Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf ArcGIS Server verwenden, wenn Benutzer über Windows Active Directory authentifiziert werden.
Zur Verwendung der integrierten Windows-Authentifizierung und von PKI müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Mit ArcGIS Web Adaptor (Java Platform) kann keine integrierte Windows-Authentifizierung durchgeführt werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (IIS) mit der ArcGIS Server-Site.
Hinweis:
Wenn Sie einem Portal Ihre ArcGIS Server-Site hinzufügen und Windows Active Directory und PKI mit dem Server verwenden möchten, müssen Sie die PKI-basierte Clientzertifikatauthentifizierung auf der ArcGIS Server-Site deaktivieren und den anonymen Zugriff aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS Server-Site die PKI-basierte Clientzertifikatauthentifizierung noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS Server-Site mit dem Portal.
Konfigurieren des Servers mit Windows Active Directory
Konfigurieren der ArcGIS Server-Sicherheit zur Verwendung von Windows Active Directory-Benutzern und -Rollen
Konfigurieren Sie zur Unterstützung der integrierten Windows-Authentifizierung ArcGIS Server zum Abrufen der Benutzer und Rollen von einem Windows Active Directory-Server.
- Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Sie müssen das primäre Site-Administratorkonto verwenden. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
- Klicken Sie auf Sicherheit > Einstellungen.
- Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
- Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
- Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option Windows-Domäne, und klicken Sie auf Weiter.
- Geben Sie auf der Seite Anmeldedaten für Windows-Domäne die Anmeldeinformationen für ein Konto mit Berechtigungen für die Festlegung der Gruppen ein, in denen sich Benutzer befinden. Klicken Sie auf Weiter.
Hinweis:
Es wird empfohlen, ein Konto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt jedes Mal wiederholen, wenn das Kennwort des Kontos geändert wird.
- Wählen Sie auf der Seite Authentifizierungsebene den Eintrag Webebene.
- Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.
Überprüfen von Benutzern und Rollen
Nachdem Sie eine Windows Active Directory-Domäne als Benutzer- und Rollenspeicher konfiguriert haben, überprüfen Sie die Benutzer und Rollen, um sicherzustellen, dass sie richtig abgerufen wurden. Zum Hinzufügen, Bearbeiten und Löschen von Benutzern und Rollen müssen Sie die auf dem Active Directory-Server verfügbaren Werkzeuge verwenden.
- Klicken Sie in Manager auf Sicherheit > Benutzer.
- Überprüfen Sie, ob die Benutzer wie erwartet vom Windows-Domänenserver abgerufen wurden. Wenn Active Directory über mehrere Domänen verfügt, werden die Benutzer der Domäne angezeigt, zu der der GIS-Servercomputer gehört. Um Benutzer von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Benutzer suchen ein, und klicken Sie auf die Schaltfläche Suchen .
- Klicken Sie auf Rollen, um zu überprüfen, ob die Rollen vom Windows-Domänenserver abgerufen wurden. Wenn Active Directory über mehrere Domänen verfügt, werden die Rollen der Domäne angezeigt, zu der der GIS-Servercomputer gehört. Um Rollen von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Rolle suchen ein, und klicken Sie auf Schaltfläche Suchen .
- Überprüfen Sie, ob die Rollen wie erwartet vom Windows-Domänenserver abgerufen wurden.
Konfigurieren von Administrator- und Publisher-Berechtigungen für Active Directory-Benutzer
Standardmäßig erlaubt ArcGIS Server lediglich dem primären Site-Administrator Zugriff auf den Server. Wenn Sie Active Directory-Benutzer zum Verwalten von ArcGIS Server oder Veröffentlichen von Services verwenden, müssen Sie die folgenden Schritte ausführen.
- Klicken Sie in ArcGIS Server Manager auf die Registerkarte Sicherheit, und öffnen Sie die Seite Benutzer.
- Suchen Sie mithilfe des Werkzeugs Benutzer suchen den Benutzer, dem Sie Administrator- oder Publisher-Berechtigungen zuweisen möchten. Überprüfen Sie die Rollen, deren Mitglied dieser Benutzer ist, und wählen Sie die Rolle aus, der Administrator- oder Publisher-Berechtigungen zugewiesen werden sollen.
- Öffnen Sie die Seite Rollen, und verwenden Sie das Werkzeug Rolle suchen, um die im vorherigen Schritt ausgewählte Rolle zu suchen.
- Klicken Sie neben der Rolle auf die Schaltfläche Bearbeiten .
- Wählen Sie für den Parameter Rollentyp entweder Publisher oder Administrator aus.
- Klicken Sie auf Speichern, um die Änderungen zu speichern.
Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.
Installieren der Authentifizierung über Clientzertifikatzuordnung
Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.
Windows Server 2008/R2 und 2012/R2
- Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
- Blenden Sie im Hierarchiefenster von Server ManagerRollen ein und klicken Sie auf Webserver (IIS).
- Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
- Wählen Sie auf der Seite Rollendienste auswählen im Assistenten Rollendienste hinzufügen den Eintrag Authentifizierung über Clientzertifikatzuordnung aus und klicken Sie auf Weiter.
- Klicken Sie auf Installieren.
Windows 7, 8 und 8.1
- Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
- Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
- Klicken Sie auf OK.
Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, aktivieren Sie die Funktion, indem Sie die folgenden Schritte ausführen.
- Starten Sie Internetinformationsdienste-Manager.
- Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird. Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
- Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.
Es erscheint eine Meldung, dass für die Verwendung von "Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.
Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
- Starten Sie Internetinformationsdienste-Manager.
- Erweitern Sie den Knoten Verbindungen, und wählen Sie die Web Adaptor-Site aus.
- Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
- Deaktivieren Sie alle Formen der Authentifizierung.
- Wählen Sie ArcGIS Web Adapter erneut aus der Liste Verbindungen aus.
- Doppelklicken Sie auf SSL-Einstellungen.
- Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
Überprüfen des Zugriffs auf das Portal mittels Windows Active Directory und PKI
- Öffnen Sie das Services-Verzeichnis. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.