Konfigurieren der Authentifizierung auf Webebene mit integrierter Windows-Authentifizierung und PKI—ArcGIS Server

Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf ArcGIS Server verwenden, wenn Benutzer über Active Directory authentifiziert werden.

Zur Verwendung der integrierten Windows-Authentifizierung und PKI müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Die integrierte Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden. Eine Anleitung zum Installieren und Konfigurieren von ArcGIS Web Adaptor (IIS) mit der ArcGIS Server-Site finden Sie in den Installationsanweisungen für ArcGIS Web Adaptor (IIS).

Hinweis:

Wenn Sie eine ArcGIS Server-Site mit einem Portal verbinden und Active Directory sowie PKI mit dem Server verwenden möchten, müssen Sie die PKI-basierte Clientzertifikatauthentifizierung auf der ArcGIS Server-Site deaktivieren und den anonymen Zugriff aktivieren, bevor Sie die Site mit dem Portal verbinden. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Anschließend können Sie Active Directory und PKI mit dem Portal konfigurieren.

Konfigurieren eines Servers mit Active Directory

In den folgenden Abschnitten erfahren Sie, wie Sie einen Server mit Active Directory konfigurieren.

Konfigurieren der ArcGIS Server-Sicherheit zur Nutzung von Active Directory-Benutzern und -Rollen

Konfigurieren Sie zur Unterstützung der integrierten Windows-Authentifizierung ArcGIS Server zum Abrufen der Benutzer und Rollen von einem Windows Active Directory-Server.

Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
Sie müssen das primäre Site-Administratorkonto verwenden.
Klicken Sie auf Sicherheit > Einstellungen.
Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option Windows-Domäne, und klicken Sie auf Weiter.
Geben Sie auf der Seite Anmeldedaten für Windows-Domäne die Anmeldeinformationen für ein Konto ein, dem Berechtigungen zum Festlegen der Gruppen zugewiesen sind, in denen sich Benutzer befinden. Klicken Sie auf Weiter.
Hinweis:
Es wird empfohlen, ein Konto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt bei jeder Änderung des Kennwortes wiederholen.
Wählen Sie auf der Seite Authentifizierungsebene den Eintrag Webebene.
Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.

Überprüfen von Benutzern und Rollen

Nachdem Sie eine Active Directory-Domäne als Benutzer- und Rollenspeicher konfiguriert haben, überprüfen Sie die Benutzer und Rollen, um sicherzustellen, dass sie richtig abgerufen wurden. Zum Hinzufügen, Bearbeiten und Löschen von Benutzern und Rollen müssen Sie die auf dem Active Directory-Server verfügbaren Werkzeuge verwenden.

Klicken Sie in Manager auf Sicherheit > Benutzer.
Überprüfen Sie, ob die Benutzer wie erwartet vom Windows-Domänenserver abgerufen wurden.
Wenn Active Directory über mehrere Domänen verfügt, werden die Benutzer der Domäne angezeigt, zu der der GIS-Servercomputer gehört.
Um Benutzer von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Benutzer suchen ein, und klicken Sie auf die Schaltfläche Suchen .
Klicken Sie auf Rollen, um die vom Windows-Domänenserver abgerufenen Rollen zu überprüfen.
Wenn Active Directory über mehrere Domänen verfügt, werden die Rollen der Domäne angezeigt, zu der der GIS-Servercomputer gehört.
Um Rollen von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Rolle suchen ein, und klicken Sie auf Schaltfläche Suchen .
Überprüfen Sie, ob die Rollen wie erwartet vom Windows-Domänenserver abgerufen wurden.

Konfigurieren von Administrator- und Publisher-Berechtigungen für Active Directory-Benutzer

Standardmäßig lässt ArcGIS Server den Zugriff auf den Server nur durch den primären Site-Administrator zu. Wenn Sie Active Directory-Benutzer zum Verwalten von ArcGIS Server oder Veröffentlichen von Services verwenden, müssen Sie die nachfolgenden Schritte ausführen.

Klicken Sie in ArcGIS Server Manager auf die Registerkarte Sicherheit, und öffnen Sie die Seite Benutzer.
Suchen Sie mithilfe des Werkzeugs Benutzer suchen den Benutzer, dem Sie Administrator- oder Publisher-Berechtigungen zuweisen möchten. Überprüfen Sie die Rollen, deren Mitglied dieser Benutzer ist, und wählen Sie die Rolle aus, der Administrator- oder Publisher-Berechtigungen zugewiesen werden sollen.
Öffnen Sie die Seite Rollen, und verwenden Sie das Werkzeug Rolle suchen, um die im vorherigen Schritt ausgewählte Rolle zu suchen.
Klicken Sie neben der Rolle auf die Schaltfläche Bearbeiten .
Wählen Sie für den Parameter Rollentyp entweder Publisher oder Administrator aus.
Klicken Sie auf Speichern, um die Änderungen zu speichern.

Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.

Installieren der Authentifizierung über Clientzertifikatzuordnung

Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.

Installation unter Windows Server 2016

Führen Sie die folgenden Schritte aus, um die Installation unter Windows Server 2016 durchzuführen:

Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
Erweitern Sie die Rollen Webserver und Sicherheit.
Wählen Sie im Abschnitt zur Rolle Sicherheit die Option Authentifizierung über Clientzertifikatzuordnung aus, und klicken Sie auf Weiter.
Klicken Sie auf der Registerkarte Features auswählen auf Weiter und dann auf Installieren.

Installation unter Windows Server 2008 R2 und 2012/R2

Führen Sie die folgenden Schritte aus, um die Installation unter Windows Server 2008 R2 und 2012/R2 durchzuführen:

Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
Wählen Sie auf der Seite Rollendienste auswählen im Assistenten "Rollendienste hinzufügen" den Eintrag Authentifizierung über Clientzertifikatzuordnung aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren.

Installation unter Windows 7, 8 und 8.1

Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
Klicken Sie auf OK.

Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, aktivieren Sie die Funktion, indem Sie die folgenden Schritte ausführen.

Starten Sie Internetinformationsdienste-Manager.
Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird.
Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.

Es erscheint eine Meldung, dass für die Verwendung von "Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.

Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten

Führen Sie die folgenden Schritte aus, um ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten zu konfigurieren:

Starten Sie Internetinformationsdienste-Manager.
Erweitern Sie den Knoten Verbindungen, und wählen Sie die ArcGIS Web Adaptor-Site aus.
Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
Deaktivieren Sie alle Formen der Authentifizierung.
Wählen Sie Web Adapter erneut aus der Liste Verbindungen aus.
Doppelklicken Sie auf SSL-Einstellungen.
Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Überprüfen des Zugriffs auf das Portal mittels Active Directory und PKI

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Sie auf die Site zugreifen können:

Öffnen Sie das Services-Verzeichnis.
Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/rest/services.
Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.

Feedback zu diesem Thema?