Sie können eine eigenständige ArcGIS Server-Site für die Verwendung von Benutzer- und Rolleninformationen konfigurieren, die in einem LDAP-Verzeichnis, wie z. B. Apache Directory Server oder Microsoft Active Directory, gespeichert sind. Wird diese Konfiguration angewendet, ersetzt sie die Verwendung des integrierten Identitätsspeichers des Servers für die Verwaltung von Benutzern und Rollen. ArcGIS Server behandelt das LDAP-Verzeichnis als schreibgeschützte Quelle von Benutzer-/Rolleninformationen, sodass Sie den ArcGIS Server-Manager nicht zum Hinzufügen oder Löschen von Benutzern und Rollen verwenden und ihre Attribute nicht bearbeiten können.
Hinweis:
Wenn eine ArcGIS Server-Site mit einem ArcGIS Enterprise-Portal verbunden ist, übernimmt sie die Sicherheits- und Freigabeeinstellungen des Portals. Informationen zum entsprechenden Workflow im Portal finden Sie unter Verwenden des Portals mit LDAP oder Active Directory und der Authentifizierung auf Webebene.
Um LDAP zu verwenden, müssen Sie Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereitstellen. ArcGIS Web Adaptor (IIS) kann nicht zur Authentifizierung auf Webebene mit LDAP herangezogen werden.
Mit den folgenden Schritten können Sie ein LDAP-Verzeichnis für die Verwaltung der Benutzer und Rollen des Servers konfigurieren:
- Sicherheitseinstellungen konfigurieren
- Überprüfen von Benutzern und Rollen
- Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers
- Steuern von Berechtigungen für Services
Konfigurieren von Sicherheitseinstellungen
Führen Sie die nachstehenden Schritte aus, um die Sicherheit mit Manager zu konfigurieren:
- Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Sie müssen das primäre Site-Administratorkonto verwenden. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
- Klicken Sie auf Sicherheit > Einstellungen.
- Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
- Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
- Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option LDAP, und klicken Sie auf Weiter.
- Auf der nächsten Seite müssen Sie die Parameter für die Herstellung der Verbindung zum LDAP-Verzeichnis angeben. Klicken Sie auf Verbindung testen, um eine Testverbindung zum LDAP-Verzeichnis aufzubauen. Wenn die Verbindung hergestellt werden konnte, klicken Sie auf Weiter. In der folgenden Tabelle werden die Parameter auf dieser Seite beschrieben:
Parameter Beschreibung Beispiel Hostname
Name des Hostcomputers, auf dem das LDAP-Verzeichnis ausgeführt wird.
myservername
Port
Portnummer auf dem Hostcomputer, die das LDAP-Verzeichnis auf eingehende Verbindungen überwacht. Wenn das LDAP-Verzeichnis sichere Verbindungen (ldaps) unterstützt, wechselt ArcGIS Server automatisch zum ldaps-Protokoll. Wenn der angegebene Port 10389 lautet, stellt ArcGIS Server eine sichere Verbindung zu Port 10636 her. Wenn der angegebene Port 389 lautet, stellt ArcGIS Server eine sichere Verbindung zu Port 636 her.
10636
636
Basis-DN
Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, auf dem Benutzerinformationen gespeichert werden.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
Die LDAP-URL, die zur Herstellung der Verbindung zum LDAP-Verzeichnis verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind. Wenn das LDAP-Verzeichnis nicht den Standard-Port 636 für sichere Verbindungen verwendet, müssen Sie hier die benutzerdefinierte Portnummer angeben.
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (benutzerdefinierter Port)
RDN-Attribut
Das RDN-Attribut (relativer definierter Name) für die Benutzereinträge im LDAP-Verzeichnis.
Für den DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "cn=john". Das RDN-Attribut ist cn.
Für den DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "uid=john". Das RDN-Attribut ist uid.
Administrator-DN
Der DN eines LDAP-Administratorkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat.
Es wird empfohlen, ein Administratorkonto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt bei jeder Änderung des Kennwortes wiederholen.
uid=admin,ou=administrators,dc=mydomain,dc=com
Kennwort
Das Kennwort des Administrators
adminpassword
- Geben Sie auf der nächsten Seite die Parameter zum Abrufen der Rollen vom LDAP-Verzeichnis an. In der folgenden Tabelle werden die Parameter detailliert beschrieben:
Parameter Beschreibung Beispiel Basis-DN
Der DN des Knotens auf dem Verzeichnisserver, auf dem Rolleninformationen gespeichert werden.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
Die LDAP-URL, die zur Herstellung der Verbindung zum Server verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind.
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
Benutzerattribut in Rolleneintrag
Der Name des Attributs im Rolleneintrag, der den DN der Benutzer enthält, die Mitglieder dieser Rolle sind.
Beim Apache Directory Server wird häufig "uniqueMember" als Attributname verwendet. Beim Microsoft Active Directory wird häufig "member" als Attributname verwendet.
- Klicken Sie nach Angabe der Parameter auf Weiter.
- Legen Sie auf der Seite Authentifizierungsebene fest, wo die Authentifizierung erfolgen soll, und klicken Sie auf Weiter. Weitere Informationen zu dieser Option finden Sie unter Konfigurieren der ArcGIS Server-Sicherheit.
- Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Zurück, um Änderungen vorzunehmen, oder auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.
Überprüfen von Benutzern und Rollen
Nachdem Sie die Sicherheitskonfiguration zur Nutzung des Speichers für die Benutzer- und Rollenverwaltung abgeschlossen haben, überprüfen Sie, ob die Benutzer und Rollen richtig importiert wurden. Verwenden Sie zum Hinzufügen, Bearbeiten oder Löschen von Benutzern und Rollen die Benutzerverwaltungswerkzeuge, die der LDAP-Provider bereitstellt.
- Klicken Sie in Manager auf Sicherheit > Benutzer.
- Stellen Sie sicher, dass die Benutzer wie erwartet vom LDAP-Verzeichnis abgerufen wurden.
- Klicken Sie auf Rollen, um die vom LDAP-Verzeichnis abgerufenen Rollen zu überprüfen.
- Stellen Sie sicher, dass die Rollen wie erwartet vom LDAP-Verzeichnis abgerufen wurden. Klicken Sie neben einer Rolle auf die Schaltfläche Bearbeiten, um die Rollenzugehörigkeit zu überprüfen. Ändern Sie nach Bedarf den Wert Rollentyp. Weitere Informationen zu Rollentypen finden Sie unter Einschränken des Zugriffs auf ArcGIS Server.
Caching von Benutzern und Rollen
Ab Version 10.5 werden LDAP-Benutzer und -Rollen nach einer Anforderung für Benutzer oder Rollen auf dem Server gecacht. Dies trägt zur Optimierung der Performance Ihrer sicheren Services bei. Standardmäßig werden die Benutzer und Rollen 30 Minuten gecacht. Sie können diesen Zeitraum anpassen, indem Sie für die minutesToCacheUsersAndRoles-Eigenschaft im ArcGIS Server-Administratorverzeichnis in den Systemeigenschaften einen anderen Wert festlegen. Legen Sie die Eigenschaft auf null (0) fest, um das Caching zu deaktivieren.
Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers
LDAP erfordert die Authentifizierung auf Webebene. Dies muss über ArcGIS Web Adaptor (Java Platform) erfolgen. Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf den Java-Anwendungsserver zurück. Nachdem der Kontoname abgerufen wurde, wird er an den Server weitergegeben.
Hinweis:
Bei der Konfiguration von Web Adaptor müssen Sie die Administration über Web Adaptor aktivieren. Dadurch können Benutzer in Ihrem organisationsspezifischen Identitätsspeicher Services über ArcGIS Pro veröffentlichen. Wenn die Benutzer in diesen Rollen eine Verbindung mit dem Server in ArcGIS Pro herstellen, müssen sie die Web Adaptor-URL angeben.
Nach der Installation und Konfiguration von ArcGIS Web Adaptor mit dem Server müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die Authentifizierungsmethode für den Web Adaptor festlegen. Weitere Anweisungen erhalten Sie in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Ihrem Systemadministrator.
Steuern von Berechtigungen für Services
Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.
ArcGIS Server steuert den Zugriff auf Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.
Weitere Informationen zum Ändern der Berechtigungen für einen Service finden Sie unter Steuern des Zugriffs auf Ihre Services.