Konfigurieren der ArcGIS-Server-Sicherheit
Sie können die ArcGIS-Server-Sicherheitseinstellungen mit Manager konfigurieren. Über die Sicherheitseinstellungen wird festgelegt, wie Benutzer und Rollen verwaltet und Benutzer authentifiziert werden. Zum Konfigurieren der ArcGIS-Server-Sicherheit müssen Sie bei als primärer Site-Administrator oder als Benutzer mit Administratorzugriff angemeldet sein. Falls das primäre Site-Administratorkonto deaktiviert wurde, müssen Sie das primären Site-Administratorkonto erneut aktivieren, bevor Sie die ArcGIS-Server-Sicherheit ändern können.
In Manager stehen drei Optionen zur Verfügung, mit denen Sie die Verwaltung von Benutzern und Rollen konfigurieren können:
- Benutzer und Rollen aus dem im ArcGIS-Server integrierten Speicher
- Benutzer und Rollen aus einem vorhandenen Enterprise-System
- Benutzer aus einem vorhandenen Enterprise-System und Rollen aus dem im ArcGIS-Server integrierten Speicher
Weitere Informationen zur Verwaltung von Benutzern und Rollen in einem benutzerdefinierten Identitätsspeicher finden Sie unter Einrichten eines benutzerdefinierten Identitätsspeichers mit Java.
In Manager stehen zwei Optionen zur Verfügung, mit denen Sie festlegen können, wie Benutzer beim Zugriff auf GIS-Web-Services authentifiziert werden:
Verwalten von ArcGIS-Server-Benutzern und -Rollen
Benutzer und Rollen aus dem im ArcGIS-Server integrierten Speicher
In den ArcGIS-Server-Sicherheitseinstellungen ist standardmäßig die Verwendung von Benutzern und Rollen aus dem integrierten Speicher festgelegt. Wenn diese Option ausgewählt ist, werden die Benutzer- und Rolleninformationen in einem dateibasierten Format im Konfigurationsspeicher gespeichert. Auf die Benutzer und Rollen im integrierten Speicher kann nur mit dem ArcGIS-Server zugegriffen werden, und auch die Verwaltung kann nur mit dem ArcGIS-Server erfolgen. Wenn in den Sicherheitseinstellungen die Verwendung des integrierten Speichers festgelegt ist, werden die Benutzer über die tokenbasierte Authentifizierung von ArcGIS authentifiziert.
Benutzer und Rollen aus einem vorhandenen Enterprise-System
Auf dem ArcGIS-Server kann das gewünschte Maß an Sicherheit auch mit Benutzern und Rollen erzielt werden, die auf einem externen Microsoft Active Directory- oder LDAP-Server verwaltet werden. Der ArcGIS-Server verwendet den Active Directory- oder LDAP-Server als schreibgeschützten Speicher. Sie können Benutzer und Rollen auf einem Active Directory- oder LDAP-Server in Manager anzeigen, aber keine Benutzer und Rollen hinzufügen, bearbeiten oder löschen. Beim Verwenden von Active Directory oder LDAP als Benutzerspeicher wird die Benutzerauthentifizierung entweder mit dem ArcGIS-Server oder dem Webserver durchgeführt.
Benutzer aus einem vorhandenen Enterprise-System und Rollen aus dem im ArcGIS-Server integrierten Speicher
Der ArcGIS-Server kann so konfiguriert werden, dass der gewünschte Sicherheitsgrad mithilfe von Benutzern, die auf einem externen Microsoft Active Directory- oder LDAP-Server verwaltet werden, und mithilfe von Rollen, die im integrierten Speicher des ArcGIS-Servers verwaltet werden, erzielt wird. Der ArcGIS-Server verwendet den Active Directory- oder LDAP-Server als schreibgeschützten Speicher. Sie können die Benutzer auf dem Active Directory- oder LDAP-Server in Manager anzeigen, jedoch keine Benutzer hinzufügen, bearbeiten oder löschen. Sie können die Rollen im integrierten Speicher mit Manager hinzufügen, bearbeiten und löschen. Beim Verwenden von Active Directory oder LDAP als Benutzerspeicher wird die Benutzerauthentifizierung entweder mit dem ArcGIS-Server oder dem Webserver durchgeführt.
Authentifizieren von Anforderungen für die ArcGIS-Web-Services
Auf dem ArcGIS-Server können Sie festlegen, wie Benutzer beim Zugriff auf gesicherte ArcGIS-Web-Services authentifiziert werden sollen. Der Zugriff auf ArcGIS Server Manager und das Administratorverzeichnis erfolgt jedoch immer per tokenbasierter ArcGIS-Authentifizierung.
ArcGIS-Server-Authentifizierung
Bei Authentifizierung auf GIS-Serverebene werden die Benutzer mit dem Esri eigenen tokenbasierten ArcGIS-Authentifizierungsmechanismus authentifiziert. Informationen zur Funktionsweise der tokenbasierten ArcGIS-Authentifizierung finden Sie unter ArcGIS-Token. Die ArcGIS-Server-Authentifizierung ist die gängigste Methode, wenn die GIS-Web-Services vorrangig von Clients verwendet werden, die mit den ArcGIS-Server-Web-APIs erstellt wurden.
Webserver-Authentifizierung
Wenn die Authentifizierung durch den Webserver abgeschlossen ist, können Sie die vom Webserver bereitgestellten Standardauthentifizierungsmechanismen wie etwa HTTP-Digest-, PKI-Client-Zertifizierungsauthentifizierung usw. nutzen. Im Gegensatz zur Token-Authentifizierung werden diese Mechanismen von Drittanbieter-Clients für ArcGIS-Services erkannt. Die Webserver-Authentifizierung wird in der Regel auch für Webanwendungen eingesetzt, die die einmalige Anmeldung unterstützen oder einen benutzerdefinierten Authentifizierungsmechanismus verwenden.
Für die Webserver-Authentifizierung ist die Installation von ArcGIS Web Adaptor erforderlich. Bei konfigurierter Webserver-Authentifizierung gibt der ArcGIS-Server die Authentifizierung an Web Adaptor ab. Nachdem ein Benutzer authentifiziert wurde, verschlüsselt ArcGIS Web Adaptor die Benutzerinformationen, hängt sie an die Anforderung an und leitet diese an den ArcGIS-Server weiter. Der ArcGIS-Server empfängt und entschlüsselt die Benutzerinformationen dann, um sicherzustellen, dass der Benutzer über die Berechtigung zum Zugreifen auf den angeforderten GIS-Web-Service verfügt.
Sie können Web Adaptor entweder vor oder nach dem Konfigurieren der Webserver-Authentifizierung in Manager auf dem Webserver installieren. Weitere Informationen zu Web Adaptor und Anweisungen zur Installation auf dem Webserver finden Sie unter ArcGIS Web Adaptor.
Unterstützte Konfigurationen des Identitätsspeichers
Authentifizierungsmechanismus | Unterstützte Konfigurationen des Identitätsspeichers |
|---|---|
ArcGIS-Server-Authentifizierung |
|
Webserver-Authentifizierung | Jeder Identitätsspeicher, für den der Webserver über eine integrierte oder erweiterbare Unterstützung verfügt |