Der primäre Faktor, anhand dessen Sie bestimmen, wie die Sicherheit in der ArcGIS Enterprise-Organisation konfiguriert wird, ist die Quelle der Benutzer und optional der Gruppen. Diese Benutzer- und Gruppenquelle wird als Identitätsspeicher bezeichnet. Benutzer und Gruppen in oder außerhalb Ihrer Organisation werden über den Identitätsspeicher verwaltet.
- Identitätsspeicher
- Konfigurieren integrierter Benutzer über den Identitätsspeicher des Portals
- Konfigurieren organisationsspezifischer Anmeldenamen über die Authentifizierung auf Webebene
- Konfigurieren organisationsspezifischer Anmeldenamen über SAML
Identitätsspeicher
Im Identitätsspeicher der Organisation ist festgelegt, wo die Anmeldeinformationen für Ihre Portal-Konten gespeichert werden, wie die Authentifizierung erfolgt und wie die Gruppenmitgliedschaft verwaltet wird. Die ArcGIS Enterprise-Organisation unterstützt zwei Typen von Identitätsspeichern: integrierte und organisationsspezifische Identitätsspeicher.
Integrierte Identitätsspeicher
Das ArcGIS Enterprise-Portal kann so konfiguriert werden, dass Mitglieder in Ihrem Portal Konten und Gruppen erstellen können. Wenn diese Option aktiviert ist, können Sie über den Link Konto erstellen auf der Seite Anmelden der Portal-Website ein integriertes Konto zum Portal hinzufügen und Inhalte für die Organisation bereitstellen oder auf von anderen Mitgliedern erstellte Ressourcen zugreifen. Auf diese Weise nutzen Sie bei der Konten- und Gruppenerstellung im Portal den integrierten Identitätsspeicher, über den die Authentifizierung durchgeführt wird und in dem die Benutzernamen, Kennwörter, Rollen und Gruppenmitgliedschaften der Portal-Konten gespeichert sind.
Zum Erstellen des initialen Administrator-Kontos für die Organisation müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem organisationsspezifischen Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen organisationsspezifischen Identitätsspeicher.
Hinweis:
Wenn Sie einen organisationsspezifischen auf einen integrierten Identitätsspeicher zurücksetzen möchten, können Sie auf der Seite Update Identity Store im Administratorverzeichnis des Portals beliebige Informationen in den Textfeldern User store configuration und Group store configuration löschen. Weitere Informationen finden Sie in der ArcGIS-REST-API-Dokumentation.
Organisationsspezifischer Identitätsspeicher
In ArcGIS Enterprise können Sie den Zugriff auf Ihre ArcGIS-Organisation mithilfe von organisationsspezifischen Konten und Gruppen steuern. Beispielsweise können Sie den Zugriff auf das Portal steuern, indem Sie die Anmeldeinformationen von Ihrem LDAP-Server (Lightweight Directory Access Protocol), Active Directory-Server oder Identity-Providern verwenden, die Single Sign-On mit Security Assertion Markup Language (SAML) 2.0 Webbrowser unterstützen. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von organisationsspezifischen Anmeldenamen" beschrieben.
Der Vorteil dieses Vorgehens besteht darin, dass Sie keine zusätzlichen Konten im Portal erstellen müssen. Mitglieder verwenden die Anmeldeinformationen, die bereits im organisationsspezifischen Identitätsspeicher eingerichtet sind. Die Verwaltung der Konto-Anmeldeinformationen, einschließlich der Richtlinien für den Aufbau und die Gültigkeit von Kennwörtern, erfolgt vollständig außerhalb des Portals. Dies ermöglicht eine Single-Sign-On-Methode, sodass die Benutzer ihre Anmeldeinformationen nicht erneut eingeben müssen.
Entsprechend können Sie im Portal auch Gruppen erstellen, die die bestehenden Active Directory-, LDAP- oder SAML-Gruppen Ihres Identitätsspeichers nutzen. Außerdem können mehrere organisationsspezifische Konten gleichzeitig über die Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation hinzugefügt werden. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Active Directory-, LDAP- oder SAML-Gruppe definiert sind. Die Verwaltung der Gruppenmitgliedschaften erfolgt vollständig außerhalb des Portals.
Es wird beispielsweise empfohlen, den anonymen Zugriff auf Ihr Portal zu deaktivieren, Ihr Portal mit den gewünschten Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation zu verbinden und basierend auf diesen Gruppen die organisationsspezifischen Konten hinzuzufügen. Auf diese Weise wird der Zugriff auf das Portal auf Grundlage bestimmter Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation eingeschränkt.
Verwenden Sie einen organisationsspezifischen Identitätsspeicher, wenn Ihre Organisation beispielsweise Richtlinien für die Gültigkeit und den Aufbau von Kennwörtern, den Zugriff auf Daten mittels vorhandener Active Directory-, LDAP- oder SAML-Gruppen oder die Authentifizierung über Integrated Windows Authentication (IWA) oder eine Clientzertifikatauthentifizierung per Public-Key-Infrastruktur (PKI) festlegen möchte. Die Authentifizierung kann auf Webebene (mit der Authentifizierung auf Webebene), auf Portal-Ebene (mit der Authentifizierung auf Portal-Ebene) oder über einen externen Identity-Provider (mit SAML) erfolgen.
Unter Verwendung eines Active Directory-Identitätsspeichers unterstützt ArcGIS Enterprise die Authentifizierung aus mehreren Domänen mit einer einzelnen Gesamtstruktur, stellt jedoch keine gesamtstrukturübergreifende Authentifizierung bereit. Für die Unterstützung von organisationsspezifischen Benutzern aus mehreren Gesamtstrukturen ist ein SAML-Identity-Provider erforderlich.
Unterstützen mehrerer Identitätsspeicher
Mit SAML 2.0 können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Die Benutzer können sich mit integrierten Konten anmelden und mit Konten, die in mehreren SAML-kompatiblen Identity-Providern verwaltet werden, für die eine gegenseitige Vertrauensstellung konfiguriert wurde. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden. Einzelheiten finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
Konfigurieren integrierter Benutzer und Gruppen über den Identitätsspeicher des Portals
Es sind keine Aktionen erforderlich, um das Portal beim Verwenden integrierter Benutzer und Gruppen zu konfigurieren. Das Portal kann nach der Installation der Software sofort von integrierten Benutzern und Gruppen verwendet werden. Wenn organisationsspezifische Benutzer vorhanden sind, finden Sie weitere Informationen in den folgenden Abschnitten und unter den zugehörigen Links.
Konfigurieren organisationsspezifischer Anmeldenamen
Für das Portal können die folgenden organisationsspezifische Identity-Provider konfiguriert werden. Die Authentifizierung kann entweder auf Webebene (mit ArcGIS Web Adaptor) oder auf Portalebene erfolgen.
Authentifizierung auf Webebene
Wenn das Portal auf einem Windows-Server ausgeführt wird und Sie Windows Active Directory konfiguriert haben, können Sie mit der integrierten Windows-Authentifizierung eine Verbindung mit dem Portal herstellen. Dies ermöglicht eine automatische oder Single-Sign-On-Methode für Benutzer des Portals per Authentifizierung auf Webebene. Zur Verwendung der Windows-Authentifizierung muss Web Adaptor für den Microsoft IIS-Webserver bereitgestellt werden.
Wenn bereits ein LDAP-Verzeichnis vorhanden ist, können Sie dieses mit dem ArcGIS Enterprise-Portal verwenden. Weitere Informationen finden Sie unter Verwenden des Portals mit LDAP und Authentifizierung auf Webebene. Um LDAP zu verwenden, stellen Sie Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereit.
Wenn Ihre Organisation über eine PKI-basierte Clientzertifikatauthentifizierung verfügt, kann die Kommunikation mit dem Portal über HTTPS durch Zertifikate authentifiziert werden. Zur Authentifizierung von Benutzern stehen Windows Active Directory oder Lightweight Directory Access Protocol (LDAP) als Optionen zur Verfügung. Zur Verwendung der Windows-Authentifizierung muss Web Adaptor für den Microsoft IIS-Webserver bereitgestellt werden. Um LDAP zu verwenden, muss Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereitgestellt werden. Bei Verwendung einer Clientzertifikatauthentifizierung kann kein anonymer Zugriff auf das Portal gewährt werden.
Authentifizierung auf Portalebene
Wenn Sie den Zugriff auf Ihr Portal mit organisationsspezifischen und integrierten Identitätsspeichern ohne SAML gewähren möchten, können Sie die Authentifizierung auf Portal-Ebene verwenden. Dazu wird das Portal mit dem Active Directory- oder LDAP-Identitätsspeicher konfiguriert und der anonyme Zugriff in IIS oder auf dem Java-Anwendungsserver aktiviert. Wenn ein Benutzer auf die Anmeldeseite des Portals zugreift, kann er sich mit den organisationsspezifischen oder den integrierten Anmeldedaten anmelden. Organisationsspezifische Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Portal-Ressourcen, die für alle Benutzer freigegeben sind.
Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder mit der folgenden Syntax an:
- Wenn Sie das Portal mit Ihrem Active Directory verwenden, kann die Syntax domain\username oder username@domain lauten. Der Benutzername wird unabhängig davon, wie Mitglieder sich anmelden, auf der Portal-Website stets als username@domain angezeigt.
- Wenn Sie das Portal mit LDAP verwenden, lautet die Syntax immer username. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.
Konfigurieren organisationsspezifischer Anmeldenamen über SAML
Das ArcGIS Enterprise-Portal unterstützt alle SAML-kompatiblen Identity-Provider. Weitere Informationen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
Richtlinie für Kontosperrung
Softwaresysteme erzwingen häufig eine Kontosperrungsrichtlinie zum Schutz gegen automatisierte Massenversuche, das Kennwort eines Benutzers zu erraten. Wenn ein Benutzer innerhalb eines bestimmten Zeitraums eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternimmt, sind eine gewisse Zeit lang keine weiteren Anmeldeversuche möglich. Diese Richtlinien stehen im Gegensatz zu der Tatsache, dass die Benutzer manchmal ihre Namen und Kennwörter vergessen und sich daher nicht erfolgreich anmelden können.
Die erzwungene Portal-Sperrrichtlinie hängt davon ab, welchen Typ von Identitätsspeicher Sie verwenden:
Integrierte Identitätsspeicher
Vom integrierten Identitätsspeicher wird ein Benutzer nach fünf aufeinanderfolgenden ungültigen Anmeldeversuchen gesperrt. Die Sperre dauert 15 Minuten. Diese Richtlinie gilt für alle Konten im Identitätsspeicher, auch für das initiale Administrator-Konto. Diese Richtlinie kann nicht geändert oder ersetzt werden.
Organisationsspezifischer Identitätsspeicher
Wenn Sie einen organisationsspezifischen Identitätsspeicher verwenden, wird die Kontosperrrichtlinie vom Speicher geerbt. Die Kontosperrrichtlinie für den Speicher können Sie möglicherweise ändern. In der Dokumentation zu dem betreffenden Speichertyp finden Sie Informationen zum Ändern der Kontosperrrichtlinie.
Überwachen fehlgeschlagener Anmeldeversuche
Fehlgeschlagene Anmeldeversuche können überwacht werden, indem die Portalprotokolle im Portalverzeichnis eingesehen werden. Fehlgeschlagene Versuche lösen Warnmeldungen aus, die besagen, dass die Anmeldung des Benutzers aufgrund einer ungültigen Kombination aus Benutzername und Kennwort nicht durchgeführt werden konnte. Wenn der Benutzer die Höchstanzahl der Anmeldeversuche überschreitet, wird eine schwerwiegende Warnmeldung protokolliert, die besagt, dass das Konto gesperrt wurde. Das Überwachen der Portal-Protokolle im Hinblick auf fehlgeschlagene Anmeldeversuche kann Ihnen dabei helfen, festzustellen, ob ein potenzieller Kennwortangriff auf Ihr System erfolgt.
Weitere Informationen finden Sie unter Arbeiten mit Portal-Protokollen.