Skip To Content

Steuern des Zugriffs in ArcGIS Server

Die Sicherheit der GIS-Ressourcen basiert auf der korrekten, strengen Authentifizierung und Autorisierung der Benutzer. Bei der Authentifizierung wird die Identität eines Benutzers überprüft, während bei der Autorisierung überprüft wird, ob ein authentifizierter Benutzer die Berechtigung für den Zugriff auf die angeforderte Ressource oder die Durchführung der angeforderten Operation besitzt. Um Berechtigungen für gesicherte Ressourcen und Operationen durchzusetzen, muss ein Benutzer zunächst authentifiziert werden. Anschließend wird seine Autorisierung überprüft. Diese Bedingungen werden von Ihrem Sicherheitsmodell definiert.

Das Sicherheitsmodell Ihrer ArcGIS Server-Site bestimmt, wer auf die Services der Site zugreifen, wer Services veröffentlichen, ändern und löschen und wer administrative Aufgaben in der Site durchführen kann. Es sind mehrere Sicherheitsmodelle verfügbar. Diese richten sich nach der Konfiguration Ihrer GIS-Bereitstellung sowie danach, ob Sie den organisationsspezifischen Identity-Provider Ihrer Organisation mit der Bereitstellung integrieren möchten.

Benutzer, Rollen und Berechtigungen

Wenn eine Ressource in ArcGIS Server gesichert ist, können nur autorisierte Benutzer auf diese Ressource zugreifen. ArcGIS Enterprise, einschließlich eines eigenständigen ArcGIS Server-Systems, verwaltet den Zugriff auf eine gesicherte Ressource mithilfe eines rollenbasierten Zugriffssteuerungssystems. Ein rollenbasiertes Zugriffssteuerungssystem besteht aus drei Hauptkomponenten: Benutzern, Rollen und Berechtigungen.

Benutzer

Ein Benutzer ist eine Person oder ein Softwareagent, die bzw. der auf eine Serverressource zugreift. Bei einem Identitätsspeicher handelt es sich um eine Liste von Benutzern, die Ressourcenanforderungen erstellen können. Sowohl ArcGIS Server als auch das ArcGIS Enterprise-Portal verfügen über integrierte Identitätsspeicher, und Sie können zudem Identitätsspeicher eines organisationsspezifischen Identity-Providers verwenden.

Roles

Bei einer Rolle handelt es sich um mehrere Benutzer mit einer bestimmten Zugriffsebene. Benutzer einer Rolle sind in der Regel durch Funktion, Position oder eine andere Beziehung miteinander verbunden. Beispielsweise können Benutzer, welche die Verwaltung einer ArcGIS Server-Site übernehmen, in der Rolle "Administrator" gruppiert werden, und Benutzern, die lediglich GIS-Ressourcen anzeigen und erkunden müssen, kann die Rolle "Viewer" zugewiesen werden. Es ist möglich, dass ein Benutzer im integrierten Identitätsspeicher von ArcGIS Server mehreren Rollen angehört. Im integrierten Identitätsspeicher des ArcGIS Enterprise-Portals wird einem Benutzer ausschließlich eine einzige Rolle zugewiesen.

Berechtigungen

Berechtigungen autorisieren für die Durchführung eines gewissen Tasks oder für den Zugriff auf eine bestimmte Ressource. Eine Berechtigung kann nur einer Rolle zugewiesen werden. Einzelne Benutzer können nur Berechtigungen erwerben, indem sie sie von ihren Rollen erben. Die rollenbasierte Zugriffssteuerung bietet die Möglichkeit zur effizienten und effektiven Durchsetzung, Verwaltung und Prüfung der Zugriffssteuerungsrichtlinien eines Unternehmens. Die Berechtigungen werden von ArcGIS Server intern verwaltet.

Verfügbare Sicherheitsmodelle

ArcGIS Server ist eine primäre Komponente der ArcGIS Enterprise-Plattform, die Ihrer Organisation ein umfassendes Web-GIS-System bietet. ArcGIS Server kann als eigenständiges System bereitgestellt oder über einen Verbund mit einem ArcGIS Enterprise-Portal integriert werden.

Bereitstellungsoptionen für ArcGIS Enterprise-Basisbereitstellung

Das Sicherheitsmodell einer eigenständigen ArcGIS Server-Site wird vom Serveradministrator festgelegt. In einer verbundenen ArcGIS Enterprise-Bereitstellung werden die Freigabe- und Sicherheitsmodelle vom Portal-Administrator festgelegt und setzen diejenigen der Server-Site außer Kraft.

Sowohl ArcGIS Server als auch das ArcGIS Enterprise-Portal bieten zuverlässige und effektive integrierte Authentifizierung und Identitätsspeicher, die standardmäßig erzwungen werden. ArcGIS Enterprise und eigenständige ArcGIS Server-Sites unterstützen zudem die Authentifizierung auf Webebene und externe Identity-Provider. Wenn ein solcher Provider konfiguriert ist, erfolgt die Benutzerauthentifizierung über seinen Identitätsspeicher.

Eigenständige ArcGIS Server-Sites

ArcGIS Server verwendet ein rollenbasiertes Zugriffsmodell. Benutzern wird mindestens eine Rolle zugewiesen, der bestimmte Berechtigungen erteilt wurden.

Zur Verwaltung dieser Benutzer und Rollen können ArcGIS Server-Sites in einer eigenständigen Konfiguration den integrierten Identitätsspeicher sowie verschiedene dritte Identity-Provider verwenden. Sie können diese Einstellungen mit dem Sicherheitskonfigurations-Assistenten in ArcGIS Server Manager ändern.

Die Authentifizierung einer eigenständigen ArcGIS Server-Site kann auf Serverebene oder Webebene erfolgen.

In der folgenden Tabelle werden die Identitätsspeicherkonfigurationen beschrieben, die für den ausgewählten Authentifizierungstyp unterstützt werden:

AuthentifizierungsmechanismusUnterstützte Identitätsspeicherkonfigurationen

ArcGIS Server-Authentifizierung

  • Integrierte Benutzer und Rollen
  • Benutzer in Active Directory und Rollen entweder in Active Directory oder im integrierten Speicher
  • Benutzer in LDAP und Rollen entweder in LDAP oder im integrierten Speicher
  • Benutzer in einem benutzerdefinierten Speicher und Rollen im benutzerdefinierten oder integrierten Speicher

Authentifizierung auf Webebene

Jeder Benutzerspeicher, für den der Webserver über eine integrierte oder erweiterbare Unterstützung verfügt

Wenn Ihr Webserver z. B. über integrierte Unterstützung für Active Directory-, LDAP- und benutzerdefinierte Identitätsspeicher verfügt, können Sie eine der folgenden Konfigurationen verwenden:

  • Benutzer in Active Directory und Rollen entweder in Active Directory oder im integrierten Speicher
  • Benutzer in LDAP und Rollen entweder in LDAP oder im integrierten Speicher
  • Benutzer in einem benutzerdefinierten Speicher und Rollen in einem benutzerdefinierten oder integrierten Speicher

Wie das folgende Diagramm veranschaulicht, erfolgt die Authentifizierung auf Serverebene komplett innerhalb der Server-Site, während die Authentifizierung auf Webebene für die Überprüfung der Anmeldeinformationen eines Benutzers auf den externen Identitätsspeicher zurückgreift.

Eigenständige ArcGIS Server-Authentifizierungsmodelle

Der integrierte Identitätsspeicher wird in ArcGIS Server Manager verwaltet, wenn dieser konfiguriert ist. Informationen zu Benutzern und Rollen werden im Konfigurationsspeicher des Servers gespeichert, und nur ArcGIS Server kann auf diese Informationen zugreifen. Die Benutzerauthentifizierung mit dem Identitätsspeicher erfolgt mithilfe von Token, also Zeichenfolgen mit verschlüsselten Informationen, die den Namen des Benutzers, die Token-Gültigkeitsdauer und andere proprietäre Informationen enthalten.

Viele Typen von Systemen zur Authentifizierung auf Webebene können mit eigenständigen ArcGIS Server-Sites konfiguriert werden. Dazu gehören LDAP-Verzeichnisse (Lightweight Directory Access Protocol), Clientzertifikatauthentifizierung per Public-Key-Infrastruktur (PKI) und IWA (Integrated Windows Authentication).

Wenn Ihre ArcGIS Server-Site eine eigenständige Site bleibt und Sie nicht die Authentifizierung auf Webebene konfigurieren, finden Sie weitere Informationen unter Konfigurieren der Authentifizierung auf Serverebene.

Wenn Sie für Ihre eigenständige ArcGIS Server-Site die Authentifizierung auf Webebene (durch ein LDAP-Verzeichnis, IWA oder Clientzertifikatauthentifizierung) konfigurieren, finden Sie weitere Informationen unter Konfigurieren der Authentifizierung auf Webebene.

Verbundene ArcGIS Server-Sites

Wenn Sie Ihre ArcGIS Server-Site mit einem ArcGIS Enterprise-Portal verbinden, sind mehrere Sicherheitsmodelle für die ArcGIS Enterprise-Bereitstellung möglich. Unabhängig davon, welches Sicherheitsmodell Ihr Portal verwendet, ersetzt dieses Sicherheitsmodell den Identitätsspeicher des Servers, einschließlich aller in ArcGIS Server Manager konfigurierten Benutzer und Rollen, sobald Sie Ihre ArcGIS Server-Site mit dem Portal verbunden haben.

Das Portal verfügt über einen eigenen integrierten Identitätsspeicher und kann wie eine eigenständige ArcGIS Server-Site über IWA, Clientzertifikatauthentifizierung oder LDAP-basierte Identity-Provider mit Authentifizierung auf Webebene konfiguriert werden. Darüber hinaus können externe SAML-kompatible (Security Assertion Markup Language) Identity-Provider mit einem ArcGIS Enterprise-Portal konfiguriert werden.

Wenn Ihre ArcGIS Server-Site mit einem ArcGIS Enterprise-Portal verbunden ist oder Sie einen solchen Verbund planen, finden Sie weitere Informationen unter Verbinden einer ArcGIS Server-Site mit dem Portal. Dort sowie in der Dokumentation zu Portal for ArcGIS finden Sie weitere Informationen zu den Sicherheitsmodelloptionen für das Portal.