Konfigurieren von Sicherheitseinstellungen
Zum Konfigurieren von Sicherheitseinstellungen ist ein Organisationskonto mit Administratorrolle erforderlich.
Als Administrator Ihrer Organisation legen Sie fest, ob SSL für alle Transaktionen erforderlich ist, ob der anonyme Zugriff erlaubt ist und ob die Freigabe und Suche von Inhalten außerhalb der Organisation zulässig ist. Sie können auch Enterprise-Anmeldenamen einrichten (in der Beta-Version).
Führen Sie die folgenden Schritte aus, um die Sicherheitseinstellungen zu konfigurieren.
- Überprüfen Sie, ob Sie angemeldet und Administrator Ihrer Organisation sind.
- Klicken Sie im obersten Banner auf den Link Eigene Organisation. Ihre Organisationsseite wird geöffnet.
- Klicken Sie auf die Schaltfläche Einstellungen bearbeiten.
- Klicken Sie links auf der Seite auf den Link Sicherheit.
- Aktivieren Sie den Zugriff auf die Organisation nur über SSL.
Mit SSL (Secure Sockets Layer) wird sichergestellt, dass die Daten der Organisation und alle temporären Identifikationstoken, die den Zugriff auf Ihre Daten zulassen, während der Kommunikation über das Internet verschlüsselt werden. Die Aktivierung von SSL kann sich auf die Performance der Site auswirken.
SSL ist für Organisationen vorgesehen, die nur auf eigene Inhalte zugreifen, oder für Organisationen, die auf eigene Inhalte oder Inhalte von anderen Organisationen zugreifen, die SSL verwenden. Organisationen können jedoch auch SSL aktivieren und es den Benutzern gestatten, auf zusätzliche Nicht-HTTPS-Inhalte außerhalb der Organisation zuzugreifen. Jedoch unterstützen nicht alle Anwendungen die Verwendung von Webkarten mit gemischtem Inhalt, was in den unterschiedlichen Karten-Viewern zu einer verschlechterten Performance für die Benutzer führen kann. ArcGIS Explorer Online und andere Microsoft Silverlight-Anwendungen unterstützen gemischte Inhalte nicht. Wenn Sie beispielsweise als Mitglied einer SSL-Organisation versuchen, eine Webkarte in ArcGIS Explorer Online zu öffnen und die Karte HTTP-Layer enthält, werden diese Layer möglicherweise fehlerhaft dargestellt. Weitere Informationen zu SSL finden Sie unter Sichern gehosteter Services.
- Durch Aktivierung lassen Sie den anonymen Zugriff auf die URL Ihrer Organisation zu.
Bei deaktiviertem Kontrollkästchen können anonyme Benutzer mit der privaten URL der Organisation keine Ressourcen aufrufen. Wenn Sie den anonymen Zugriff aktivieren (durch Aktivieren des Kontrollkästchens), stellen Sie sicher, dass die für die Site-Konfiguration ausgewählten Gruppen für die Öffentlichkeit freigegeben sind. Andernfalls können anonyme Benutzer die öffentlichen Inhalte dieser Gruppen möglicherweise nicht ordnungsgemäß anzeigen oder öffnen. Weitere Informationen zum Einrichten von Site-Konfigurationsgruppen finden Sie unter Verwalten einer Organisation.
- Aktivieren Sie Freigabe und Suche, um anzugeben, dass die Mitglieder Inhalte außerhalb der Organisation freigeben und ggf. nach Inhalten außerhalb der Organisation suchen können.
Wenn Sie Mitglieder veranlassen, Inhalte nur innerhalb der Organisation freizugeben, können sie weder ihre Webkarten oder Gruppen in Websites einbetten noch Webanwendungen und andere Elemente für die Öffentlichkeit freigeben. Administratoren können die Elemente der Mitglieder dennoch für die Öffentlichkeit freigeben. Administratoren können beispielsweise die Webkarte eines Mitglieds veröffentlichen und dann in eine Website einbetten.
Wenn Sie den anonymen Zugriff auf Ihre Organisation deaktiviert haben, können Sie Webkarten, Anwendungen und Gruppen freigeben, indem Sie das entsprechende Element für alle Benutzer (öffentlich) freigeben und die URL des Elements von der privaten URL Ihrer Organisation in die öffentliche ArcGIS Online-URL (www.arcgis.com) ändern. Sie können beispielsweise eine der Webkarten Ihrer Organisation für anonyme Benutzer freigeben, indem Sie die URL von http://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 in http://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 ändern.
Wenn Sie die Freigabe von Elementen außerhalb der Organisation für Mitglieder beschränkt haben, werden Benutzern und Publishern die Optionen zum Freigeben von Inhalten oder Gruppen für alle Benutzer (öffentlich) nicht angezeigt. Als Administrator haben Sie jedoch die Möglichkeit, jedes Element in der Organisation öffentlich freizugeben.
- Einrichten von Enterprise-Anmeldenamen.
- Klicken Sie auf Speichern, um die vorgenommenen Änderungen zu speichern.
Konfigurieren von Enterprise-Anmeldenamen
Die Verbesserungen der ArcGIS Online-Beta-Version sind für alle ArcGIS Online-Benutzer mit Organisationskonten verfügbar. Es handelt sich um stabile Komponenten der Site, die unvollständige Funktionalität oder Dokumentation und einige kleinere Fehler aufweisen können.
Beachten Sie, dass Benutzer in der ersten Beta-Version lediglich die Möglichkeit haben, automatisch beizutreten. Dies bedeutet, dass alle Benutzer mit einem Konto im Identity-Provider automatisch der ArcGIS Online-Organisation beitreten können, indem sie sich mit ihren Enterprise-Anmeldenamen bei der Organisation anmelden. In der endgültigen Version kann der Administrator der Organisation die Mitgliedschaft auf die Benutzer beschränken, die explizit zum Beitritt zur ArcGIS Online-Organisation eingeladen wurden.
Wenn Sie Probleme mit der Beta-Funktionalität haben, wenden Sie sich an den technischen Support von Esri, oder besuchen Sie das ArcGIS Online-Forum.
Durch die Konfiguration der Enterprise-Anmeldenamen können die Benutzer Ihrer Organisation sich mit denselben Anmeldenamen bei ArcGIS Online anmelden, die sie für den Zugriff auf die Informationssysteme Ihres Unternehmens verwenden. Die hierzu verwendete Methode wird als Single Sign-On mit SAML bezeichnet. Die Vorteile der Einrichtung von Enterprise-Anmeldenamen, die diese Methode verwenden, bestehen darin, dass Benutzer innerhalb des ArcGIS Online-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden, der bereits innerhalb Ihres Unternehmens eingerichtet wurde. Wenn ein Benutzer sich bei ArcGIS Online anmelden möchte, wird er zu einer Anmeldeseite innerhalb des Unternehmens umgeleitet. Der Benutzer gibt den Enterprise-Benutzernamen und das Enterprise-Kennwort direkt in den Anmelde-Manager Ihres Unternehmens ein, der auch als Enterprise-Identity-Provider bezeichnet wird. Nachdem der Anmeldename des Benutzers bestätigt wurde, informiert der Enterprise-Identity-Provider ArcGIS Online darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde.
ArcGIS Online unterstützt SAML 2.0 zur Konfiguration Ihrer Enterprise-Anmeldenamen. Sie müssen sich an den Administrator Ihres Unternehmens wenden, um die für die Konfiguration erforderlichen Parameter zu erhalten (in den Schritten unten erörtert). Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den Enterprise-Identity-Provider zu konfigurieren oder zu aktivieren und die für die Konfiguration für ArcGIS Online erforderlichen Parameter abzurufen.
Was ist SAML?
Security Assertion Markup Language (bekannt als SAML) ist ein offener Standard, um Authentifizierungs- und Autorisierungsdaten zwischen einem Identity-Provider (Ihrer Organisation) und einem Service-Provider (in diesem Fall ArcGIS Online) sicher auszutauschen. ArcGIS Online ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Single Sign-On mit SAML unterstützen.
Einrichten von Identitätsgruppen bei einem Enterprise-Identity-Provider
Führen Sie die folgenden Schritte aus, um Ihren Identity-Provider einzurichten:
- Klicken Sie im Bereich Enterprise-Anmeldenamen auf die Schaltfläche Identity-Provider festlegen, und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein.
- Legen Sie fest, wie Benutzer ArcGIS Online mit ihren Enterprise-Anmeldenamen beitreten sollen.
- In der ersten Beta-Version können Benutzer nur automatisch beitreten. Dies bedeutet, dass alle Benutzer mit einem Konto im Identity-Provider automatisch der ArcGIS Online-Organisation beitreten können, indem sie sich mit ihren Enterprise-Anmeldenamen bei der Organisation anmelden.
- In der endgültigen Version kann der Administrator der Organisation die Mitgliedschaft auf die Benutzer beschränken, die explizit zum Beitritt zur ArcGIS Online-Organisation eingeladen wurden.
- Standardmäßig werden für alle Benutzer, die ArcGIS Online über ihr Enterprise-Anmeldekonto beitreten, der Organisation mit den Berechtigungen eines Benutzers hinzugefügt. Als Administrator können Sie ihre Berechtigungsebene in ArcGIS Online in Publisher oder Administrator ändern.Achtung:
In der ersten Beta-Version können sich alle Benutzer mit einem Enterprise-Anmeldenamen bei Ihrer Organisation anmelden, wenn Sie die Gruppe eingerichtet haben. In der endgültigen Version kann der Administrator der Organisation die Mitgliedschaft auf die Benutzer beschränken, die explizit zum Beitritt zur ArcGIS Online-Organisation eingeladen wurden.
- Stellen Sie Metadateninformationen zu Ihrem SAML-kompatiblen Enterprise-Identity-Provider für ArcGIS Online bereit.
Geben Sie hierzu die Quelle an, auf die ArcGIS Online zugreift, um Metadateninformationen zu dem SAML-kompatiblen Enterprise-Identity-Provider abzurufen. Wenden Sie sich an den Administrator, um Ihren Identity-Provider zu ermitteln und die entsprechende Metadateninformationsquelle bereitzustellen. Es gibt drei mögliche Quellen für diese Informationen:
- URL – Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
- Datei – Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
- Parameter – Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Parameter ein:
Anmelde-URL – Geben Sie die URL ein, die ArcGIS Online verwenden soll, um die Anmeldung eines Benutzers zuzulassen.
HTTP-Umleitung oder HTTP-Post – Legen Sie fest, ob die Verbindung zum Identity-Provider über HTTP oder eine Umleitung hergestellt werden soll.
X.509-Zertifikat – Navigieren Sie zu einer lokalen Datei, die das Zertifikat für den Enterprise-Identity-Provider darstellt. Anhand dieses Zertifikats kann ArcGIS Online verschlüsselte SAML-Antworten entschlüsseln, die es vom Enterprise-Identity-Provider empfängt.
- Verwenden Sie den Link Erweiterte Einstellungen, um zusätzliche Informationen zu Ihrem Identity-Provider bereitzustellen.
- Abmelde-URL – Legen Sie die Abmelde-URL fest, die ArcGIS Online verwendet, wenn sich der Benutzer bei der Organisation abmeldet.
- Benutzer-ID-Attribut – Geben Sie das Benutzer-ID-Attribut in die SAML-Antwort vom Identity-Provider ein, anhand dessen ArcGIS Online den Benutzernamen des Benutzers ermittelt, der sich anmeldet. Wenn es nicht angegeben wird, verwendet ArcGIS Online den Standardattributnamen "Subject/NameID" für diese Eigenschaft.
- Um die Einrichtung von Identitätsgruppen abzuschließen und eine vertrauenswürdige Verbindung einzurichten, müssen Sie die entsprechende Metadatendatei für den Service Provider (ArcGIS Online) herunterladen und diese beim Enterprise-Identity- Provider registrieren. Laden Sie diese Datei über die Schaltfläche Service-Provider aufrufen herunter.
Ändern des registrierten Enterprise-Identity-Providers
Sie können den aktuell registrierten Identity-Provider über die Schaltfläche Identity-Provider entfernen entfernen. Diese Schaltfläche wird nur einmal aktiviert, nachdem Sie einen Identity-Provider eingerichtet haben. Sobald Sie den Identity-Provider entfernt haben, können Sie bei Bedarf einen neuen erstellen.