Skip To Content

Verwenden des Portals mit LDAP und Authentifizierung auf Portalebene

Sie können den Zugriff auf das Portal mit Lightweight Directory Access Protocol (LDAP) sichern. Wenn Sie LDAP verwenden, werden Anmeldenamen über den LDAP-Server Ihrer Organisation verwaltet. Nachdem Sie den Identitätsspeicher für LDAP aktualisiert haben, können Sie die Authentifizierung auf der Portal-Ebene konfigurieren.

Konfigurieren des Portals für die Verwendung von HTTPS für die gesamte Kommunikation

Portal for ArcGIS erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Klicken Sie auf der Seite Organisation auf die Registerkarte Einstellungen und dann auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers des Portals

Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um LDAP-Benutzer und -Gruppen zu verwenden.

Aktualisieren des Identitätsspeichers des Portals mit LDAP

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > Config > Update Identity Store.
  3. Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  4. Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  5. Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.

Optionales Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Es gibt zusätzliche Konfigurationsparameter für Identitätsspeicher, die mit der Administrations-API des ArcGIS-Portalverzeichnisses geändert werden können. Diese Parameter umfassen Optionen, mit denen beispielsweise eingeschränkt wird, ob Gruppen automatisch aktualisiert werden, wenn ein Enterprise-Benutzer sich beim Portal anmeldet, das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Konfigurieren der Authentifizierung auf Portal-Ebene

Nachdem Sie das Portal mit dem LDAP-Identitätsspeicher konfiguriert haben, müssen Sie den anonymen Zugriff über Web Adaptor auf dem Java-Anwendungsserver aktivieren. Wenn ein Benutzer auf die Anmeldeseite des Portals zugreift, kann er sich mit den Enterprise- oder den integrierten Anmeldedaten anmelden. Enterprise-Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Portal-Ressourcen, die für alle Benutzer freigegeben sind.

Überprüfen des Zugriffs auf das Portal mit Anmeldeinformationen

  1. Öffnen Sie die Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Melden Sie sich mit Ihren Anmeldeinformationen für das Enterprise-Konto an (z. B. mit der folgenden Syntax).

Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder Ihres Unternehmens mit der folgenden Syntax an:

  • Bei Verwendung des Portals mit LDAP hängt die Syntax von dem in der Benutzerspeicherkonfiguration angegebenen Parameter usernameAtrribute ab. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.

Hinzufügen von Enterprise-Konten zu Ihrem Portal

Enterprise-Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die Enterprise-Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zu Ihrem Portal hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle "Benutzer" zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.