Sichern von Web-Services mit integrierter Windows-Authentifizierung

In diesem Lernprogramm wird beschrieben, wie ArcGIS-Web-Services mithilfe integrierter Windows-Authentifizierung gesichert werden können. Für die integrierte Windows-Authentifizierung müssen Benutzer und Rollen auf einem Active Directory-Server von Microsoft Windows verwaltet werden. Diese Vorgehensweise empfiehlt sich, wenn GIS-Benutzer ihre bereits im Netzwerk für sie vorhandenen Konten nutzen können sollen.

Sie können die integrierte Windows-Authentifizierung verwenden, wenn die Benutzer über Windows-Domänenkonten verfügen und über ein lokales Netzwerk auf die Services zugreifen können.

HinweisHinweis:

Die integrierte Windows-Authentifizierung wird im Internet nicht unterstützt und erfordert die Installation und Konfiguration von ArcGIS Web Adaptor (IIS). Weitere Informationen finden Sie unter Der ArcGIS Web Adaptor. Der Web Adaptor dient zur Authentifizierung, während der ArcGIS-Server den Zugriff auf Web-Services authentifiziert.

Führen Sie die folgenden Schritte aus, um die ArcGIS-Web-Services mithilfe der integrierten Windows-Authentifizierung zu sichern:

  1. ArcGIS-Server zur Nutzung von Windows Active Directory-Benutzern und Rollen konfigurieren
  2. Benutzer und Rollen überprüfen
  3. Berechtigungen für Services festlegen
  4. Den ArcGIS Web Adaptor (IIS) zur Verwendung der Windows-Authentifizierung konfigurieren
  5. Zugriff auf gesicherte Services testen

Konfigurieren der ArcGIS-Server-Sicherheit zur Verwendung von Windows Active Directory-Benutzern und -Rollen

Konfigurieren Sie zur Unterstützung der integrierten Windows-Authentifizierung den ArcGIS-Server zum Abrufen der Benutzer und Rollen von einem Windows Active Directory-Server:

Schritte:
  1. Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator oder als Benutzer mit Administratorzugriff an. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
  2. Klicken Sie auf Sicherheit > Einstellungen.
  3. Klicken Sie auf die Schaltfläche Bearbeiten Bearbeiten neben Konfigurationseinstellungen.
  4. Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option Windows-Domäne, und klicken Sie auf Weiter.
  6. Geben Sie auf der Seite Anmeldedaten für Windows-Domäne die Anmeldedaten eines Benutzers mit Lesezugriff auf die Domäne ein, und klicken Sie dann auf Weiter.
  7. Wählen Sie auf der Seite Authentifizierungsebene den Eintrag Webebene.
  8. Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.

Überprüfen von Benutzern und Rollen

Nachdem Sie eine Windows Active Directory-Domäne als Benutzer- und Rollenspeicher konfiguriert haben, überprüfen Sie die Benutzer und Rollen, um sicherzustellen, dass sie richtig abgerufen wurden. Zum Hinzufügen, Bearbeiten und Löschen von Benutzern und Rollen müssen Sie die auf dem Active Directory-Server verfügbaren Werkzeuge verwenden.

Schritte:
  1. Klicken Sie in Manager auf Sicherheit > Benutzer.
  2. Überprüfen Sie, ob die Benutzer wie erwartet vom Windows-Domänenserver abgerufen wurden.
  3. Klicken Sie auf Rollen, um zu überprüfen, ob die Rollen vom Windows-Domänenserver abgerufen wurden.
  4. Überprüfen Sie, ob die Rollen wie erwartet vom Windows-Domänenserver abgerufen wurden. Klicken Sie neben einer Rolle auf die Schaltfläche Bearbeiten, um die Rollenzugehörigkeit zu überprüfen. Ändern Sie nach Bedarf den Wert Rollentyp. Weitere Informationen zu Rollentypen finden Sie unter Funktionsweise der ArcGIS-Server-Sicherheit.

Festlegen von Berechtigungen für ArcGIS-Web-Services

Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.

ArcGIS for Server steuert den Zugriff auf die auf Ihrem Server gehosteten GIS-Web-Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.

Berechtigungen können einem einzelnen Web-Service oder dem übergeordneten Ordner, der eine Gruppe von Services enthält, zugewiesen werden. Wenn Sie einem Ordner Berechtigungen zuweisen, erben alle enthaltenen Services die Berechtigungen des Ordners. Wenn Sie beispielsweise einer Rolle den Zugriff auf die Site (Stammordner) gewähren, können alle Benutzer, die dieser Rolle angehören, auf alle Services zugreifen, die auf dieser Site gehostet werden. Um Berechtigungen zu überschreiben, die ein Service automatisch von seinem übergeordneten Ordner erbt, können Sie den Service bearbeiten und die geerbten Berechtigungen explizit entfernen.

Informationen zum Festlegen von Berechtigungen für einen Service finden Sie unter Bearbeiten von Berechtigungen in Manager.

Konfigurieren des ArcGIS Web Adaptor (IIS) für die Windows-Authentifizierung

Nach der Konfiguration der Services zur Verwendung von Benutzern und Rollen auf einem Windows Active Directory-Server müssen Sie den ArcGIS Web Adaptor (IIS) installieren und konfigurieren und IIS für die Windows-Authentifizierung als Authentifizierungsmethode konfigurieren.

Schritte:
  1. Installieren Sie den Web Adaptor unter Berücksichtigung der Anweisungen unter Installieren von ArcGIS Web Adaptor (IIS).
  2. Konfigurieren Sie den Web Adaptor unter Berücksichtigung der Anweisungen unter Konfigurieren von Web Adaptor nach der Installation.
  3. Legen Sie die Authentifizierungsmethode für den Web Adaptor mit IIS-Manager fest.
    1. Klicken Sie zum Öffnen des IIS-Manager auf Start > Systemsteuerung > Verwaltung > Internet Information Services Manager.
    2. Erweitern Sie die linke Struktur von IIS-Manager unter Sites. Erweitern Sie Standardwebsite, um die Anwendung ArcGIS Web Adaptor (IIS) zu suchen. Der ArcGIS Web Adaptor (IIS) erhält standardmäßig den Namen arcgis.
    3. Bearbeiten Sie die Authentifizierungseigenschaften für den Web Adaptor. Deaktivieren Sie die Authentifizierung Anonym, und wählen Sie die Windows-Authentifizierung aus.
    4. Schließen Sie IIS-Manager.

Testen des Zugriffs auf gesicherte Services

Suchen Sie zum Testen des Setups ein Windows-Domänen-Benutzerkonto mit Zugriff auf den Stammverzeichnisorder mit den Services. Melden Sie sich über dieses Benutzerkonto bei Windows an, öffnen Sie einen Webbrowser, und greifen Sie auf den ArcGIS-Server-WSDL zu:

http://<webadaptor host>/arcgis/services?wsdl

Führen Sie folgende Schritte aus, um zu ermitteln, welche Windows-Domänenbenutzer Zugriff auf den Stammverzeichnisordner haben:

Schritte:
  1. Melden Sie sich bei ArcGIS Server Manager an, und klicken Sie auf Services.
  2. Klicken Sie auf die Schaltfläche Sperren Sperren neben dem Stammverzeichnisordner, und identifizieren Sie die Rollen, die berechtigt sind, auf diesen Ordner zuzugreifen. Wenn zurzeit keine Rollen Zugriff haben, gewähren Sie mindestens einer Rolle den Zugriff, indem Sie auf Rolle hinzufügen Rolle hinzufügen klicken.
  3. Klicken Sie auf Sicherheit > Rollen und für die Rolle mit dem Zugriff auf den Stammverzeichnisordner auf die Schaltfläche Bearbeiten.
  4. Zeigen Sie die Liste der Benutzer an, die Mitglied dieser Rolle sind.
Copyright © 1995-2013 Esri. All rights reserved.
9/23/2013