Skip To Content

Verwenden der integrierten Windows-Authentifizierung im Portal

Sie können den Zugriff auf das Portal mithilfe der integrierten Windows-Authentifizierung (IWA) sichern. Bei Verwendung von IWA werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Benutzer melden sich nicht bei der Portal-Website an und ab. Wenn sie die Website öffnen, werden sie stattdessen mit demselben Konto angemeldet, mit dem sie sich bei Windows anmelden.

Sehen Sie dazu ein Video an.

Zur Verwendung der integrierten Windows-Authentifizierung müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Mit ArcGIS Web Adaptor (Java Platform) kann keine integrierte Windows-Authentifizierung durchgeführt werden. Installieren und konfigurieren Sie ArcGIS Web Adaptor (IIS) im Portal, falls dies nicht bereits geschehen ist.

Hinweis:

Wenn Sie Ihrem Portal eine ArcGIS Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS Server-Site mit dem Portal.

Konfigurieren des Portals für Windows Active Directory

Portal for ArcGIS erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

Hinweis:

Unter Verwendung eines Active Directory-Identitätsspeichers unterstützt ArcGIS Enterprise die Authentifizierung aus mehreren Domänen mit einer einzelnen Gesamtstruktur, stellt jedoch keine gesamtstrukturübergreifende Authentifizierung bereit. Für die Unterstützung von Enterprise-Benutzern aus mehreren Gesamtstrukturen ist ein SAML-Identity-Provider erforderlich.

Konfigurieren des Portals für die Verwendung von HTTPS für die gesamte Kommunikation

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers des Portals

Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um Active Directory-Benutzer und -Gruppen zu verwenden.

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > Config > Update Identity Store.
  3. Fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das Konto, das Sie für den Benutzerparameter angeben, benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens des Windows-Kontos im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

    Legen Sie in dem seltenen Fall, dass in Windows Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option True fest.

  4. Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Enterprise-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

  5. Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.
  6. Wenn Sie ein Portal mit hoher Verfügbarkeit konfiguriert haben, starten Sie jeden Portal-Computer neu. Vollständige Anweisungen finden Sie unter Beenden und Starten des Portals.

Optionales Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Es gibt zusätzliche Konfigurationsparameter für Identitätsspeicher, die mit der Administrations-API des ArcGIS-Portalverzeichnisses geändert werden können. Diese Parameter umfassen Optionen, mit denen beispielsweise eingeschränkt wird, ob Gruppen automatisch aktualisiert werden, wenn ein Enterprise-Benutzer sich beim Portal anmeldet, das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Hinzufügen von Enterprise-Konten zu Ihrem Portal

Enterprise-Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die Enterprise-Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zu Ihrem Portal hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt und die nachfolgenden Schritte ausgeführt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.

Konfigurieren von ArcGIS Web Adaptor für IWA

  1. Öffnen Sie IIS-Manager (Internet Information Services).
  2. Suchen Sie im Feld Verbindungen die Website, auf der ArcGIS Web Adaptor gehostet wird, und blenden Sie sie ein.
  3. Klicken Sie auf den Namen des ArcGIS Web Adaptor. Die Standardeinstellung ist arcgis.
  4. Doppelklicken Sie im Feld Startseite auf Authentifizierung.
  5. Wählen Sie Anonyme Authentifizierung aus, und klicken Sie auf Deaktivieren.
  6. Wählen Sie Windows-Authentifizierung aus, und klicken Sie auf Aktivieren.
  7. Schließen Sie IIS-Manager (Internet Information Services).

Überprüfen des Zugriffs auf das Portal mittels IWA

  1. Öffnen Sie die Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Überprüfen Sie, ob Sie aufgefordert werden, Ihre Anmeldeinformationen für das Enterprise-Konto einzugeben, oder ob Sie automatisch mit Ihrem Enterprise-Konto angemeldet werden. Wenn dieses Verhalten nicht auftritt, überprüfen Sie, ob das Windows-Konto, mit dem Sie sich bei dem Computer angemeldet haben, zu dem Portal hinzugefügt wurde.

Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Um zu verhindern, dass Benutzer eigene integrierte Konten erstellen, deaktivieren Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.