Sie können den Zugriff auf das Portal mit Lightweight Directory Access Protocol (LDAP) sichern. Wenn Sie LDAP verwenden, werden Anmeldenamen über den LDAP-Server Ihrer Organisation verwaltet.
Um LDAP zu verwenden, können Sie die Authentifizierung auf Portal-Ebene oder Webebene mit ArcGIS Web Adaptor (Java Platform) einrichten, die für einen Java-Anwendungsserver bereitgestellt wird. ArcGIS Web Adaptor (IIS) kann nicht zur Authentifizierung auf Webebene mit LDAP herangezogen werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (Java Platform) mit Ihrem Portal.
Hinweis:
Wenn Sie Ihrem Portal eine ArcGIS Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS Server-Site mit dem Portal.
Konfigurieren von LDAP im Portal
Konfigurieren Sie zunächst das Portal für die Verwendung von HTTPS für die gesamte Kommunikation. Aktualisieren Sie als anschließend den Identitätsspeicher Ihres Portals, um LDAP-Benutzer und -Gruppen zu verwenden.
Konfigurieren des Portals für die Verwendung von HTTPS für die gesamte Kommunikation
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
- Klicken Sie auf der Seite Organisation auf Einstellungen bearbeiten > Sicherheit.
- Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
- Klicken Sie auf Speichern, um die Änderungen zu speichern.
Aktualisieren des Identitätsspeichers des Portals
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > Config > Update Identity Store.
- Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.
Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.
Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf true fest.
- Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword, ldapURLForUsers und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.
Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.
Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf true fest.
- Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.
- Wenn Sie ein Portal mit hoher Verfügbarkeit konfiguriert haben, starten Sie jeden Portal-Computer neu. Vollständige Anweisungen finden Sie unter Beenden und Starten des Portals.
Hinzufügen von Enterprise-Konten zu Ihrem Portal
Enterprise-Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die Enterprise-Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.
Fügen Sie Konten zu Ihrem Portal hinzu, indem Sie die folgenden Methoden verwenden:
- Portal for ArcGIS-Website (nacheinander, mehrere gleichzeitig aus einer CSV-Datei oder über vorhandene Enterprise-Gruppen)
- Python-Skript
- Befehlszeilendienstprogramm
- Automatisch
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Nachdem die Konten hinzugefügt und die nachfolgenden Schritte ausgeführt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.
Konfigurieren von ArcGIS Web Adaptor für die Verwendung der Authentifizierung auf Webebene.
Nach der Installation und Konfiguration von ArcGIS Web Adaptor (Java Platform) im Portal müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die Methode der Authentifizierung auf Webebene für ArcGIS Web Adaptor festlegen. Weitere Anweisungen erhalten Sie von Ihrem Systemadministrator, in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Esri Professional Services.
Überprüfen des Zugriffs auf das Portal mittels LDAP
- Öffnen Sie die Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
- Überprüfen Sie, ob Sie aufgefordert werden, Ihre Anmeldeinformationen für das Enterprise-Konto einzugeben. Wenn dieses Verhalten nicht auftritt, überprüfen Sie, ob das Enterprise-Konto, mit dem Sie sich bei dem Computer angemeldet haben, zu dem Portal hinzugefügt wurde.
Verhindern der Erstellung eigener integrierter Konten durch Benutzer
Um zu verhindern, dass Benutzer eigene integrierte Konten erstellen, deaktivieren Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.