Beschränken der Proxy-Funktion des Portals
In manchen Szenarien fungiert Portal for ArcGIS als Proxy-Server. Diese Funktion wird in den folgenden Situationen verwendet:
- Sie versuchen, auf eine Ressource in einer anderen Domäne als Ihrem Portal zuzugreifen, und Cross Origin Resource Sharing (CORS) wird nicht unterstützt. CORS ist eine Spezifikation, die Interaktionen zwischen einem Webserver und einem Webbrowser gestattet und feststellen kann, ob eine ursprungsübergreifende Anforderung zugelassen wird.
- Sie versuchen, eine gesicherte Ressource für andere Benutzer freizugeben, möchten aber die Benutzeranmeldeinformationen verbergen, die für den Zugriff auf die Ressource erforderlich sind.
Standardmäßig ist die Proxy-Funktion des Portals nicht beschränkt. Daher kann das Portal zum Starten von Denial-of-Service-(DoS-) oder Server Side Request Forgery (SSRF) Angriffen gegen Computer missbraucht werden, auf die der Portal-Computer zugreift. Um dieses Sicherheitsrisiko zu verringern, wird dringend empfohlen, die Proxy-Funktion des Portals durch Definition einer Liste genehmigter Webadressen zu beschränken. Portal for ArcGIS kann nur als Proxy für Anforderungen an die Adressen in der Liste verwendet werden, alle anderen Anforderungen werden blockiert. Wenn Sie ArcGIS Server mit Ihrem Portal verbunden haben, muss die Liste die Adressen aller GIS-Servercomputer der Site enthalten sowie alle Ressourcen, die im Portal als Element freigegeben sind.
Zum Definieren einer Liste genehmigter Adressen führen Sie die folgenden Schritte aus:
- Öffnen Sie einen Webbrowser, und melden Sie sich als Administrator Ihrer Organisation bei ArcGIS Portal Directory an. Die URL weist das Format https://webadaptor.domain.com/arcgis/portaladmin auf.
- Klicken Sie auf Sicherheit > Konfiguration > Aktualisieren der Sicherheitskonfiguration.
- Fügen Sie im Feld Konfiguration die Eigenschaft allowedProxyHosts hinzu, und geben Sie die Liste genehmigter Adressen an, zum Beispiel:
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false, "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
Hinweis:
Verwenden Sie das Format (.*).domain.com, um Proxy-Anforderungen an alle Computer in einer bestimmten Domäne zuzulassen. Verwenden Sie Platzhalter (*) mit Vorsicht. Unbefugte Benutzer könnten versehentlich Zugriff auf beschränkte Computer erhalten.
- Klicken Sie auf Konfiguration aktualisieren.