Schützen des Zugriffs auf das Portal mittels Windows Active Directory und PKI
In diesem Thema
- Konfigurieren des Portals mit Windows Active Directory
- Hinzufügen von Enterprise-Konten zu Ihrem Portal
- Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
- Konfigurieren Sie ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
- Überprüfen Sie mittels Windows Active Directory und PKI, ob Sie auf das Portal zugreifen können
- Verhindern der Erstellung eigener integrierter Konten durch Benutzer
Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Portal-Zugriffs verwenden, wenn Benutzer über Windows Active Directory authentifiziert werden.
Zur Verwendung der integrierten Windows-Authentifizierung und von PKI müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Mit ArcGIS Web Adaptor (Java Platform) kann keine integrierte Windows-Authentifizierung durchgeführt werden. Installieren und konfigurieren Sie ArcGIS Web Adaptor (IIS) im Portal, falls dies nicht bereits geschehen ist.
Hinweis:
Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und Windows Active Directory und PKI mit dem Server verwenden möchten, müssen Sie die PKI-basierte Clientzertifikatauthentifizierung auf der ArcGIS-Server-Site deaktivieren und den anonymen Zugriff aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die PKI-basierte Clientzertifikatauthentifizierung noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.
Konfigurieren des Portals mit Windows Active Directory
Konfigurieren Sie zunächst das Portal für die Verwendung von SSL für die gesamte Kommunikation. Aktualisieren Sie als anschließend den Identitätsspeicher Ihres Portals, um Windows Active Directory-Benutzer und -Gruppen zu verwenden.
Konfigurieren des Portals für die Verwendung von HTTPS für die gesamte Kommunikation
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
- Klicken Sie auf der Seite Organisation auf Einstellungen bearbeiten und dann auf Sicherheit.
- Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
- Klicken Sie auf Speichern, um die Änderungen zu speichern.
Aktualisieren des Identitätsspeichers des Portals
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > Config > Update Identity Store.
- Fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das Konto, das Sie für den Benutzerparameter angeben, benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens des Windows-Kontos im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.
Legen Sie in dem seltenen Fall, dass in Windows Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option True fest.
- Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.
- Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.
- Wenn Sie ein Portal mit hoher Verfügbarkeit konfiguriert haben, starten Sie jeden Portal-Computer neu. Vollständige Anweisungen finden Sie unter Beenden und Starten des Portals.
Hinzufügen von Enterprise-Konten zu Ihrem Portal
Enterprise-Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die Enterprise-Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.
Fügen Sie Konten zu Ihrem Portal hinzu, indem Sie die folgenden Methoden verwenden:
- Portal for ArcGIS-Website (nacheinander, mehrere gleichzeitig aus einer CSV-Datei oder über vorhandene Enterprise-Gruppen)
- Python-Skript
- Befehlszeilendienstprogramm
- Automatisch
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Nachdem die Konten hinzugefügt und die nachfolgenden Schritte ausgeführt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.
Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.
Installieren der Authentifizierung über Clientzertifikatzuordnung
Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.
Windows Server 2008/R2 und 2012/R2
- Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
- Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
- Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
- Wählen Sie auf der Seite Rollendienste auswählen im Assistenten Rollendienste hinzufügen den Eintrag Authentifizierung über Clientzertifikatzuordnung aus und klicken Sie auf Weiter.
- Klicken Sie auf Installieren.
Windows 7, 8 und 8.1
- Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
- Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
- Klicken Sie auf OK.
Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, aktivieren Sie die Funktion, indem Sie die folgenden Schritte ausführen.
- Starten Sie Internetinformationsdienste-Manager.
- Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird. Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
- Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.
Es erscheint eine Meldung, dass für die Verwendung von " Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.
Konfigurieren Sie ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
- Starten Sie Internetinformationsdienste-Manager.
- Erweitern Sie die Knoten Verbindungen, und wählen Sie die Web Adaptor-Site aus.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Deaktivieren Sie alle Formen der Authentifizierung.
- Wählen Sie ArcGIS Web Adapter erneut aus der Liste Verbindungen aus.
- Doppelklicken Sie auf SSL-Einstellungen.
- Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
Überprüfen Sie mittels Windows Active Directory und PKI, ob Sie auf das Portal zugreifen können
- Öffnen Sie die Portal-Website. Die URL hat das Format https://webadaptor.domain.com/arcgis/home.
- Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.
Verhindern der Erstellung eigener integrierter Konten durch Benutzer
Um zu verhindern, dass Benutzer eigene integrierte Konten erstellen, deaktivieren Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.