Verwenden des Portals mit LDAP und Authentifizierung auf Webebene

Sie können für das Portal die Verwendung desselben Lightweight Directory Access Protocol (LDAP) konfigurieren, mit dem Ihre Organisation Benutzer authentifiziert. Befolgen Sie zur Verwendung von LDAP im Portal die nachfolgenden Schritte in der angegebenen Reihenfolge:

Führen Sie zu Beginn die Schritte im nachstehenden Abschnitt aus.

VeraltetVeraltet:

Ältere Versionen: In 10.2 musste eine Eigenschaftendatei auf der Festplatte bearbeitet werden, um Sicherheit für das Portal zu konfigurieren. Dies ist in 10.2.1 und späteren Versionen nicht mehr erforderlich. Die folgenden Anweisungen gelten nur für 10.2.1 und höhere Versionen. Hilfe zu diesen Anweisungen in 10.2 finden Sie in der 10.2-Dokumentation.

Konfigurieren von LDAP im Portal

Konfigurieren Sie zunächst das Portal für die ausschließliche Verwendung von SSL. Diese Einstellung erfolgt auf der Seite Sicherheit der Portal-Website.

Schritte:
  1. Melden Sie sich als Portal-Administrator bei der Portal-Website an.
  2. Klicken Sie auf der Seite Einstellungen bearbeiten auf Eigene Organisation.
  3. Klicken Sie auf Sicherheit.
  4. Aktivieren Sie die Option Zugriff auf das Portal nur über SSL erlauben.
  5. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren Sie als nächstes den Identitätsspeicher Ihres Portals, um das LDAP Ihrer Organisation zu verwenden.

Schritte:
  1. Melden Sie sich am ArcGIS Portal Directory mit einem Konto an, das über Administratorberechtigungen verfügt. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > Config > Identitätsspeicher aktualisieren.
  3. Fügen Sie das LDAP-Konfigurations-JSON in das Textfeld Benutzerspeicherkonfiguration (im JSON-Format) ein.

    Sie können den folgenden Text kopieren und so ändern, dass die für Ihre Site spezifischen Informationen enthält:

    {
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin\,ou=system",
    "userFullnameAttribute": "cn",
    "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
    "userEmailAttribute": "email",
    "usernameAttribute": "cn",
    "caseSensitive": "false",
    "userSearchAttribute": "cn"
  }
}

    In den meisten Fällen müssen Sie lediglich die Werte für den Benutzer und die Parameter "userPassword" und "ldapURLForUsers" ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator. Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis gespeichert oder angezeigt wird.

    Wenn für LDAP keine Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie für den Parameter "caseSensitive" die Option "false" fest.

  4. Wenn Sie die JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Konfiguration aktualisieren, um die Änderungen zu speichern.

    Mit einem Klick auf Konfiguration aktualisieren wird Ihr Portal automatisch neu gestartet. Dieser Vorgang kann einige Minuten dauern.

Einrichten der Authentifizierung auf Webebene in Web Adaptor des Portals

LDAP erfordert die Authentifizierung auf der Webebene, und muss über den ArcGIS Web Adaptor (Java Platform) stattfinden. Der Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf den Java-Anwendungsserver zurück. Nachdem der Kontoname abgerufen wurde, wird er an das Portal weitergegeben.

Nach der Installation und Konfiguration des Web Adaptors (Java Platform) im Portal müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die Authentifizierungsmethode für den Web Adaptor festlegen. Weitere Anweisungen erhalten Sie in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Ihrem Systemadministrator.

HinweisHinweis:

Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.

Bezeichnen eines LDAP-Kontos als Administrator

Die Vorgehensweise beim Hinzufügen eines LDAP-Kontos zu Ihrem Portal hängt davon ab, ob Ihr Konto so konfiguriert ist, dass dem Portal Enterprise-Anmeldenamen automatisch hinzugefügt werden, wenn Benutzer sich anmelden oder wenn Konten über ArcGIS Portal Directory hinzugefügt werden müssen. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren der Kontoerstellung.

Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten automatisch hinzugefügt werden, öffnen Sie die Startseite der Portal-Website während Sie mit dem LDAP-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten. Je nach Browser und Einstellungen werden Sie möglicherweise aufgefordert, sich anzumelden.

Bei manueller Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Konten mit dem Werkzeug "CreateUsers" hinzugefügt werden müssen, folgen Sie den Anweisungen im Abschnitt Hinzufügen von Mitgliedern zum Portal, um das LDAP-Konto als Portal-Administrator hinzuzufügen. Stellen Sie sicher, dass die Rolle Administrator ausgewählt ist, wenn Sie das Enterprise-Konto registrieren.

Bei automatischer Registrierung von Konten für Enterprise-Benutzer

Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten beim erstmaligen Zugriff auf das Portal registriert werden, müssen Sie auf das Portal mit dem LDAP-Account zugreifen, um es beim Portal zu registrieren. Melden Sie sich dann beim Portal mit dem initialen Administrator-Konto an und weisen Sie dem LDAP-Benutzer die Administratorrolle zu.

Wenn ein Konto dem Portal neu hinzugefügt wird, wird ihm die Benutzerrolle zugewiesen. Nur ein Administrator kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkennwort beim Portal anmelden und der Administratorrolle ein LDAP-Konto zuweisen. Da für den Web Adaptor die LDAP-Authentifizierung festgelegt wurde, müssen Sie die Verbindung mit dem Portal durch Port 7443 und nicht über die Web Adaptor-URL herstellen, um sich mit dem initialen Administratorkonto anzumelden.

Schritte:
  1. Stellen Sie eine Verbindung mit der Portal-Website her, während Sie mit dem LDAP-Konto angemeldet sind. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer eine Verbindung mit dem Portal herstellen, damit dessen Konto beim Portal registriert wird.
  2. Nachdem das LDAP-Konto zum Portal hinzugefügt wurde, öffnen Sie einen Browser, und stellen Sie eine Verbindung mit der Portal-Website über Port 7443 her, beispielsweise https://portal.domain.com:7443/arcgis/home.
  3. Melden Sie sich mit dem initialen Administratorkonto an, das Sie bei der Ersteinrichtung des Portals erstellt haben.
  4. Ändern Sie die Rolle für das LDAP-Konto, mit dem Sie das Portal verwalten, in Administrator.
  5. Melden Sie sich von der Website ab.

Wenn Sie mit diesem LDAP-Konto auf dem Computer angemeldet sind, können Sie über die Web Adaptor-URL eine Verbindung mit dem Portal herstellen und das Portal verwalten.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie das initiale Administratorkonto der Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, können Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können.

Führen Sie diese Schritte aus, um zu verhindern, dass Benutzer eigene Konten erstellen:

Schritte:
  1. Navigieren Sie zu <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline, und öffnen Sie config.js in einem Texteditor.
  2. Suchen Sie die showSignUp-Eigenschaft, und geben Sie den Wert als false an.
  3. Speichern und schließen Sie die Datei.
  4. Um die Änderungen zu übernehmen, starten Sie das Portal neu.
  5. Nachdem das Portal neu gestartet wurde, löschen Sie den Cache des Browsers (einschließlich Cookies), um die Änderungen auf der Portal-Website anzuzeigen.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014