Verwenden der integrierten Windows-Authentifizierung im Portal

Sie können den Zugriff auf das Portal mithilfe der integrierten Windows-Authentifizierung (IWA) sichern. Bei Verwendung von IWA werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Benutzer melden sich nicht bei der Portal-Website an und ab. Wenn Sie die Website öffnen, werden Sie stattdessen mit demselben Konto angemeldet, mit dem sie sich bei Windows anmelden.

Die Konfiguration der integrierten Windows-Authentifizierung beim Portal erfolgt in drei Hauptschritten, die in der folgenden Reihenfolge ausgeführt werden müssen:

  1. Konfigurieren von Portal for ArcGIS zur Nutzung von Windows Active Directory-Benutzern
  2. Konfigurieren von ArcGIS Web Adaptor für die Windows-Authentifizierung
  3. Definieren eines Windows-Kontos als Administrator
VeraltetVeraltet:

Ältere Versionen: In 10.2 musste eine Eigenschaftendatei auf der Festplatte bearbeitet werden, um Sicherheitseinstellungen für das Portal zu konfigurieren. Dies ist in 10.2.1 und späteren Versionen nicht mehr erforderlich. Die folgenden Anweisungen gelten nur für 10.2.1 und höhere Versionen. Hilfe zu diesen Anweisungen in 10.2 finden Sie in der 10.2-Dokumentation.

Konfigurieren von Portal for ArcGIS zur Nutzung von Benutzern in Windows Active Directory

Konfigurieren Sie zunächst das Portal für die ausschließliche Verwendung von SSL. Diese Einstellung erfolgt auf der Seite Sicherheit der Portal-Website.

Schritte:
  1. Melden Sie sich als Portal-Administrator bei der Portal-Website an.
  2. Klicken Sie auf der Seite Einstellungen bearbeiten auf Eigene Organisation.
  3. Klicken Sie auf Sicherheit.
  4. Aktivieren Sie die Option Zugriff auf das Portal nur über SSL erlauben.
  5. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren Sie als nächstes den Identitätsspeicher Ihres Portals, um Windows Active Directory-Konten zu verwenden.

Schritte:
  1. Melden Sie sich bei Portal Directory mit einem Konto an, das über Administratorberechtigungen verfügt. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > Config > Identitätsspeicher aktualisieren.
  3. Fügen Sie das IWA-Konfigurations-JSON in das Textfeld Benutzerspeicherkonfiguration (im JSON-Format) ein.

    Sie können den folgenden Text kopieren und so ändern, dass die für Ihre Site spezifischen Informationen enthält:

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    In den meisten Fällen müssen Sie lediglich die Werte für den Benutzer und die Parameter "userPassword" ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis gespeichert oder angezeigt wird. Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens des Windows-Kontos im Netzwerk. Verwenden Sie nach Möglichkeit ein Konto, dessen Kennwort nicht abläuft.

    Legen Sie in dem seltenen Fall, dass in Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option "true" fest.

  4. Wenn Sie die JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Konfiguration aktualisieren, um die Änderungen zu speichern und das Portal neu zu starten.

Konfigurieren von ArcGIS Web Adaptor für die Windows-Authentifizierung

Konfigurieren Sie als Nächstes ArcGIS Web Adaptor für die Verwendung der Windows-Authentifizierung. Legen Sie die Authentifizierungsmethode für ArcGIS Web Adaptor (IIS) im IIS Manager fest.

Schritte:
  1. Starten Sie IIS-Manager.
  2. Rufen Sie im Feld Verbindungen die ArcGIS Web Adaptor-Website auf.

    Erweitern Sie <Ihr Server> > Sites > Standardwebsite, und klicken Sie auf Ihren Web Adaptor. Wenn Sie den Standardnamen verwendet haben, lautet der Name der Site "arcgis".

  3. Doppelklicken Sie auf der Startseite auf Authentifizierung.
  4. Klicken Sie auf Anonyme Authentifizierung und dann auf Deaktivieren.
  5. Klicken Sie auf Windows-Authentifizierung und dann auf Aktivieren.
  6. Schließen Sie IIS-Manager.
HinweisHinweis:

Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.

Nutzung eines Windows-Kontos zur Administratotion

Die Vorgehensweise beim Hinzufügen eines Windows-Kontos zu Ihrem Portal hängt davon ab, ob Ihr Konto so konfiguriert ist, dass dem Portal Konten automatisch hinzugefügt werden, wenn Benutzer sich mit einem Enterprise-Anmeldenamen anmelden, oder dass Konten über ArcGIS Portal Directory hinzugefügt werden müssen. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren der Kontoerstellung.

Bei manueller Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Konten mit dem Werkzeug "CreateUsers" hinzugefügt werden müssen, folgen Sie den Anweisungen im Abschnitt Hinzufügen von Enterprise-Konten zu Ihrem Portal, um das Windows-Konto als Portal-Administrator hinzuzufügen. Stellen Sie sicher, dass die Rolle Administrator ausgewählt ist, wenn Sie das Enterprise-Konto registrieren.

Bei automatischer Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten automatisch registriert werden, öffnen Sie die Startseite der Portal-Website während Sie mit dem Windows-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten. Je nach Browser und Einstellungen werden Sie möglicherweise aufgefordert, sich anzumelden.

Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Windows-Konto zuweisen. Da der Web Adaptor für die Windows-Authentifizierung festgelegt wurde, müssen Sie die Verbindung mit dem Portal über Port 7443 statt über den Web Adaptor herstellen, um sich mit dem initialen Administratorkonto anzumelden.

Schritte:
  1. Stellen Sie eine Verbindung mit dem Portal her während Sie mit dem Windows-Konto, das Sie als Administrator verwenden möchten, bei Ihrem Computer angemeldet sind. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer eine Verbindung mit dem Portal herstellen, damit das Konto beim Portal registriert wird.
  2. Nachdem das Windows-Konto zum Portal hinzugefügt wurde, öffnen Sie einen Browser, und stellen Sie eine Verbindung mit dem Portal über Port 7443 her, beispielsweise https://portal.domain.com:7443/arcgis/home.
  3. Melden Sie sich mit dem initialen Administratorkennwort an, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
  4. Suchen Sie das Windows-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Das Konto wird im Format username@domain angezeigt.
  5. Melden Sie sich von der Website ab.

Wenn Sie jetzt mit diesem Windows-Konto auf dem Computer angemeldet sind, können Sie sich über Web Adaptor beim Portal anmelden und es verwalten.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie das initiale Administratorkonto der Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, können Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können.

Führen Sie diese Schritte aus, um zu verhindern, dass Benutzer eigene Konten erstellen:

Schritte:
  1. Navigieren Sie zu <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline, und öffnen Sie config.js in einem Texteditor.
  2. Suchen Sie die showSignUp-Eigenschaft, und geben Sie den Wert als false an.
  3. Speichern und schließen Sie die Datei.
  4. Um die Änderungen zu übernehmen, starten Sie das Portal neu.
  5. Nachdem das Portal neu gestartet wurde, löschen Sie den Cache des Browsers (einschließlich Cookies), um die Änderungen auf der Portal-Website anzuzeigen.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014