Skip To Content

Sichern des Zugriffs durch LDAP und Clientzertifikatauthentifizierung

Sie können eine Clientzertifikatauthentifizierung per Public-Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf Ihre ArcGIS Enterprise-Organisation verwenden, wenn Benutzer über Lightweight Directory Access Protocol (LDAP) authentifiziert werden.

Um LDAP und PKI zu verwenden, müssen Sie die Clientzertifikatauthentifizierung mit ArcGIS Web Adaptor (Java Platform) einrichten, der auf einem Java-Anwendungsserver bereitgestellt wurde. ArcGIS Web Adaptor (IIS) kann nicht zur Clientzertifikatauthentifizierung mit LDAP herangezogen werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (Java Platform) mit Ihrem Portal.

Konfigurieren von LDAP für Ihre Organisation

Standardmäßig erzwingt die ArcGIS Enterprise-Organisation HTTPS für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:

  1. Melden Sie sich als Administrator bei der Website der Organisation an.

    Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.

  2. Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.

Aktualisieren des Identitätsspeichers des Portals

Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um LDAP-Benutzer und -Gruppen zu verwenden.

  1. Melden Sie sich als Administrator Ihrer Organisation bei ArcGIS Portal Directory an.

    Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Klicken Sie auf Security > Config > Update Identity Store.
  3. Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Alternativ können Sie das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword, ldapURLForUsers und userSearchAttribute ändern. Der Wert userSearchAttribute ist der Wert des Parameters Subject des PKI-Zertifikats. Wenn Ihre Organisation ein anderes Attribut im PKI-Zertifikat verwendet (z. B. eine E-Mail-Adresse), müssen Sie den Parameter userSearchAttribute aktualisieren, damit der Wert mit dem Parameter Subject im PKI-Zertifikat übereinstimmt. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf true fest.

  4. Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden LDAP-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Gruppenkonfigurationsinformationen Ihrer Organisation (im JSON-Format) wie unten gezeigt in das Textfeld Group store configuration (in JSON format) ein. Alternativ können Sie das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword, ldapURLForUsers, ldapURLForGroups und userSearchAttribute ändern. Der Wert userSearchAttribute ist der Wert des Parameters Subject des PKI-Zertifikats. Wenn Ihre Organisation ein anderes Attribut im PKI-Zertifikat verwendet (z. B. eine E-Mail-Adresse), müssen Sie den Parameter userSearchAttribute aktualisieren, damit der Wert mit dem Parameter Subject im PKI-Zertifikat übereinstimmt. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf true fest.

  5. Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.
  6. Wenn Sie ein Portal mit hoher Verfügbarkeit konfiguriert haben, starten Sie jeden Portal-Computer neu. Vollständige Anweisungen finden Sie unter Beenden und Starten des Portals.

Hinzufügen organisationsspezifischer Konten

Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden und Sie die unten genannten Schritte durchgeführt haben, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.

Konfigurieren von ArcGIS Web Adaptor für die Clientzertifikatauthentifizierung

Nach der Installation und Konfiguration von ArcGIS Web Adaptor (Java Platform) müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und eine PKI-basierte Clientzertifikatauthentifizierung für ArcGIS Web Adaptor konfigurieren. Weitere Anweisungen erhalten Sie von Ihrem Systemadministrator oder in der Produktdokumentation für Ihren Java-Anwendungsserver.

Hinweis:

Damit die Clientzertifikatauthentifizierung erfolgreich ist, muss TLS 1.3 auf dem Java-Anwendungsserver deaktiviert sein.

Überprüfen des Zugriffs mittels LDAP und Clientzertifikatauthentifizierung

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie mit LDAP und Clientzertifikatauthentifizierung auf das Portal zugreifen können:

  1. Öffnen Sie das ArcGIS Enterprise-Portal. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.Die URL hat das Format https://organization.example.com/<context>/home.
  2. Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.

Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.