Sie können eine Clientzertifikatauthentifizierung per Public-Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf die Organisation verwenden, wenn Benutzer über Windows Active Directory authentifiziert werden.
Zur Verwendung der integrierten Windows-Authentifizierung und der Clientzertifikatauthentifizierung müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Die integrierte Windows-Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (IIS) mit Ihrem Portal.
Konfigurieren des Portals mit Windows Active Directory
Konfigurieren Sie zunächst das Portal für die Verwendung von SSL für die gesamte Kommunikation. Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um Windows Active Directory-Benutzer und -Gruppen zu verwenden.
Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation
Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:
- Melden Sie sich als Administrator bei der Website der Organisation an.
Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
- Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
- Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
Aktualisieren des Identitätsspeichers des Portals
Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um Active Directory-Benutzer und -Gruppen zu verwenden.
- Melden Sie sich als Administrator Ihrer Organisation beim Portal-Administratorverzeichnis an.
Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > Config > Update Identity Store.
- Fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein.
Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens von Windows-Konten im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.
Legen Sie in dem seltenen Fall, dass in Windows Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option True fest.
- Wenn Sie im Portal Gruppen erstellen möchten, für die die bestehenden Active Directory-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Wenn Sie die integrierten Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.
Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Configuration (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.
- Klicken Sie auf Update Configuration, um Ihre Änderungen zu speichern.
- Wenn Sie ein Portal mit hoher Verfügbarkeit konfiguriert haben, starten Sie jeden Portal-Computer neu. Vollständige Anweisungen finden Sie unter Beenden und Starten des Portals.
Hinzufügen organisationsspezifischer Konten
Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.
Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:
- Einzeln oder batchweise (nacheinander, mehrere gleichzeitig aus einer .csv-Datei oder über vorhandene Active Directory-Gruppen)
- Befehlszeilendienstprogramm
- Automatisch
Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle "Benutzer" zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Nachdem die Konten hinzugefügt wurden und Sie die unten genannten Schritte durchgeführt haben, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.
Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.
Installieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Führen Sie die folgenden Schritte aus, um die Authentifizierung über Clientzertifikatzuordnung unter Windows Server 2016, 2019, 2022 und 2025 zu installieren:
- Öffnen Sie Server Manager.
- Klicken Sie im Server-Manager-Dashboard auf Rollen und Features hinzufügen.
Der Assistent Rollen und Features hinzufügen wird angezeigt.
- Übernehmen Sie die Standardeinstellungen, und klicken Sie auf den Seiten Vor dem Start, Installationstyp und Serverauswahl auf Weiter.
- Aktivieren Sie auf der Seite Serverrollen die Option Webserver (IIS).
- Klicken Sie im angezeigten Dialogfeld auf Features hinzufügen und dann auf Weiter.
- Klicken Sie auf der Seite Features und der Seite Webserver-Rolle (IIS) auf Weiter.
- Blenden Sie auf der Seite Rollendienste den Abschnitt Sicherheit ein, wählen Sie den Eintrag Authentifizierung über Clientzertifikatzuordnung aus, und klicken Sie auf Weiter.
- Klicken Sie auf der Bestätigungsseite auf Installieren.
- Klicken Sie auf Schließen, um den Assistenten nach Fertigstellung der Installation zu schließen.
Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, führen Sie die folgenden Schritte aus, um die Funktion zu aktivieren.
- Starten Sie Internet Information Server (IIS) Manager.
- Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird.
Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
- Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.
Es wird eine Meldung angezeigt, die darauf hinweist, dass für die Verwendung von "Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.
Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
Führen Sie die folgenden Schritte aus, um ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten zu konfigurieren:
- Starten Sie Internetinformationsdienste-Manager.
- Erweitern Sie den Knoten Verbindungen, und wählen Sie die ArcGIS Web Adaptor-Site aus.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Deaktivieren Sie alle Formen der Authentifizierung.
- Wählen Sie ArcGIS Web Adaptor erneut aus der Liste Verbindungen aus.
- Doppelklicken Sie auf SSL-Einstellungen.
- Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
Hinweis:
Damit die Clientzertifikatauthentifizierung unter Microsoft Windows Server 2022 erfolgreich ausgeführt werden kann, muss in den HTTPS-Websitebindungen TLS 1.3 deaktiviert sein.
Überprüfen des Zugriffs auf das Portal mittels Windows Active Directory und Clientzertifikatauthentifizierung
Führen Sie die folgenden Schritte aus, um den Zugriff auf das Portal mittels Windows Active Directory und Clientzertifikatauthentifizierung zu überprüfen:
- Öffnen Sie das Portal.
Die URL hat das Format https://organization.example.com/<context>/home.
- Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.
Verhindern der Erstellung eigener integrierter Konten durch Benutzer
Wenn Sie den Benutzern vor der Konfiguration der IWA die Möglichkeit eingeräumt haben, ihre eigenen integrierten Portalkonten zu erstellen, ist dies auch nach der Konfiguration der IWA möglich. Weitere Informationen darüber, wie Sie die Erstellung neuer Konten steuern können, finden Sie unter Zulassen, dass Benutzer selbst Konten hinzufügen.