Verwaltung des Zugriffs auf das Portal
Hinweis:Dieses Thema gilt nur für 10.2.1 und höhere Versionen.
Zu den wichtigsten Erwägungen bei der Planung der Bereitstellung von Portal for ArcGIS zählt die Entscheidung, wie Konten verwaltet werden sollen, die auf das Portal zugreifen, und mit welchen Berechtigungen diese Konten versehen werden sollen. Bei der Entscheidung über die Verwaltung der Konten geht es um die Wahl eines Identitätsspeichers.
Identitätsspeicher
Im Identitätsspeicher des Portals ist festgelegt, wo die Anmeldedaten Ihrer Portalkonten gespeichert werden und wie die Authentifizierung erfolgt. Portal for ArcGIS unterstützt zwei Typen von Identitätsspeichern: integrierte und Enterprise-Identitätsspeicher.
Integrierte Identitätsspeicher
Portal for ArcGIS ist vorkonfiguriert, sodass Sie Konten in Ihrem Portal problemlos erstellen können. Über den Link Konto erstellen auf der Startseite der Portal-Website können Sie ein integriertes Konto zum Portal hinzufügen und Inhalte für die Organisation bereitstellen oder auf von anderen Mitgliedern erstellte Ressourcen zugreifen. Auf diese Weise nutzen Sie bei der Kontenerstellung im Portal den integrierten Identitätsspeicher, in dem die Benutzernamen, Kennwörter und Rollen der Portal-Kunden gespeichert sind.
Zur Erstellung des initialen Administrator-Kontos für das Portal müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem Enterprise-Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen Enterprise-Identitätsspeicher.
Enterprise-Identitätsspeicher
In Portal for ArcGIS können Sie Enterprise-Anmeldenamen zur Steuerung des Zugriffs auf Ihre ArcGIS-Organisation verwenden. Beispielsweise können Sie mit den Anmeldedaten von Windows Active Directory oder Ihres LDAP-Speichers den Zugriff auf das Portal kontrollieren. Bei der Nutzung eines Enterprise-Identitätsspeichers erfolgt die Verwaltung von Kontoanmeldedaten und des Authentifizierungsprozesses vollständig außerhalb von Portal for ArcGIS.
Wenn Ihre Organisation beispielsweise Richtlinien für die Gültigkeit und den Aufbau von Kennwörtern festlegen möchte, oder Sie planen, dass die Authentifizierung über Integrated Windows Authentication (IWA) oder PKI erfolgen soll, müssen Sie einen Enterprise-Identitätsspeicher verwenden. Der größte Vorteil von Enterprise-Identitätsspeichern besteht darin, dass die Organisation die Anmeldeinformationen zentral in einem Repository verwalten kann und sie für das Portal nutzen kann; es gibt keine doppelten Konten.
Der Zugriff auf das Portal über die Enterprise-Anmeldedaten ist auch für die Endbenutzer viel einfacher, da man sich nicht noch einen Benutzernamen und Kennwort merken muss. Wenn Sie Ihr Portal mit einem Enterprise-Identitätsspeicher konfigurieren, so ermöglichen Sie damit das einmalige Anmelden, wodurch Ihre Benutzer ihre Anmeldedaten nicht erneut eingeben müssen.
Portal for ArcGIS unterstützt Enterprise-Identitätsspeicher für Windows Active Directory und LDAP. Weitere Informationen finden Sie unter Verwenden der integrierten Windows-Authentifizierung im Portal oder Verwenden des Portals mit LDAP und Authentifizierung auf Webebene.
Zugriffsberechtigungen
Sobald Sie die Verwaltung von Anmeldedaten und der Authentifizierung Ihrer Konten in Portal for ArcGIS festgelegt haben, müssen Sie entscheiden, mit welchen Berechtigungen Sie die Benutzer ausstatten wollen, die auf Ihre ArcGIS-Organisation zugreifen. Mit Berechtigungen legen Sie fest, ob der Benutzer, der auf das Portal zugreift, Teil der ArcGIS-Organisation sein soll. Benutzer, die auf das Portal ohne ein ArcGIS-Organisationskonto zugreifen, können lediglich nach öffentlichen Elementen suchen und diese nutzen. Ist zum Beispiel eine öffentliche Webkarte in eine Website eingebettet, können Betrachter dieser Karte auf ein Element Ihres Portal zugreifen, auch wenn sie dort kein Konto haben.
Es bleibt Ihnen überlassen, ob Sie diese Zugriffsart aktivieren möchten. Sie können den Zugriff für Personen, die noch nicht zur ArcGIS-Organisation gehören, jederzeit deaktivieren. Weitere Informationen hierzu finden Sie unter Deaktivieren des anonymen Zugriffs.
Benutzern, die Mitglied Ihrer ArcGIS-Organisation sind, können erweiterte Berechtigungen für den Portalzugriff gewährt werden. Die Mitglieder der ArcGIS-Organisation sind unter der Registerkarte Eigene Organisation der Portal-Website aufgelistet. In der folgenden Tabelle werden die einzelnen Berechtigungsebenen beschrieben.
Zugriff ohne ein ArcGIS-Organisationskonto | Zugriff mit einem ArcGIS-Organisationskonto | |||
|---|---|---|---|---|
Benutzerrolle | Publisher-Rolle | Administrator-Rolle | ||
Öffentliche Elemente (z. B. Webkarten und Webanwendungen) suchen und verwenden | Ja | Ja | Ja | Ja |
Private Elemente (z. B. Webkarten und Webanwendungen) suchen und verwenden | Nein | Ja | Ja | Ja |
Elemente (z. B. Webkarten und Webanwendungen) erstellen und freigeben | Nein | Ja | Ja | Ja |
Verwenden von Collector for ArcGIS, Esri Maps for Office oder Dashboard for ArcGIS-Anwendungen | Nein | Ja | Ja | Ja |
Veröffentlichen neuer Inhalte als gekachelte oder Feature-Services | Nein | Nein | Ja | Ja |
Verwalten von Elementen anderer Benutzer | Nein | Nein | Nein | Ja |
Verwalten von Benutzern und deren Berechtigungen | Nein | Nein | Nein | Ja |
Verwalten der ArcGIS-Organisation | Nein | Nein | Nein | Ja |
Wenn Ihrem Portal ein neues ArcGIS-Organisationskonto hinzugefügt wird, erhält es die Benutzerrolle standardmäßig zugewiesen. Der Portal-Administrator kann die Rolle jedoch jederzeit ändern. Weitere Informationen erhalten Sie unter Verwalten von Benutzerrollen.
Verwalten von ArcGIS-Organisationskonten
Ein ArcGIS-Organisationskonto ist ein Benutzerkonto, das zum Organisationsbereich Ihrer Portal-Website hinzugefügt wurde. In der Dokumentation und Benutzerführung der Portal-Website werden diese Benutzer normalerweise als Mitglieder der Organisation bezeichnet.
Als Administrator müssen Sie nicht nur die volle Kontrolle über die den einzelnen Mitgliedern Ihrer ArcGIS-Organisation gewährten Berechtigungen haben, sondern auch darüber, wer ihr als Mitglied angehören darf.
Die maximale Anzahl von ArcGIS-Organisationskonten in Ihrem Portal ist in der Autorisierungsdatei festgelegt, die Sie zur Aktivierung der Software verwendet haben. Sie können die Gesamtanzahl der Mitglieder Ihrer Organisation und die maximal zulässige Anzahl jederzeit unter der Registerkarte Eigene Organisation auf der Portal-Website vergleichen.
Verwalten von Konten mithilfe des integrierten Speichers
Bei Nutzung des integrierten Speichers wird auf der Portal-Website standardmäßig ein Link angezeigt, über den sich jeder Benutzer mit der ArcGIS-Organisation verbinden kann. Dies erleichtert zwar das Verbinden mit Ihrer Organisation, allerdings können Sie solche Verbindungen nicht wirklich einschränken; es kann also jeder, der über einen Zugang zum Portal verfügt, ein Konto erstellen. Wenn Sie mehr Kontrolle wünschen, können Siediese Art der Selbstbedienung deaktivieren und den Zugriff auf das Portal für mehrere vordefinierte Konten auf einmal bereitstellen. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.
Verwalten von Konten mithilfe eines Enterprise-Identitätsspeichers
In Portal for ArcGIS können Sie Konten in Ihrem Enterprise-Speicher weder löschen, bearbeiten noch neu anlegen, hingegen können Sie vorhandene Enterprise-Konten in Ihrer Organisation registrieren. Aus diesem Grund ist die Anmeldeseite auf der Portal-Website nicht verfügbar, wenn Sie das Portal mit einem Enterprise-Identitätsspeicher konfigurieren.
Als Administrator wählen Sie für gewöhnlich die Enterprise-Anmeldedaten aus, die Sie zur Organisation hinzufügen möchten, und fügen sie dann alle zusammen hinzu. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.
Sie können aber auch festlegen, dass jedes Enterprise-Konto, das eine Verbindung zum Portal oder seinen Elementen herstellt, automatisch hinzugefügt wird. Weitere Informationen erhalten Sie unter Automatische Registrierung von Enterprise-Konten.
Es ist wichtig zu verstehen, dass der anonyme Zugang zur ArcGIS-Organisation deaktiviert ist, wenn ein Portal mit einem Enterprise-Identitätsspeicher konfiguriert ist; jeder Benutzer, der auf das Portal zugreift, muss sich zunächst im Enterprise-Speicher authentifizieren. Nach erfolgter Authentifizierung wird der Benutzer je nach Vorhandensein eines ArcGIS-Organisationskontos auf seinen Namen mit den entsprechenden Berechtigungen ausgestattet.
Hinweis:Beim Aktualisieren von Portal for ArcGIS 10.2.1 auf 10.2.2 wird die Einstellung zum Aktivieren oder Deaktivieren der automatischen Erstellung nicht beibehalten. Die automatische Kontoerstellung wird nach der Aktualisierung deaktiviert. Dieses Verhalten ist unerwünscht und wird in einer zukünftigen Softwareversion behoben. Wenn Sie die automatische Kontoerstellung in 10.2.1 aktiviert haben, können Sie dieses Problem beheben, indem Sie die Einstellung nach der Aktualisierung auf 10.2.2 sofort erneut aktivieren. Eine vollständige Anleitung erhalten Sie unter Automatische Registrierung von Enterprise-Konten.
Veraltet:In Portal for ArcGIS 10.2 wurden Enterprise-Konten automatisch als Mitglieder der Organisation registriert. Das bedeutet, dass Ihre Organisation möglicherweise unbeabsichtigt die maximal zulässige Mitgliederzahl überschritten hat. Wenn Sie Portal for ArcGIS von der Version 10.2 auf 10.2.2 aktualisieren, behält es sein bisheriges Verhalten bei; die Konten werden nach wie vor automatisch registriert. Umgekehrt ist in einem neu installierten Portal for ArcGIS 10.2.1 oder 10.2.2 eine automatische Kontoerstellung nicht zulässig. Wenn Sie Ihr Portal von 10.2 auf 10.2.2 aktualisiert haben, bietet es sich an, dieses Verhalten abzuschalten, um mehr Kontrolle darüber zu haben, welche Benutzer als Mitglieder in der Organisation hinzugefügt werden. Eine vollständige Anleitung erhalten Sie unter Automatische Registrierung von Enterprise-Konten.