Skip To Content

Steuern des Zugriffs in ArcGIS Server

Die Sicherheit der GIS-Ressourcen basiert auf der korrekten, strengen Authentifizierung und Autorisierung der Benutzer. Bei der Authentifizierung wird die Identität eines Benutzers überprüft, während bei der Autorisierung überprüft wird, ob ein authentifizierter Benutzer die Berechtigung für den Zugriff auf die angeforderte Ressource oder die Durchführung der angeforderten Operation besitzt. Um Berechtigungen für gesicherte Ressourcen und Operationen durchzusetzen, muss ein Benutzer zunächst authentifiziert werden. Anschließend wird seine Autorisierung überprüft. Diese Bedingungen werden von Ihrem Sicherheitsmodell definiert.

Das Sicherheitsmodell Ihrer ArcGIS Server-Site bestimmt, wer auf die Services der Site zugreifen, wer Services veröffentlichen, ändern und löschen und wer administrative Aufgaben in der Site durchführen kann. Es sind mehrere Sicherheitsmodelle verfügbar. Diese richten sich nach der Konfiguration Ihrer GIS-Bereitstellung sowie danach, ob Sie den Enterprise-Identity-Provider Ihrer Organisation mit der Bereitstellung integrieren möchten.

Benutzer, Rollen und Berechtigungen

Wenn eine Ressource in ArcGIS Server gesichert ist, können nur autorisierte Benutzer auf diese Ressource zugreifen. ArcGIS Enterprise, einschließlich eines eigenständigen ArcGIS Server-Systems, verwaltet den Zugriff auf eine gesicherte Ressource mithilfe eines rollenbasierten Zugriffssteuerungssystems. Ein rollenbasiertes Zugriffssteuerungssystem besteht aus drei Hauptkomponenten: Benutzern, Rollen und Berechtigungen.

Benutzer

Ein Benutzer ist eine Person oder ein Softwareagent, die bzw. der auf eine Serverressource zugreift. Bei einem Identitätsspeicher handelt es sich um eine Liste von Benutzern, die Ressourcenanforderungen erstellen können. Sowohl ArcGIS Server als auch das ArcGIS Enterprise-Portal verfügen über integrierte Identitätsspeicher, und Sie können zudem Identitätsspeicher eines Enterprise-Identity-Providers verwenden.

Rollen

Bei einer Rolle handelt es sich um mehrere Benutzer mit einer bestimmten Zugriffsebene. Benutzer einer Rolle sind in der Regel durch Funktion, Position oder eine andere Beziehung miteinander verbunden. Beispielsweise können Benutzer, welche die Verwaltung einer ArcGIS Server-Site übernehmen, in der Rolle "Administrator" gruppiert werden, und Benutzern, die lediglich GIS-Ressourcen anzeigen und erkunden müssen, kann die Rolle "Viewer" zugewiesen werden. Es ist möglich, dass ein Benutzer im integrierten Identitätsspeicher von ArcGIS Server mehreren Rollen angehört. Im integrierten Identitätsspeicher des ArcGIS Enterprise-Portals wird einem Benutzer ausschließlich eine einzige Rolle zugewiesen.

Berechtigungen

Berechtigungen autorisieren für die Durchführung eines gewissen Tasks oder für den Zugriff auf eine bestimmte Ressource. Eine Berechtigung kann nur einer Rolle zugewiesen werden. Einzelne Benutzer können nur Berechtigungen erwerben, indem sie sie von ihren Rollen erben. Die rollenbasierte Zugriffssteuerung bietet die Möglichkeit zur effizienten und effektiven Durchsetzung, Verwaltung und Prüfung der Zugriffssteuerungsrichtlinien eines Unternehmens. Die Berechtigungen werden von ArcGIS Server intern verwaltet.

Verfügbare Sicherheitsmodelle

ArcGIS Server ist eine primäre Komponente der ArcGIS Enterprise-Plattform, die Ihrer Organisation ein umfassendes Web-GIS-System bietet. ArcGIS Server kann als eigenständiges System bereitgestellt oder über einen Verbund mit einem ArcGIS Enterprise-Portal integriert werden.

Das Sicherheitsmodell einer eigenständigen ArcGIS Server-Site wird vom Serveradministrator festgelegt. In einer verbundenen ArcGIS Enterprise-Bereitstellung werden die Freigabe- und Sicherheitsmodelle vom Portal-Administrator festgelegt und setzen diejenigen der Server-Site außer Kraft.

Sowohl ArcGIS Server als auch das ArcGIS Enterprise-Portal bieten zuverlässige und effektive integrierte Authentifizierung und Identitätsspeicher, die standardmäßig erzwungen werden. ArcGIS Enterprise und eigenständige ArcGIS Server-Sites unterstützen zudem die Authentifizierung auf Webebene und externe Identity-Provider. Wenn ein solcher Provider konfiguriert ist, erfolgt die Benutzerauthentifizierung über seinen Identitätsspeicher.

Eigenständige ArcGIS Server-Sites

ArcGIS Server verwendet ein rollenbasiertes Zugriffsmodell. Benutzern wird mindestens eine Rolle zugewiesen, der bestimmte Berechtigungen erteilt wurden.

Zur Verwaltung dieser Benutzer und Rollen können ArcGIS Server-Sites in einer eigenständigen Konfiguration den integrierten Identitätsspeicher sowie verschiedene dritte Identity-Provider verwenden. Sie können diese Einstellungen mit dem Sicherheitskonfigurations-Assistenten in ArcGIS Server Manager ändern.

Die Authentifizierung einer eigenständigen ArcGIS Server-Site kann auf Serverebene oder Webebene erfolgen. Der Begriff Authentifizierung auf Serverebene bezieht sich auf eine Site, die Benutzer und Rollen nur mit dem integrierten Identitätsspeicher verwaltet. Der Begriff Authentifizierung auf Webebene bezeichnet eine Site, die Benutzer mit einem externen Identitätsspeicher verwaltet. In diesem Modell können Rollen auch von dem jeweiligen Provider oder im integrierten Speicher verwaltet werden.

Wie das folgende Diagramm veranschaulicht, erfolgt die Authentifizierung auf Serverebene komplett innerhalb der Server-Site, während die Authentifizierung auf Webebene für die Überprüfung der Anmeldeinformationen eines Benutzers auf den externen Identitätsspeicher zurückgreift.

Der integrierte Identitätsspeicher wird in ArcGIS Server Manager verwaltet, wenn dieser konfiguriert ist. Informationen zu Benutzern und Rollen werden im Konfigurationsspeicher des Servers gespeichert, und nur ArcGIS Server kann auf diese Informationen zugreifen. Die Benutzerauthentifizierung mit dem Identitätsspeicher erfolgt mithilfe von Tokens, also Zeichenfolgen mit verschlüsselten Informationen, die den Namen des Benutzers, die Token-Gültigkeitsdauer und andere proprietäre Informationen enthalten.

Viele Typen von Systemen zur Authentifizierung auf Webebene können mit eigenständigenArcGIS Server-Sites konfiguriert werden. Dazu gehören LDAP-Verzeichnisse (Lightweight Directory Access Protocol), PKI-Implementierungen (Public Key Infrastructure) und IWA (Integrated Windows Authentication).

Wenn Ihre ArcGIS Server-Site eine eigenständige Site bleibt und Sie keine Authentifizierung auf Webebene konfigurieren, finden Sie weitere Informationen unter Konfigurieren der Authentifizierung auf Serverebene.

Wenn Sie die Authentifizierung auf Webebene (durch ein LDAP-Verzeichnis, IWA oder PKI) mit Ihrer eigenständigen ArcGIS Server-Site konfigurieren, finden Sie weitere Informationen unter Konfigurieren der Authentifizierung auf Webebene.

Verbundene ArcGIS Server-Sites

Wenn Sie Ihre ArcGIS Server-Site mit einem ArcGIS Enterprise-Portal verbinden, sind mehrere Sicherheitsmodelle für die ArcGIS Enterprise-Bereitstellung möglich. Unabhängig davon, welches Sicherheitsmodell Ihr Portal verwendet, ersetzt dieses Sicherheitsmodell den Identitätsspeicher des Servers, einschließlich aller in ArcGIS Server Manager konfigurierten Benutzer und Rollen, sobald Sie Ihre ArcGIS Server-Site mit dem Portal verbunden haben.

Das Portal verfügt über einen eigenen integrierten Identitätsspeicher und kann wie eine eigenständige ArcGIS Server-Site mit der Authentifizierung auf Webebene über IWA-, PKI- oder LDAP-basierte Identity-Provider konfiguriert werden. Darüber hinaus können SAML-kompatible (Security Assertion Markup Language) externe Identity-Provider mit einem ArcGIS Enterprise-Portal konfiguriert werden.

Wenn Ihre ArcGIS Server-Site mit einem ArcGIS Enterprise-Portal verbunden ist oder Sie einen solchen Verbund planen, finden Sie weitere Informationen unter Verbinden einer ArcGIS Server-Site mit dem Portal. Dort und in der Dokumentation zu Portal for ArcGIS finden Sie weitere Informationen zu den Sicherheitsmodelloptionen des Portals.