Zu den wichtigsten Erwägungen bei der Planung der Bereitstellung von ArcGIS Enterprise zählt die Entscheidung, wie Konten verwaltet werden sollen, die auf das Portal zugreifen, und mit welchen Berechtigungen diese Konten versehen werden sollen. Bei der Entscheidung über die Verwaltung der Konten geht es um die Wahl eines Identitätsspeichers.
Identitätsspeicher
Im Identitätsspeicher des Portals ist festgelegt, wo die Anmeldeinformationen für Ihre Portal-Konten gespeichert werden, wie die Authentifizierung erfolgt und wie die Gruppenmitgliedschaft verwaltet wird. Das ArcGIS Enterprise-Portal unterstützt zwei Typen von Identitätsspeichern: integrierte und Enterprise-Identitätsspeicher.
Integrierte Identitätsspeicher
Das ArcGIS Enterprise-Portal kann so konfiguriert werden dass Mitglieder in Ihrem Portal problemlos Konten und Gruppen erstellen können. Wenn diese Option aktiviert ist, können Sie über den Link Konto erstellen auf der Seite Anmelden der Portal-Website ein integriertes Konto zum Portal hinzufügen und Inhalte für die Organisation bereitstellen oder auf von anderen Mitgliedern erstellte Ressourcen zugreifen. Außerdem können Sie auf der Startseite der Portal-Website auf die Registerkarte Gruppen klicken und eine Gruppe erstellen, um Elemente zu verwalten. Auf diese Weise nutzen Sie bei der Konten- und Gruppenerstellung im Portal den integrierten Identitätsspeicher, über den die Authentifizierung durchgeführt wird und in dem die Benutzernamen, Kennwörter, Rollen und Gruppenmitgliedschaften der Portal-Konten gespeichert sind.
Zum Erstellen des initialen Administrator-Kontos für das Portal müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem Enterprise-Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen Enterprise-Identitätsspeicher.
Enterprise-Identitätsspeicher
Im ArcGIS Enterprise-Portal können Sie den Zugriff auf Ihre ArcGIS-Organisation mithilfe von Enterprise-Konten und -Gruppen steuern. Beispielsweise können Sie den Zugriff auf das Portal steuern, indem Sie die Anmeldeinformationen von Ihrem LDAP-Server (Lightweight Directory Access Protocol), Active Directory-Server oder Identity-Providern verwenden, die Single Sign-On mit Security Assertion Markup Language (SAML) 2.0 unterstützen. Dieser Vorgang wird in der gesamten Dokumentation als Einrichtung von Enterprise-Anmeldenamen beschrieben.
Der Vorteil dieses Vorgehens besteht darin, dass Sie keine zusätzlichen Konten im Portal erstellen müssen. Mitglieder verwenden die Anmeldeinformationen, die bereits im Enterprise-Identitätsspeicher eingerichtet sind. Die Verwaltung der Konto-Anmeldeinformationen erfolgt vollständig außerhalb des Portals. Dies ermöglicht eine Single-Sign-On-Erfahrung, sodass die Benutzer ihre Anmeldeinformationen nicht erneut eingeben müssen.
Entsprechend können Sie im Portal auch Gruppen erstellen, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Außerdem können mehrere Enterprise-Konten gleichzeitig über die Enterprise-Gruppen in Ihrer Organisation hinzugefügt werden. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Die Verwaltung der Gruppenmitgliedschaften erfolgt vollständig außerhalb des Portals.
Es wird beispielsweise empfohlen, den anonymen Zugriff auf Ihr Portal zu deaktivieren, Ihr Portal mit den gewünschten Enterprise-Gruppen in Ihrer Organisation zu verbinden und basierend auf diesen Gruppen die Enterprise-Konten hinzuzufügen. Auf diese Weise wird der Zugriff auf das Portal auf Grundlage bestimmter Enterprise-Gruppen in Ihrer Organisation eingeschränkt.
Verwenden Sie einen Enterprise-Identitätsspeicher, wenn Ihre Organisation beispielsweise Richtlinien für die Gültigkeit und den Aufbau von Kennwörtern, den Zugriff auf Daten mit vorhandenen Enterprise-Gruppen oder die Authentifizierung über Integrated Windows Authentication (IWA), oder eine Public Key-Infrastruktur (PKI) festlegen möchte. Die Authentifizierung kann auf Webebene (mit der Authentifizierung auf Webebene), auf Portal-Ebene (mit der Authentifizierung auf Portal-Ebene) oder über einen externen Identity-Provider (mit SAML) erfolgen.
Unterstützen mehrerer Identitätsspeicher
Mit SAML 2.0 können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Die Benutzer können sich mit integrierten Konten anmelden und mit Konten, die in mehreren SAML-kompatiblen Identity-Providern verwaltet werden, für die eine gegenseitige Vertrauensstellung konfiguriert wurde. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden. Vollständige Einzelheiten finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
Zugriffsberechtigungen
Nachdem Sie die Verwaltung von Konten in ArcGIS Enterprise festgelegt haben, müssen Sie entscheiden, mit welchen Berechtigungen Sie die Benutzer ausstatten möchten, die auf Ihre ArcGIS-Organisation zugreifen. Mit Berechtigungen legen Sie fest, ob der Benutzer, der auf das Portal zugreift, Teil der ArcGIS-Organisation sein soll.
Benutzer, die auf das Portal ohne ein ArcGIS-Organisationskonto zugreifen, können lediglich nach öffentlichen Elementen suchen und diese nutzen. Ist zum Beispiel eine öffentliche Webkarte in eine Website eingebettet, können Beobachter dieser Karte auf ein Element Ihres Portal zugreifen, auch wenn sie dort kein Konto haben. Es bleibt Ihnen überlassen, ob Sie diese Zugriffsart aktivieren möchten. Sie können den Zugriff für Personen, die noch nicht zur ArcGIS-Organisation gehören, jederzeit deaktivieren. Weitere Informationen hierzu finden Sie unter Deaktivieren des anonymen Zugriffs.
Benutzern, die Mitglied Ihrer ArcGIS-Organisation sind, können erweiterte Berechtigungen für den Portalzugriff gewährt werden. Die Mitglieder der ArcGIS-Organisation sind auf der Seite Organisation der Portal-Website aufgelistet. Mitglieder einer Organisation werden nach Benutzertypen organisiert, die verschiedenen Rollen mit unterschiedlichen Berechtigungen entsprechen. Weitere Informationen finden Sie unter Benutzertypen, Rollen und Berechtigungen.
Wenn Ihrem Portal ein neues ArcGIS-Organisationskonto hinzugefügt wird, erhält es die Benutzerrolle standardmäßig zugewiesen. Der Portal-Administrator kann die Rolle jedoch jederzeit ändern.
Verwalten von ArcGIS-Organisationskonten
Ein ArcGIS-Organisationskonto ist ein Benutzerkonto, das zum Organisationsbereich Ihrer Portal-Website hinzugefügt wurde. In der Dokumentation und Benutzerführung der Portal-Website werden diese Benutzer normalerweise als Mitglieder der Organisation bezeichnet.
Als Administrator müssen Sie nicht nur die volle Kontrolle über die den einzelnen Mitgliedern Ihrer ArcGIS-Organisation gewährten Berechtigungen haben, sondern auch darüber, wer ihr als Mitglied angehören darf.
Die maximale Anzahl von ArcGIS-Organisationskonten in Ihrem Portal ist in der Autorisierungsdatei festgelegt, die Sie zur Aktivierung der Software verwendet haben. Sie können die Gesamtanzahl der Mitglieder Ihrer Organisation und die maximal zulässige Anzahl jederzeit auf der Seite Organisation auf der Portal-Website vergleichen. Unter Mitglieder Gesamt, Aktuelle Anzahl wird die Anzahl der Portal-Mitglieder aufgeführt und Zulässige Höchstzahl zeigt die Gesamtzahl der Mitglieder an, für die das Portal autorisiert ist.
Verwalten von Konten mithilfe des integrierten Speichers
Bei Nutzung des integrierten Speichers können Sie die Portal-Website so konfigurieren, dass ein Link angezeigt wird, über den sich jeder Benutzer mit der ArcGIS-Organisation verbinden kann. Dies erleichtert zwar das Verbinden mit Ihrer Organisation, allerdings können Sie solche Verbindungen nicht wirklich einschränken; es kann also jeder, der über einen Zugang zum Portal verfügt, ein Konto erstellen. Wenn Sie mehr Kontrolle wünschen, können Sie diese Art der Selbstbedienung deaktivieren und den Zugriff auf das Portal für mehrere vordefinierte Konten auf einmal bereitstellen. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.
Verwalten von Konten mithilfe eines Enterprise-Identitätsspeichers
Im ArcGIS Enterprise-Portal können Sie Konten in Ihrem Enterprise-Speicher weder löschen, bearbeiten noch neu anlegen. Sie können jedoch vorhandene Enterprise-Konten in Ihrer Organisation registrieren. Aus diesem Grund ist die Anmeldeseite auf der Portal-Website nicht verfügbar, wenn Sie das Portal mit einem Enterprise-Identitätsspeicher konfigurieren.
Als Administrator wählen Sie für gewöhnlich die Enterprise-Anmeldedaten aus, die Sie zur Organisation hinzufügen möchten, und fügen sie dann alle zusammen hinzu. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.
Sie können aber auch jedes Enterprise-Konto, das eine Verbindung zum Portal oder seinen Elementen herstellt, automatisch hinzufügen. Weitere Informationen erhalten Sie unter Automatische Registrierung von Enterprise-Konten.
Es ist wichtig zu verstehen, dass der anonyme Zugang zur ArcGIS-Organisation deaktiviert ist, wenn ein Portal mit einem Enterprise-Identitätsspeicher konfiguriert ist; jeder Benutzer, der auf das Portal zugreift, muss sich zunächst im Enterprise-Speicher authentifizieren. Nach erfolgter Authentifizierung wird der Benutzer je nach Vorhandensein eines ArcGIS-Organisationskontos auf seinen Namen mit den entsprechenden Berechtigungen ausgestattet.
Ältere Versionen:
In Portal for ArcGIS 10.2 wurden Enterprise-Konten automatisch als Mitglieder der Organisation registriert. Das bedeutet, dass Ihre Organisation möglicherweise unbeabsichtigt die maximal zulässige Mitgliederzahl überschritten hat. Wenn Sie für Portal for ArcGIS ein Upgrade von der Version 10.2 auf eine höhere Version durchführen, behält es sein bisheriges Verhalten bei; die Konten werden nach wie vor automatisch registriert. Umgekehrt ist in einem neu installierten Portal for ArcGIS eine automatische Kontoerstellung nicht zulässig. Wenn Sie für Ihr Portal ein Upgrade von 10.2 auf eine höhere Version durchgeführt haben, bietet es sich an, dieses Verhalten abzuschalten, um mehr Kontrolle darüber zu haben, welche Benutzer als Mitglieder in der Organisation hinzugefügt werden. Eine vollständige Anleitung erhalten Sie unter Automatische Registrierung von Enterprise-Konten.
Richtlinie für Kontosperrung
Softwaresysteme erzwingen häufig eine Kontosperrungsrichtlinie zum Schutz gegen automatisierte Massenversuche, das Kennwort eines Benutzers zu erraten. Wenn ein Benutzer innerhalb eines bestimmten Zeitraums eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternimmt, sind eine gewisse Zeit lang keine weiteren Anmeldeversuche möglich. Diese Richtlinien stehen im Gegensatz zu der Tatsache, dass die Benutzer manchmal ihre Namen und Kennwörter vergessen und sich daher nicht erfolgreich anmelden können.
Die von Portal for ArcGIS erzwungene Sperrrichtlinie hängt davon ab, welchen Typ von Identitätsspeicher Sie verwenden:
Integrierte Identitätsspeicher
Vom integrierten Identitätsspeicher wird ein Benutzer nach fünf aufeinanderfolgenden ungültigen Anmeldeversuchen gesperrt. Die Sperre dauert 15 Minuten. Diese Richtlinie gilt für alle Konten im Identitätsspeicher, auch für das initiale Administrator-Konto. Diese Richtlinie kann nicht geändert oder ersetzt werden.
Enterprise-Identitätsspeicher
Wenn Sie einen Enterprise-Identitätsspeicher verwenden, wird die Kontosperrrichtlinie vom Speicher geerbt. Die Kontosperrrichtlinie für den Speicher können Sie möglicherweise ändern. In der Dokumentation zu dem betreffenden Speichertyp finden Sie Informationen zum Ändern der Kontosperrrichtlinie.