Konfigurieren der Authentifizierung auf Webebene mit integrierter Windows-Authentifizierung und PKI—ArcGIS Server

Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf ArcGIS Server verwenden, wenn Benutzer über Active Directory authentifiziert werden.

Zur Verwendung der integrierten Windows-Authentifizierung und PKI müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Die integrierte Windows-Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (IIS) mit der ArcGIS Server-Site.

Hinweis:

Wenn Sie Ihre ArcGIS Server-Site mit einem Portal verbinden und Active Directory sowie PKI mit dem Server verwenden möchten, müssen Sie die PKI-basierte Clientzertifikatauthentifizierung auf der ArcGIS Server-Site deaktivieren und den anonymen Zugriff aktivieren, bevor Sie die Site mit dem Portal verbinden. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Anschließend können Sie Active Directory und PKI mit dem Portal konfigurieren.

Konfigurieren des Servers mit Active Directory

Konfigurieren der ArcGIS Server-Sicherheit zur Nutzung von Active Directory-Benutzern und -Rollen

Konfigurieren Sie zur Unterstützung der integrierten Windows-Authentifizierung ArcGIS Server zum Abrufen der Benutzer und Rollen von einem Windows Active Directory-Server.

Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Sie müssen das primäre Site-Administratorkonto verwenden. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
Klicken Sie auf Sicherheit > Einstellungen.
Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option Windows-Domäne, und klicken Sie auf Weiter.
Geben Sie auf der Seite Anmeldedaten für Windows-Domäne die Anmeldeinformationen für ein Konto ein, dem Berechtigungen zum Festlegen der Gruppen zugewiesen sind, in denen sich Benutzer befinden. Klicken Sie auf Weiter.
Hinweis:
Es wird empfohlen, ein Konto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt bei jeder Änderung des Kennwortes wiederholen.
Wählen Sie auf der Seite Authentifizierungsebene den Eintrag Webebene.
Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.

Überprüfen von Benutzern und Rollen

Nachdem Sie eine Active Directory-Domäne als Benutzer- und Rollenspeicher konfiguriert haben, überprüfen Sie die Benutzer und Rollen, um sicherzustellen, dass sie richtig abgerufen wurden. Zum Hinzufügen, Bearbeiten und Löschen von Benutzern und Rollen müssen Sie die auf dem Active Directory-Server verfügbaren Werkzeuge verwenden.

Klicken Sie in Manager auf Sicherheit > Benutzer.
Überprüfen Sie, ob die Benutzer wie erwartet vom Windows-Domänenserver abgerufen wurden. Wenn Active Directory über mehrere Domänen verfügt, werden die Benutzer der Domäne angezeigt, zu der der GIS-Servercomputer gehört. Um Benutzer von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Benutzer suchen ein, und klicken Sie auf die Schaltfläche Suchen .
Klicken Sie auf Rollen, um zu überprüfen, ob die Rollen vom Windows-Domänenserver abgerufen wurden. Wenn Active Directory über mehrere Domänen verfügt, werden die Rollen der Domäne angezeigt, zu der der GIS-Servercomputer gehört. Um Rollen von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Rolle suchen ein, und klicken Sie auf Schaltfläche Suchen .
Überprüfen Sie, ob die Rollen wie erwartet vom Windows-Domänenserver abgerufen wurden.

Konfigurieren von Administrator- und Publisher-Berechtigungen für Active Directory-Benutzer

Standardmäßig erlaubt ArcGIS Server lediglich dem primären Site-Administrator Zugriff auf den Server. Wenn Sie Active Directory-Benutzer zum Verwalten von ArcGIS Server oder Veröffentlichen von Services verwenden, müssen Sie die folgenden Schritte ausführen.

Klicken Sie in ArcGIS Server Manager auf die Registerkarte Sicherheit, und öffnen Sie die Seite Benutzer.
Suchen Sie mithilfe des Werkzeugs Benutzer suchen den Benutzer, dem Sie Administrator- oder Publisher-Berechtigungen zuweisen möchten. Überprüfen Sie die Rollen, deren Mitglied dieser Benutzer ist, und wählen Sie die Rolle aus, der Administrator- oder Publisher-Berechtigungen zugewiesen werden sollen.
Öffnen Sie die Seite Rollen, und verwenden Sie das Werkzeug Rolle suchen, um die im vorherigen Schritt ausgewählte Rolle zu suchen.
Klicken Sie neben der Rolle auf die Schaltfläche Bearbeiten .
Wählen Sie für den Parameter Rollentyp entweder Publisher oder Administrator aus.
Klicken Sie auf Speichern, um die Änderungen zu speichern.

Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.

Installieren der Authentifizierung über Clientzertifikatzuordnung

Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.

Windows Server 2016

Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
Blenden Sie im Hierarchiefenster von Server ManagerRollen ein und klicken Sie auf Webserver (IIS).
Erweitern Sie die Rollen Webserver und Sicherheit.
Wählen Sie im Abschnitt zur Rolle Sicherheit die Option Authentifizierung über Clientzertifikatzuordnung aus, und klicken Sie auf Weiter.
Klicken Sie auf der Registerkarte Features auswählen auf Weiter und dann auf Installieren.

Windows Server 2008 R2 und 2012/R2

Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
Blenden Sie im Hierarchiefenster von Server ManagerRollen ein und klicken Sie auf Webserver (IIS).
Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
Wählen Sie auf der Seite Rollendienste auswählen im Assistenten Rollendienste hinzufügen den Eintrag Authentifizierung über Clientzertifikatzuordnung aus und klicken Sie auf Weiter.
Klicken Sie auf Install.

Windows 7, 8 und 8.1

Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
Klicken Sie auf OK.

Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, aktivieren Sie die Funktion, indem Sie die folgenden Schritte ausführen.

Starten Sie Internetinformationsdienste-Manager.
Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird. Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.

Es erscheint eine Meldung, dass für die Verwendung von "Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.

Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten

Starten Sie Internetinformationsdienste-Manager.
Erweitern Sie den Knoten Verbindungen, und wählen Sie die Web Adaptor-Site aus.
Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
Deaktivieren Sie alle Formen der Authentifizierung.
Wählen Sie ArcGIS Web Adapter erneut aus der Liste Verbindungen aus.
Doppelklicken Sie auf SSL-Einstellungen.
Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Überprüfen des Zugriffs auf das Portal mittels Active Directory und PKI

Öffnen Sie das Services-Verzeichnis. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/rest/services.
Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.

Feedback zu diesem Thema?