Schützen des Zugriffs auf das Portal mittels LDAP und PKI
Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Portal-Zugriffs verwenden, wenn Benutzer über LDAP (Lightweight Directory Access Protocol) authentifiziert werden.
In den folgenden Abschnitten wird die Einrichtung von Portal for ArcGIS und ArcGIS Web Adaptor (Java Platform) mit einer PKI erläutert. Die Schritte sind vollständig und in der hier angegebenen Reihenfolge auszuführen.
Bei diesen Schritten wird davon ausgegangen, dass Sie ArcGIS Web Adaptor (Java Platform) und Portal for ArcGIS bereits installiert und Web Adaptor im Portal konfiguriert haben.
Konfigurieren der Verwendung von LDAP-Benutzern in Portal for ArcGIS
Konfigurieren Sie zunächst das Portal für die ausschließliche Verwendung von SSL. Diese Einstellung erfolgt auf der Seite Sicherheit der Portal-Website.
- Melden Sie sich als Portal-Administrator bei der Portal-Website an.
- Klicken Sie auf der Seite Einstellungen bearbeiten auf Eigene Organisation.
- Klicken Sie auf Sicherheit.
- Aktivieren Sie die Option Zugriff auf das Portal nur über SSL erlauben.
- Klicken Sie auf Speichern, um die Änderungen zu speichern.
Hinweis:Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und für die Site eine Authentifizierung auf Webebene verwenden möchten, müssen Sie die Authentifizierung auf Webebene (Basic oder Digest) deaktivieren und den anonymen Zugriff für den mit der Site konfigurierten ArcGIS Web Adaptor aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.
Aktualisieren Sie als nächstes den Identitätsspeicher Ihres Portals, um das LDAP Ihrer Organisation zu verwenden.
- Melden Sie sich bei ArcGIS Portal Directory mit einem Konto an, das über Administratorberechtigungen verfügt. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
- Klicken Sie auf Security > Config > Identitätsspeicher aktualisieren.
- Fügen Sie die LDAP-Konfigurations-JSON in das Textfeld Benutzerspeicherkonfiguration (im JSON-Format) ein.
Sie können den folgenden Text kopieren und so ändern, dass die für Ihre Site spezifischen Informationen enthält:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "userEmailAttribute": "email", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "dn" } }In den meisten Fällen müssen Sie lediglich die Werte für die Parameter "userSearchAttribute", "user", "userPassword" und "ldapURLForUsers" ändern. userSearchAttribute ist der Wert des Parameters Antragsteller des PKI-Zertifikats. Wenn Ihre Organisation ein anderes Attribut im PKI-Zertifikat verwendet (z. B. eine E-Mail-Adresse), müssen Sie userSearchAttribute aktualisieren, damit der Wert mit dem Parameter Antragsteller im PKI-Zertifikat übereinstimmt.
Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator. Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis gespeichert oder angezeigt wird.
- Wenn Sie das JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Konfiguration aktualisieren, um die Änderungen zu speichern.
Mit einem Klick auf Konfiguration aktualisieren wird Ihr Portal automatisch neu gestartet. Dieser Vorgang kann einige Minuten dauern.
Einrichten der PKI-Authentifizierung im Web Adaptor des Portals
LDAP erfordert die Authentifizierung auf Webebene, und diese muss über den ArcGIS Web Adaptor (Java Platform) stattfinden. Der Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf den Java-Anwendungsserver zurück. Nachdem der Kontoname abgerufen wurde, wird er an das Portal weitergegeben.
Nach der Installation und Konfiguration des Web Adaptors (Java Platform) im Portal müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die PKI-basierte Clientzertifikatauthentifizierung für den Web Adaptor festlegen. Weitere Anweisungen erhalten Sie in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Ihrem Systemadministrator.
Wenn Sie Ihrem Portal eine ArcGIS-Server-Site hinzufügen und PKI mit dem Server verwenden möchten (z. B. LDAP), müssen Sie die Authentifizierung auf Webebene auf der ArcGIS-Server-Site deaktivieren und den anonymen Zugriff aktivieren, bevor Sie die Site zum Portal hinzufügen. Auch wenn es nicht intuitiv erscheint, ist dies erforderlich, damit die Site mit dem Portal verbunden werden kann und die Benutzer und Rollen des Portals gelesen werden können. Wenn die ArcGIS-Server-Site die Authentifizierung auf Webebene noch nicht verwendet, ist keine Aktion erforderlich. Anweisungen zum Hinzufügen eines Servers zu Ihrem Portal finden Sie unter Verbinden einer ArcGIS-Server-Site mit dem Portal.
Bezeichnen eines LDAP-Kontos als Administrator
Die Vorgehensweise beim Hinzufügen eines LDAP-Kontos zu Ihrem Portal hängt davon ab, ob Ihr Konto so konfiguriert ist, dass dem Portal Enterprise-Anmeldenamen automatisch hinzugefügt werden, wenn Benutzer sich anmelden oder wenn Konten über ArcGIS Portal Directory hinzugefügt werden müssen. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren der Kontoerstellung.
Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten automatisch hinzugefügt werden, öffnen Sie die Startseite der Portal-Website während Sie mit dem LDAP-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten. Je nach Browser und Einstellungen werden Sie möglicherweise aufgefordert, sich anzumelden.
Bei manueller Registrierung von Konten für Enterprise-Benutzer
Wenn Ihr Portal so konfiguriert ist, dass Konten mit dem Werkzeug "CreateUsers" hinzugefügt werden müssen, folgen Sie den Anweisungen im Abschnitt Hinzufügen von Mitgliedern zum Portal, um das LDAP-Konto als Portal-Administrator hinzuzufügen. Stellen Sie sicher, dass die Rolle Administrator ausgewählt ist, wenn Sie das Enterprise-Konto registrieren.
Bei automatischer Registrierung von Konten für Enterprise-Benutzer
Wenn Ihr Portal so konfiguriert ist, dass Enterprise-Konten beim erstmaligen Zugriff auf das Portal registriert werden, müssen Sie auf das Portal mit dem LDAP-Account zugreifen, um es beim Portal zu registrieren. Melden Sie sich dann beim Portal mit dem initialen Administrator-Konto an und weisen Sie dem LDAP-Benutzer die Administratorrolle zu.
Wenn ein Konto dem Portal neu hinzugefügt wird, wird ihm die Benutzerrolle zugewiesen. Nur ein Administrator kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkennwort beim Portal anmelden und der Administratorrolle ein LDAP-Konto zuweisen. Da für den Web Adaptor die LDAP-Authentifizierung festgelegt wurde, müssen Sie die Verbindung mit dem Portal durch Port 7443 und nicht über die Web Adaptor-URL herstellen, um sich mit dem initialen Administratorkonto anzumelden.
- Stellen Sie eine Verbindung mit der Portal-Website her, während Sie mit dem LDAP-Konto angemeldet sind. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer eine Verbindung mit dem Portal herstellen, damit dessen Konto beim Portal registriert wird.
- Nachdem das LDAP-Konto zum Portal hinzugefügt wurde, öffnen Sie einen Browser, und stellen Sie eine Verbindung mit der Portal-Website über Port 7443 her, beispielsweise https://portal.domain.com:7443/arcgis/home.
- Melden Sie sich mit dem initialen Administratorkonto an, das Sie bei der Ersteinrichtung des Portals erstellt haben.
- Ändern Sie die Rolle für das LDAP-Konto, mit dem Sie das Portal verwalten, in Administrator.
- Melden Sie sich von der Website ab.
Wenn Sie mit diesem LDAP-Konto auf dem Computer angemeldet sind, können Sie über die Web Adaptor-URL eine Verbindung mit dem Portal herstellen und das Portal verwalten.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie das initiale Administratorkonto der Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, können Sie die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Anmeldeinformationen beim Portal anmelden und keine unnötigen Mitgliedskonten erstellt werden können.
Führen Sie diese Schritte aus, um zu verhindern, dass Benutzer eigene Konten erstellen:
- Navigieren Sie zu <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline, und öffnen Sie config.js in einem Texteditor.
- Suchen Sie die showSignUp-Eigenschaft, und geben Sie den Wert als false an.
- Speichern und schließen Sie die Datei.
- Um die Änderungen zu übernehmen, starten Sie das Portal neu.
- Nachdem das Portal neu gestartet wurde, löschen Sie den Cache des Browsers (einschließlich Cookies), um die Änderungen auf der Portal-Website anzuzeigen.