In diesem Thema
- Identitätsspeicher
- Konfigurieren integrierter Benutzer und Gruppen über den Identitätsspeicher des Portals
- Konfigurieren von Enterprise-Anmeldenamen
- Konfigurieren von Enterprise-Anmeldenamen mit SAML
- Richtlinie für Kontosperrung
- Überwachen fehlgeschlagener Anmeldeversuche
Der primäre Faktor, anhand dessen Sie bestimmen, wie die Sicherheit in der Portal for ArcGIS-Bereitstellung konfiguriert wird, ist die Quelle der Benutzer und optional der Gruppen für das Portal. Diese Benutzer- und Gruppenquelle wird als Identitätsspeicher bezeichnet. Benutzer und Gruppen in oder außerhalb Ihrer Organisation werden über den Identitätsspeicher verwaltet.
- Identitätsspeicher
- Konfigurieren integrierter Benutzer über den Identitätsspeicher des Portals
- Konfigurieren der Enterprise-Anmeldenamen über die Authentifizierung auf Webebene
- Konfigurieren von Enterprise-Anmeldenamen mit SAML
Identitätsspeicher
Im Identitätsspeicher des Portals ist festgelegt, wo die Anmeldeinformationen für Ihre Portalkonten gespeichert werden, wie die Authentifizierung erfolgt und wie die Gruppenmitgliedschaft verwaltet wird. Portal for ArcGIS unterstützt zwei Typen von Identitätsspeichern: integrierte und Enterprise-Identitätsspeicher.
Integrierte Identitätsspeicher
Portal for ArcGIS ist vorkonfiguriert, sodass Sie Konten und Gruppen in Ihrem Portal problemlos erstellen können. Über den Link Konto erstellen auf der Startseite der Portal-Website können Sie ein integriertes Konto zum Portal hinzufügen und Inhalte für die Organisation bereitstellen oder auf von anderen Mitgliedern erstellte Ressourcen zugreifen. Außerdem können Sie auf der Startseite der Portal-Website auf die Registerkarte Gruppen klicken und eine Gruppe erstellen, um Elemente zu verwalten. Auf diese Weise nutzen Sie bei der Konten- und Gruppenerstellung im Portal den integrierten Identitätsspeicher, über den die Authentifizierung durchgeführt wird und in dem die Benutzernamen, Kennwörter, Rollen und Gruppenmitgliedschaften der Portal-Konten gespeichert sind.
Zum Erstellen des initialen Administrator-Kontos für das Portal müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem Enterprise-Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen Enterprise-Identitätsspeicher.
Enterprise-Identitätsspeicher
In Portal for ArcGIS können Sie Enterprise-Konten und -Gruppen zur Steuerung des Zugriffs auf Ihre ArcGIS-Organisation verwenden. Beispielsweise können Sie den Zugriff auf das Portal steuern, indem Sie die Anmeldeinformationen von Ihrem LDAP-Server (Lightweight Directory Access Protocol) oder Identity-Providern verwenden, die Single Sign-On mit Security Assertion Markup Language (SAML) 2.0 unterstützen. Dieser Vorgang wird in der gesamten Dokumentation als Einrichtung von Enterprise-Anmeldenamen beschrieben.
Der Vorteil dieses Vorgehens besteht darin, dass Sie keine zusätzlichen Konten im Portal erstellen müssen. Mitglieder verwenden die Anmeldeinformationen, die bereits im Enterprise-Identitätsspeicher eingerichtet sind. Die Verwaltung der Konto-Anmeldeinformationen erfolgt vollständig außerhalb von Portal for ArcGIS. Die ermöglicht eine Single-Sign-On-Methode, sodass die Benutzer ihre Anmeldeinformationen nicht erneut eingeben müssen.
Entsprechend können Sie im Portal auch Gruppen erstellen, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Außerdem können mehrere Enterprise-Konten gleichzeitig über die Enterprise-Gruppen in Ihrer Organisation hinzugefügt werden. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Die Verwaltung der Gruppenmitgliedschaften erfolgt vollständig außerhalb von Portal for ArcGIS.
Es wird beispielsweise empfohlen, den anonymen Zugriff auf Ihr Portal zu deaktivieren, Ihr Portal mit den gewünschten Enterprise-Gruppen in Ihrer Organisation zu verbinden und basierend auf diesen Gruppen die Enterprise-Konten hinzuzufügen. Auf diese Weise wird der Zugriff auf das Portal auf Grundlage bestimmter Enterprise-Gruppen in Ihrer Organisation eingeschränkt.
Verwenden Sie einen Enterprise-Identitätsspeicher, wenn Ihre Organisation beispielsweise Richtlinien für die Gültigkeit und den Aufbau von Kennwörtern, den Zugriff auf Daten mit vorhandenen Enterprise-Gruppen oder die Authentifizierung über , LDAP oder eine Public Key-Infrastruktur (PKI) festlegen möchte. Die Authentifizierung kann auf Webebene (mit der Authentifizierung auf Webebene), auf Portal-Ebene (mit der Authentifizierung auf Portal-Ebene) oder über einen externen Identity-Provider (mit SAML) erfolgen.
Unterstützen mehrerer Identitätsspeicher
Mit SAML 2.0 können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Die Benutzer können sich mit integrierten Konten anmelden und mit Konten, die in mehreren SAML-kompatiblen Identity-Providern verwaltet werden, für die eine gegenseitige Vertrauensstellung konfiguriert wurde. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden. Vollständige Einzelheiten finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
Konfigurieren integrierter Benutzer und Gruppen über den Identitätsspeicher des Portals
Es sind keine Aktionen erforderlich, um das Portal beim Verwenden integrierter Benutzer und Gruppen zu konfigurieren. Das Portal kann nach der Installation der Software sofort von integrierten Benutzern und Gruppen verwendet werden. Wenn Enterprise-Benutzer vorhanden sind, finden Sie weitere Informationen in den folgenden Abschnitten und unter den zugehörigen Links.
Konfigurieren von Enterprise-Anmeldenamen
Für das Portal können die folgenden Enterprise-Identity-Provider konfiguriert werden. Die Authentifizierung kann entweder auf Webebene (mit ArcGIS Web Adaptor) oder auf Portalebene erfolgen.
Authentifizierung auf Webebene
Wenn Sie über ein LDAP-Verzeichnis verfügen, können Sie dieses mit Portal for ArcGIS verwenden. Weitere Informationen finden Sie unter Verwenden des Portals mit LDAP und Authentifizierung auf Webebene. Wenn Sie LDAP verwenden möchten, stellen Sie Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereit.
Wenn Ihre Organisation über eine PKI verfügt, können Sie die Kommunikation mit dem Portal über das Secure Socket Layer (SSL)-Protokoll durch Zertifikate authentifizieren. Bei Verwendung einer PKI kann kein anonymer Zugriff auf das Portal gewährt werden. Weitere Informationen finden Sie unter Schützen des Zugriffs auf das Portal mittels LDAP und PKI.
Authentifizierung auf Portalebene
Wenn Sie den Zugriff auf Ihr Portal mit Enterprise- und integrierten Identitätsspeichern ohne SAML gewähren möchten, können Sie die Authentifizierung auf Portal-Ebene verwenden. Dies erfolgt, indem das Portal mit dem LDAP-Identitätsspeicher konfiguriert und anschließend der anonyme Zugriff auf dem Java-Anwendungsserver aktiviert wird. Wenn ein Benutzer auf die Anmeldeseite des Portals zugreift, kann er sich mit den Enterprise- oder den integrierten Anmeldedaten anmelden. Enterprise-Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Portal-Ressourcen, die für alle Benutzer freigegeben sind.
Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder Ihres Unternehmens mit der folgenden Syntax an:
- Wenn Sie das Portal mit Ihrem Active Directory verwenden, kann die Syntax domain\username oder username@domain lauten. Der Benutzername wird unabhängig davon, wie Mitglieder sich anmelden, auf der Portal-Website stets als username@domain angezeigt.
- Wenn Sie das Portal mit LDAP verwenden, lautet die Syntax immer username. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.
Konfigurieren von Enterprise-Anmeldenamen mit SAML
Die folgenden SAML-kompatiblen Identity Provider wurden für die Verwendung mit Portal for ArcGIS zertifiziert. Weitere Informationen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
Richtlinie für Kontosperrung
Softwaresysteme erzwingen häufig eine Kontosperrungsrichtlinie zum Schutz gegen automatisierte Massenversuche, das Kennwort eines Benutzers zu erraten. Wenn ein Benutzer innerhalb eines bestimmten Zeitraums eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternimmt, sind eine gewisse Zeit lang keine weiteren Anmeldeversuche möglich. Diese Richtlinien stehen im Gegensatz zu der Tatsache, dass die Benutzer manchmal ihre Namen und Kennwörter vergessen und sich daher nicht erfolgreich anmelden können.
Die von Portal for ArcGIS erzwungene Sperrrichtlinie hängt davon ab, welchen Typ von Identitätsspeicher Sie verwenden:
Integrierte Identitätsspeicher
Der integrierte Identitätsspeicher sperrt einen Benutzer nach zehn aufeinanderfolgenden, ungültigen Anmeldeversuchen. Die Sperre dauert zehn Minuten. Diese Richtlinie gilt für alle Konten im Identitätsspeicher, auch für das initiale Administrator-Konto. Diese Richtlinie kann nicht geändert oder ersetzt werden.
Enterprise-Identitätsspeicher
Wenn Sie einen Enterprise-Identitätsspeicher verwenden, wird die Kontosperrrichtlinie vom Speicher geerbt. Die Kontosperrrichtlinie für den Speicher können Sie möglicherweise ändern. In der Dokumentation zu dem betreffenden Speichertyp finden Sie Informationen zum Ändern der Kontosperrrichtlinie.
Überwachen fehlgeschlagener Anmeldeversuche
Fehlgeschlagene Anmeldeversuche können überwacht werden, indem die Portalprotokolle im ArcGIS Portal Directory eingesehen werden. Fehlgeschlagene Versuche lösen Warnmeldungen aus, die besagen, dass die Anmeldung des Benutzers aufgrund einer ungültigen Kombination aus Benutzername und Kennwort nicht durchgeführt werden konnte. Wenn der Benutzer die Höchstanzahl der Anmeldeversuche überschreitet, wird eine schwerwiegende Warnmeldung protokolliert, die besagt, dass das Konto gesperrt wurde. Das Überwachen der Portal-Protokolle im Hinblick auf fehlgeschlagene Anmeldeversuche kann Ihnen dabei helfen, zu erkennen, ob ein potenzieller Kennwortangriff auf Ihr System erfolgt.
Weitere Informationen finden Sie unter Arbeiten mit Portal-Protokollen.