Skip To Content

Verwenden des Portals mit LDAP und Authentifizierung auf Portalebene

Sie können den Zugriff auf das Portal mit Lightweight Directory Access Protocol (LDAP) sichern. Wenn Sie LDAP verwenden, werden Anmeldenamen über den LDAP-Server Ihrer Organisation verwaltet. Nachdem Sie den Identitätsspeicher für LDAP aktualisiert haben, können Sie die Authentifizierung auf der Portal-Ebene konfigurieren.

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

ArcGIS Enterprise erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie die Organisation neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Klicken Sie auf der Seite Organisation auf die Registerkarte Einstellungen und dann auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers der Organisation

Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um LDAP-Benutzer und -Gruppen zu verwenden.

Aktualisieren des Identitätsspeichers mit LDAP

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS Enterprise-Administratorverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > Configuration > Update Identity Store.
  3. Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL wie folgt aus:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identity Store (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  4. Um im Portal Gruppen zu erstellen, für die die bestehenden LDAP-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identity Store (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  5. Klicken Sie auf Update Identity Store, um die Änderungen zu speichern.

Optionales Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Es gibt zusätzliche Konfigurationsparameter für Identitätsspeicher, die mit der API des ArcGIS Enterprise-Administratorverzeichnisses geändert werden können. Diese Parameter umfassen Optionen, mit denen beispielsweise eingeschränkt wird, ob Gruppen automatisch aktualisiert werden, wenn ein organisationsspezifischer Benutzer sich beim Portal anmeldet, das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Konfigurieren der Authentifizierung auf Portal-Ebene

Nachdem Sie das Portal mit dem LDAP-Identitätsspeicher konfiguriert haben, müssen Sie den anonymen Zugriff über Web Adaptor auf dem Java-Anwendungsserver aktivieren. Wenn ein Benutzer auf die Anmeldeseite der Organisation zugreift, kann er sich mit den organisationsspezifischen oder den integrierten Anmeldedaten anmelden. Organisationsspezifische Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Organisationsressourcen, die für alle Benutzer freigegeben sind.

Überprüfen des Zugriffs auf das Portal mit Anmeldeinformationen

  1. Öffnen Sie das ArcGIS Enterprise-Portal. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Melden Sie sich mit Ihren Anmeldeinformationen für das organisationsspezifische Konto an (z. B. mit der folgenden Syntax).

Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder mit einer Syntax an, die von dem in der Benutzerspeicherkonfiguration angegebenen Parameter usernameAtrribute abhängt. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.

    Hinzufügen organisationsspezifischer Konten zum Portal

    Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

    Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

    Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle "Benutzer" zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

    Nachdem die Konten hinzugefügt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.