Skip To Content

Verwenden des Portals mit LDAP oder Active Directory und Authentifizierung auf Portalebene

Sie können den Zugriff auf das Portal mit Lightweight Directory Access Protocol (LDAP) oder Windows Active Directory sichern. Wenn Sie LDAP verwenden, werden Anmeldenamen über den LDAP-Server Ihrer Organisation verwaltet. Bei Verwendung von Windows Active Directory werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Nachdem Sie den Identitätsspeicher für LDAP oder Active Directory aktualisiert haben, können Sie die Authentifizierung auf der Portal-Ebene konfigurieren.

Konfigurieren des Portals für die Verwendung von HTTPS für die gesamte Kommunikation

Konfigurieren Sie zunächst das Portal für die Verwendung von HTTPS für die gesamte Kommunikation.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Klicken Sie auf der Seite Organisation auf Einstellungen bearbeiten > Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers des Portals

Als Nächstes aktualisieren Sie den Identitätsspeicher Ihres Portals für die Verwendung von LDAP- oder Active Directory-Benutzern und -Gruppen.

Aktualisieren des Identitätsspeichers des Portals mit LDAP

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > Config > Update Identity Store.
  3. Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  4. Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "LDAP",  "properties": {
        "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "uid",    "caseSensitive": "false",    "userSearchAttribute": "uid",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  5. Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.

Aktualisieren des Identitätsspeichers mit Active Directory

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > Config > Update Identity Store.
  3. Fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "WINDOWS",  "properties": {
        "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "mydomain\\winaccount",    "userFullnameAttribute": "cn",    "userEmailAttribute": "mail",    "caseSensitive": "false"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das Konto, das Sie für den Benutzerparameter angeben, benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens des Windows-Kontos im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

    Legen Sie in dem seltenen Fall, dass in Windows Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option True fest.

  4. Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

  5. Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.

Optionales Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Es gibt zusätzliche Konfigurationsparameter für Identitätsspeicher, die mit der Administrations-API des ArcGIS-Portalverzeichnisses geändert werden können. Diese Parameter umfassen Optionen, mit denen beispielsweise eingeschränkt wird, ob Gruppen automatisch aktualisiert werden, wenn ein Enterprise-Benutzer sich beim Portal anmeldet, das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Konfigurieren der Authentifizierung auf Portal-Ebene

Nachdem Sie das Portal mit Ihrem Active Directory- oder LDAP-Identitätsspeicher konfiguriert haben, müssen Sie den anonymen Zugriff auf den Web Adaptor in IIS oder den Java-Anwendungsserver aktivieren. Wenn ein Benutzer auf die Anmeldeseite des Portals zugreift, kann er sich mit den Enterprise- oder den integrierten Anmeldedaten anmelden. Enterprise-Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Portal-Ressourcen, die für alle Benutzer freigegeben sind.

Überprüfen des Zugriffs auf das Portal mit Anmeldeinformationen

  1. Öffnen Sie die Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Melden Sie sich mit Ihren Anmeldeinformationen für das Enterprise-Konto an (z. B. mit der folgenden Syntax).

Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder Ihres Unternehmens mit der folgenden Syntax an:

  • Wenn Sie das Portal mit Ihrem Active Directory verwenden, kann die Syntax domain\username oder username@domain lauten. Der Benutzername wird unabhängig davon, wie Mitglieder sich anmelden, auf der Portal-Website stets als username@domain angezeigt.
  • Wenn Sie das Portal mit LDAP verwenden, lautet die Syntax immer username. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.

Hinzufügen von Enterprise-Konten zu Ihrem Portal

Enterprise-Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die Enterprise-Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zu Ihrem Portal hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.