In manchen Szenarien fungiert Portal for ArcGIS als Proxy-Server. Diese Funktion wird in den folgenden Situationen verwendet:
- Sie versuchen, auf eine Ressource in einer anderen Domäne als Ihrem Portal zuzugreifen, und Cross Origin Resource Sharing (CORS) wird nicht unterstützt. CORS ist eine Spezifikation, die Interaktionen zwischen einem Webserver und einem Webbrowser und die Bestimmung gestattet, ob eine ursprungsübergreifende Anforderung zugelassen wird.
- Sie versuchen, eine gesicherte Ressource für andere Benutzer freizugeben, möchten aber die Benutzeranmeldeinformationen verbergen, die für den Zugriff auf die Ressource erforderlich sind.
Standardmäßig ist die Proxy-Funktion des Portals nicht beschränkt. Daher kann das Portal zum Starten von Denial-of-Service-(DoS-) oder serverseitigen Anfragenfälschungs-Angriffen (SSRF) gegen Computer missbraucht werden, auf die der Portal-Computer zugreift. Um dieses Sicherheitsrisiko zu verringern, wird dringend empfohlen, die Proxy-Funktion des Portals durch Definition einer Liste genehmigter Webadressen zu beschränken. Portal for ArcGIS kann nur als Proxy für Anforderungen an die Adressen in der Liste verwendet werden, alle anderen Anforderungen werden blockiert. Wenn Sie ArcGIS Server mit Ihrem Portal verbunden haben, muss die Liste die Adressen aller Computer der Site enthalten sowie alle Ressourcen, die im Portal als Element freigegeben sind.
Zum Definieren einer Liste genehmigter Adressen führen Sie die folgenden Schritte aus:
- Öffnen Sie einen Webbrowser, und melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL weist das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin auf.
- Klicken Sie auf Sicherheit > Konfiguration > Aktualisieren der Sicherheitskonfiguration.
- Fügen Sie im Feld Konfiguration die Eigenschaft allowedProxyHosts hinzu, und geben Sie die Liste genehmigter Adressen an, zum Beispiel:
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false, "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
Hinweis:
Verwenden Sie das Format (.*).domain.com, um Proxy-Anforderungen an alle Computer in einer bestimmten Domäne zuzulassen. Verwenden Sie Platzhalter (*) mit Vorsicht. Dadurch können unbefugte Benutzer versehentlich Zugriff auf beschränkte Computer erhalten.
- Klicken Sie auf Konfiguration aktualisieren.