Sie können die Authentifizierung auf Webebene für Ihre ArcGIS Server-Site mithilfe der integrierten Windows-Authentifizierung konfigurieren. Dies erfordert, dass Benutzer und Rollen auf einem Active Directory-Server verwaltet werden. Diese Vorgehensweise empfiehlt sich, wenn Benutzer Windows-Domänenkonten nutzen sollen, die bereits im Netzwerk für sie angelegt wurden.
Hinweis:
Wenn Ihre ArcGIS Server-Site über ein Portal verbunden wird, verwenden Sie nicht die Schritte in diesem Thema, sondern sichern Sie den Zugriff über das Portal. Weitere Einzelheiten finden Sie unter Verwenden der integrierten Windows-Authentifizierung im Portal.
Zur Verwendung der integrierten Windows-Authentifizierung müssen Sie die für den für den Microsoft IIS-Webserver bereitgestellte Anwendung ArcGIS Web Adaptor (IIS) verwenden. Die integrierte Windows-Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden.
Wenn aufgrund Ihrer Anmeldeeinstellungen für den Computer, auf dem Active Directory gehostet wird, Anmeldeberechtigungen verweigert werden, tritt beim Konfigurieren der Sicherheit ein Fehler auf. Es ist nicht notwendig, dem Benutzer die Gruppenrichtlinieneinstellungen Lokal anmelden zu erteilen. Weitere Informationen finden Sie unter Erweiterte Überlegungen bei der Verwendung von Domänenkonten.
Führen Sie die folgenden Schritte aus, um die integrierte Windows-Authentifizierung mit Ihrer Server-Site zu konfigurieren:
- Konfigurieren Sie die Verwendung der Windows-Authentifizierung in ArcGIS Web Adaptor (IIS).
- Konfigurieren Sie die Verwendung von Active Directory-Benutzern und Windows-Rollen in ArcGIS Server.
- Überprüfen Sie die Benutzer und Rollen.
- Konfigurieren von Administrator- und Publisher-Berechtigungen für Active Directory-Benutzer.
- Legen Sie Berechtigungen für Services fest.
- Testen Sie den Zugriff auf gesicherte Services.
Konfigurieren Sie die Verwendung der Windows-Authentifizierung in ArcGIS Web Adaptor (IIS).
Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf IIS zurück. Nachdem der Kontoname abgerufen wurde, wird er an ArcGIS Server weitergegeben.
- Installieren Sie ArcGIS Web Adaptor (IIS) gemäß den Anweisungen unter Installieren von ArcGIS Web Adaptor (IIS).
- Konfigurieren Sie ArcGIS Web Adaptor gemäß den Anweisungen unter Konfigurieren von ArcGIS Web Adaptor nach der Installation.
Hinweis:
Bei der Konfiguration von ArcGIS Web Adaptor müssen Sie die Administration über Web Adaptor aktivieren. Dadurch wird Benutzern in Windows Active Directory die Veröffentlichung von Services über ArcGIS Pro ermöglicht. Wenn Benutzer in diesen Rollen eine Verbindung mit dem Server in ArcGIS Pro herstellen, müssen sie die Web Adaptor-URL angeben.
- Legen Sie die Authentifizierungsmethode für Web Adaptor mit IIS-Manager fest.
- Klicken Sie zum Öffnen des IIS-Managers auf Start > Systemsteuerung > Verwaltung > IIS-Manager (Internet Information Services).
- Erweitern Sie die linke Struktur von IIS-Manager unter Sites. Erweitern Sie Standardwebsite, um die Anwendung ArcGIS Web Adaptor (IIS) zu suchen. Standardmäßig wird ArcGIS Web Adaptor (IIS) mit arcgis benannt.
- Bearbeiten Sie die Authentifizierungseigenschaften für den Web Adaptor. Deaktivieren Sie die Authentifizierung Anonym, und wählen Sie die Windows-Authentifizierung aus.
- Schließen Sie IIS-Manager.
Konfigurieren der ArcGIS Server-Sicherheit zur Nutzung von Windows Active Directory-Benutzern und -Rollen
Konfigurieren Sie zur Unterstützung der integrierten Windows-Authentifizierung ArcGIS Server zum Abrufen der Benutzer und Rollen von einem Windows Active Directory-Server.
- Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
Sie müssen das primäre Site-Administratorkonto verwenden.
- Klicken Sie auf Sicherheit > Einstellungen.
- Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
- Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
- Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option Windows-Domäne, und klicken Sie auf Weiter.
- Geben Sie auf der Seite Anmeldedaten für Windows-Domäne die Anmeldeinformationen für ein Konto ein, dem Berechtigungen zum Festlegen der Gruppen zugewiesen sind, in denen sich Benutzer befinden. Klicken Sie auf Weiter.
Hinweis:
Es wird empfohlen, ein Konto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt bei jeder Änderung des Kennwortes wiederholen.
- Wählen Sie auf der Seite Authentifizierungsebene den Eintrag Webebene.
- Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.
Überprüfen von Benutzern und Rollen
Nachdem Sie eine Windows Active Directory-Domäne als Benutzer- und Rollenspeicher konfiguriert haben, überprüfen Sie die Benutzer und Rollen, um sicherzustellen, dass sie richtig abgerufen wurden. Zum Hinzufügen, Bearbeiten und Löschen von Benutzern und Rollen müssen Sie die auf dem Active Directory-Server verfügbaren Werkzeuge verwenden.
- Klicken Sie in Manager auf Sicherheit > Benutzer.
- Überprüfen Sie, ob die Benutzer wie erwartet vom Windows-Domänenserver abgerufen wurden.
Wenn Active Directory über mehrere Domänen verfügt, werden die Benutzer der Domäne angezeigt, zu der der GIS-Servercomputer gehört.
- Um Benutzer von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Benutzer suchen ein, und klicken Sie auf die Schaltfläche Suchen .
- Klicken Sie auf Rollen, um die vom Windows-Domänenserver abgerufenen Rollen zu überprüfen.
Wenn Active Directory über mehrere Domänen verfügt, werden die Rollen der Domäne angezeigt, zu der der GIS-Servercomputer gehört.
- Um Rollen von anderen Domänen anzuzeigen, geben Sie die Suchzeichenfolge [Domänenname]\ in das Feld Rolle suchen ein, und klicken Sie auf Schaltfläche Suchen .
- Überprüfen Sie, ob die Rollen wie erwartet vom Windows-Domänenserver abgerufen wurden.
Hinweis:
In 10.3.1 und höheren Versionen verfügt ArcGIS Web Adaptor (IIS) über Eigenschaften zum Konfigurieren von Optionen für die Active Directory-Authentifizierung. Weitere Informationen finden Sie unter Konfigurieren der Speicher-Cache-Optionen von ArcGIS Web Adaptor in der ArcGIS Web Adaptor (IIS)-Hilfe.
Caching von Benutzern und Rollen
Ab Version 10.5 werden Benutzer und Rollen auf dem Server gecacht, nachdem eine Anforderung für Benutzer oder Rollen gesendet wurde. Dies trägt zur Optimierung der Performance Ihrer sicheren Services bei. Standardmäßig werden die Benutzer und Rollen 30 Minuten gecacht. Sie können diesen Zeitraum anpassen, indem Sie für die minutesToCacheUsersAndRoles-Eigenschaft im ArcGIS Server-Administratorverzeichnis in den Systemeigenschaften einen anderen Wert festlegen. Legen Sie die Eigenschaft auf null (0) fest, um das Caching zu deaktivieren.
Konfigurieren von Administrator- und Publisher-Berechtigungen für Active Directory-Benutzer
Standardmäßig lässt ArcGIS Server den Zugriff auf den Server nur durch den primären Site-Administrator zu. Wenn Sie Active Directory-Benutzer zum Verwalten von ArcGIS Server oder Veröffentlichen von Services verwenden, müssen Sie die nachfolgenden Schritte ausführen.
- Klicken Sie in ArcGIS Server Manager auf die Registerkarte Sicherheit, und öffnen Sie die Seite Benutzer.
- Suchen Sie mithilfe des Werkzeugs Benutzer suchen den Benutzer, dem Sie Administrator- oder Publisher-Berechtigungen zuweisen möchten. Überprüfen Sie die Rollen, deren Mitglied dieser Benutzer ist, und wählen Sie die Rolle aus, der Administrator- oder Publisher-Berechtigungen zugewiesen werden sollen.
- Öffnen Sie die Seite Rollen, und verwenden Sie das Werkzeug Rolle suchen, um die im vorherigen Schritt ausgewählte Rolle zu suchen.
- Klicken Sie neben der Rolle auf die Schaltfläche Bearbeiten .
- Wählen Sie für den Parameter Rollentyp entweder Publisher oder Administrator aus.
- Klicken Sie auf Speichern, um die Änderungen zu speichern.
Festlegen von Berechtigungen für ArcGIS-Web-Services
Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.
ArcGIS Server steuert den Zugriff auf Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.
Weitere Informationen zum Ändern der Berechtigungen für einen Service finden Sie unter Steuern des Zugriffs auf Ihre Services.
Hinweis:
Wenn ArcGIS Server Manager mit der integrierten Windows-Authentifizierung durchsucht wird, ist der Link Abmelden nicht mehr sichtbar. Das liegt daran, dass der Benutzer, der den Webbrowser ausführt, automatisch vom Betriebssystem angemeldet wird. Um den Browser als ein anderer Benutzer auszuführen, können Sie die Befehlsoption Ausführen als von Windows verwenden. Suchen Sie dazu die Programmverknüpfung im Menü Start, drücken Sie die Umschalttaste während Sie mit der rechten Maustaste auf das Programm klicken, und wählen Sie Als anderer Benutzer ausführen aus.
Testen des Zugriffs auf gesicherte Services
Suchen Sie zum Testen des Setups ein Windows-Domänen-Benutzerkonto mit Zugriff auf den Stammverzeichnisordner mit den Services. Melden Sie sich über dieses Benutzerkonto bei Windows an, öffnen Sie einen Webbrowser, und greifen Sie auf ArcGIS Server WSDL zu:
https://webadaptorhost.domain.com/webadaptorname/services?wsdl
Entsprechend können Sie auch das Services Directory anzeigen, um auf die gesicherten Services zuzugreifen:
https://webadaptorhost.domain.com/webadaptorname/rest/services
Hinweis:
Wenn das Services Directory mit der integrierten Windows-Authentifizierung durchsucht wird, ist der Link Abmelden nicht mehr sichtbar. Das liegt daran, dass der Benutzer, der den Webbrowser ausführt, automatisch vom Betriebssystem angemeldet wird. Um den Browser als ein anderer Benutzer auszuführen, können Sie die Befehlsoption Ausführen als von Windows verwenden. Suchen Sie dazu die Programmverknüpfung im Menü Start, drücken Sie die Umschalttaste während Sie mit der rechten Maustaste auf das Programm klicken, und wählen Sie Als anderer Benutzer ausführen aus.
Führen Sie folgende Schritte aus, um zu ermitteln, welche Windows-Domänenbenutzer Zugriff auf den Stammverzeichnisordner haben:
- Melden Sie sich bei Manager an, und klicken Sie auf Services.
- Klicken Sie neben dem Stammverzeichnisordner auf die Schaltfläche Sperren, und identifizieren Sie die Rollen, die berechtigt sind, auf diesen Ordner zuzugreifen. Wenn zurzeit keine Rollen Zugriff haben, gewähren Sie mindestens einer Rolle den Zugriff, indem Sie auf Rolle hinzufügen klicken.
- Klicken Sie auf Sicherheit > Rollen und für die Rolle mit dem Zugriff auf den Stammverzeichnisordner auf die Schaltfläche Bearbeiten .
- Zeigen Sie die Liste der Benutzer an, die Mitglied dieser Rolle sind.