Schützen des Zugriffs auf das Portal mittels Windows Active Directory und PKI

Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Portal-Zugriffs verwenden, wenn Benutzerkonten von Windows Active Directory verwaltet werden.

In den folgenden Abschnitten wird die Einrichtung von Portal for ArcGIS und ArcGIS Web Adaptor (IIS) für die Verwendung einer PKI erläutert. Die Schritte sind vollständig und in der hier angegebenen Reihenfolge auszuführen. Wenn Sie Unterstützung beim Konfigurieren anderer Webserver zur Verwendung einer PKI mit ArcGIS Web Adaptor benötigen, wenden Sie sich an Esri Professional Services.

Bei diesen Schritten wird davon ausgegangen, dass Sie ArcGIS Web Adaptor (IIS) und Portal for ArcGIS bereits installiert und das Portal beim Web Adaptor registriert haben.

VeraltetVeraltet:

Ältere Versionen: In 10.2 musste eine Eigenschaftendatei auf der Festplatte bearbeitet werden, um Sicherheitseinstellungen für das Portal zu konfigurieren. Dies ist in 10.2.1 und späteren Versionen nicht mehr erforderlich. Die folgenden Anweisungen gelten nur für 10.2.1 und höhere Versionen. Hilfe zu diesen Anweisungen in 10.2 finden Sie in der 10.2-Dokumentation.

Konfigurieren von Portal for ArcGIS zur Nutzung von Benutzern in Windows Active Directory

Konfigurieren Sie zunächst das Portal für die ausschließliche Verwendung von SSL. Diese Einstellung erfolgt auf der Seite Sicherheit der Portal-Website.

Schritte:
  1. Melden Sie sich als Portal-Administrator bei der Portal-Website an.
  2. Klicken Sie auf der Seite Einstellungen bearbeiten auf Eigene Organisation.
  3. Klicken Sie auf Sicherheit.
  4. Aktivieren Sie die Option Zugriff auf das Portal nur über SSL erlauben.
  5. Klicken Sie auf Speichern, um die Änderungen zu speichern.
HinweisHinweis:

Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.

Aktualisieren Sie als nächstes den Identitätsspeicher Ihres Portals, um Windows Active Directory-Konten zu verwenden.

Schritte:
  1. Melden Sie sich beim Portal Directory mit einem Konto an, das über Administratorberechtigungen verfügt. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > Config > Identitätsspeicher aktualisieren.
  3. Fügen Sie das Windows Active Directory-Konfigurations-JSON in das Textfeld Benutzerspeicherkonfiguration (im JSON-Format) ein.

    Sie können den folgenden Text kopieren und so ändern, dass er die für Ihre Site spezifischen Informationen enthält:

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    In den meisten Fällen müssen Sie lediglich die Werte für den Benutzer und die Parameter "userPassword" ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis gespeichert oder angezeigt wird. Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens des Windows-Kontos im Netzwerk. Verwenden Sie nach Möglichkeit ein Konto, dessen Kennwort nicht abläuft.

  4. Wenn Sie die JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Konfiguration aktualisieren, um die Änderungen zu speichern.

Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Sie müssen die Authentifizierung über Clientzertifikatzuordnung in Active Directory in IIS installieren und aktivieren.

Installieren der Authentifizierung über Clientzertifikatzuordnung

Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.

Windows Server 2008/R2 und 2012/R2

Schritte:
  1. Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
  2. Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
  3. Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
  4. Wählen Sie auf der Seite Rollendienste auswählen im Assistenten Rollendienste hinzufügen den Eintrag Authentifizierung über Clientzertifikatzuordnung aus und klicken Sie auf Weiter.
  5. Klicken Sie auf Installation.

Windows 7, 8 und 8.1

Schritte:
  1. Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
  2. Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
  3. Klicken Sie auf OK.

Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist nach Installation des Features in Windows nicht automatisch aktiviert. Führen Sie die nachfolgenden Schritte aus, um es in IIS zu aktivieren.

Schritte:
  1. Starten Sie Internetinformationsdienste-Manager.
  2. Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
  3. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  4. Vergewissern Sie sich, dass Authentifizierung über Clientzertifikatzuordnung in Active Directory angezeigt wird. Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
  5. Doppelklicken Sie auf Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory und wählen Sie Aktivieren im Fenster Aktionen.

Es erscheint eine Meldung, dass für die Verwendung von "Authentifizierung über Clientzertifikatzuordnung in Active Directory" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.

Konfigurieren von SSL für Web Adaptor

Ändern Sie die Authentifizierungs- und SSL-Einstellungen für Web Adaptor.

Schritte:
  1. Starten Sie Internetinformationsdienste-Manager.
  2. Erweitern Sie die Knoten Verbindungen, und wählen Sie die Web Adaptor-Site aus.
  3. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  4. Deaktivieren Sie alle Formen der Authentifizierung.
  5. Wählen Sie Web Adaptor erneut aus der Liste Verbindungen aus.
  6. Doppelklicken Sie auf SSL-Einstellungen.
  7. Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
  8. Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Bezeichnen eines Active Directory-Kontos als Administrator

Die Vorgehensweise zum Hinzufügen eines Active Directory-Kontos zu Ihrem Portal hängt davon ab, ob Ihr Konto so konfiguriert ist, dass dem Portal Konten automatisch hinzugefügt werden, wenn Benutzer sich mit einem Enterprise-Anmeldenamen anmelden, oder ob Konten über ArcGIS Portal Directory hinzugefügt werden müssen. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren der Kontoerstellung.

Bei manueller Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Konten mit dem Werkzeug "CreateUsers" hinzugefügt werden müssen, befolgen Sie die Anweisungen im Abschnitt Hinzufügen von Mitgliedern zu Ihrem Portal, um das Active Directory-Konto als Portal-Administrator hinzuzufügen. Stellen Sie sicher, dass die Rolle Administrator ausgewählt ist, wenn Sie das Enterprise-Konto registrieren.

Bei automatischer Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten automatisch hinzugefügt werden, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Active Directory-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten. Je nach Browser und Einstellungen werden Sie möglicherweise aufgefordert, sich anzumelden.

Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle das Active Directory-Konto zuweisen. Da Web Adaptor für die Windows-Authentifizierung festgelegt wurde, müssen Sie die Verbindung mit dem Portal über Port 7443 statt über den Web Adaptor herstellen, um sich mit dem initialen Administratorkonto anzumelden.

Schritte:
  1. Stellen Sie eine Verbindung mit dem Portal her, während Sie mit dem Enterprise-Konto, das Administratorkonto werden soll, angemeldet sind. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer eine Verbindung mit dem Portal herstellen, damit dessen Konto beim Portal registriert wird.
  2. Nachdem das Konto zum Portal hinzugefügt wurde, öffnen Sie einen Browser, und stellen Sie eine Verbindung mit dem Portal über Port 7443 her, beispielsweise https://portal.domain.com:7443/arcgis/home.
  3. Melden Sie sich mit dem initialen Administratorkennwort an, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
  4. Suchen Sie nach dem Active Directory-Konto, mit dem Sie das Portal verwalten möchten, und ändern Sie dessen Rolle in Administrator. Das Konto wird im Format username@domain angezeigt.
  5. Melden Sie sich von der Website ab.

Wenn Sie jetzt mit diesem Active Directory-Konto auf dem Computer angemeldet sind, können Sie sich über Web Adaptor beim Portal anmelden und es verwalten.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie das initiale Administratorkonto der Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, können Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können.

Führen Sie diese Schritte aus, um zu verhindern, dass Benutzer eigene Konten erstellen:

Schritte:
  1. Navigieren Sie zu <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline, und öffnen Sie config.js in einem Texteditor.
  2. Suchen Sie die showSignUp-Eigenschaft, und geben Sie den Wert als false an.
  3. Speichern und schließen Sie die Datei.
  4. Um die Änderungen zu übernehmen, starten Sie das Portal neu.
  5. Nachdem das Portal neu gestartet wurde, löschen Sie den Cache des Browsers (einschließlich Cookies), um die Änderungen auf der Portal-Website anzuzeigen.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014