Nach oben

Sichern des Zugriffs mit Windows Active Directory und PKI

In diesem Thema

  1. Konfigurieren des Portals mit Windows Active Directory
  2. Hinzufügen organisationsspezifischer Konten
  3. Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
  4. Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
  5. Überprüfen des Zugriffs auf das Portal mittels Windows Active Directory und PKI
  6. Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf die Organisation verwenden, wenn Benutzer über Windows Active Directory authentifiziert werden.

Zur Verwendung der integrierten Windows-Authentifizierung und PKI müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Die integrierte Windows-Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (IIS) mit Ihrer Organisation.

Konfigurieren des Portals mit Windows Active Directory

Konfigurieren Sie zunächst das Portal für die Verwendung von SSL für die gesamte Kommunikation. Aktualisieren Sie anschließend den Identitätsspeicher Ihres Portals, um Windows Active Directory-Benutzer und -Gruppen zu verwenden.

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:

  1. Melden Sie sich als Administrator bei der Website der Organisation an.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.

Konfigurieren des Identitätsspeichers für die Verwendung von Active Directory-Benutzern und -Gruppen

Aktualisieren Sie anschließend den Identitätsspeicher der Organisation, um Windows Active Directory-Benutzer und -Gruppen zu verwenden.

  1. Melden Sie sich als Administrator Ihrer Organisation bei ArcGIS Enterprise Manager an.

    Die URL hat das Format https://site.example.com/<site context>/manager.

  2. Klicken Sie auf Sicherheit > Identitätsspeicher.

    Mithilfe der Optionsschaltflächen unter Benutzerspeicher und Gruppenspeicher können Sie auswählen, wie die Benutzer und Gruppen in Ihrer Organisation verwaltet werden.

  3. Wählen Sie unter Benutzerspeicher die Option Windows aus.

    Für Windows-Benutzer können Sie den integrierten Gruppenspeicher oder einen Windows-Gruppenspeicher verwenden. Die Eingabefelder im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration variieren abhängig vom ausgewählten Gruppenspeichertyp.

  4. Geben Sie unter Benutzerspeicher- und Gruppenspeicherkonfiguration in jedes Textfeld die entsprechenden Informationen ein.
    Die Beschreibungen der einzelnen Textfelder lauten wie folgt:

    • Benutzername (erforderlich)
    • Kennwort (erforderlich)
    • Muss in Benutzernamen die Groß- und Kleinschreibung beachtet werden?: Ja oder Nein
    • Attribut "Vorname des Benutzers" (erforderlich): Das Attribut des Verzeichnisservers für den Vornamen eines Benutzers.
    • Attribut "Nachname des Benutzers" (erforderlich): Das Attribut des Verzeichnisservers für den Nachnamen eines Benutzers.
    • Attribut "E-Mail-Adresse des Benutzers" (erforderlich): Das Attribut des Verzeichnisservers für die E-Mail-Adresse eines Benutzers.
    • Domänencontroller (erforderlich)
    • Domänencontroller-Zuordnung

  5. Klicken Sie auf Speichern, wenn Sie die zum Konfigurieren des Identitätsspeichers erforderlichen Informationen eingegeben haben.

Hinzufügen organisationsspezifischer Konten

Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

  • Einzeln oder batchweise (nacheinander, mehrere gleichzeitig aus einer .csv-Datei oder über vorhandene Active Directory-Gruppen)
  • Automatisch

Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt und die nachfolgenden Schritte ausgeführt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.

Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Die Authentifizierung über Clientzertifikatzuordnung in Active Directory ist in der Standard-Installation von IIS nicht verfügbar. Sie müssen die Funktion installieren und aktivieren.

Installieren der Authentifizierung über Clientzertifikatzuordnung

Die Installationsanweisungen für das Feature hängen von Ihrem Betriebssystem ab.

Installation unter Windows Server 2016

Führen Sie die folgenden Schritte aus, um die Authentifizierung über Clientzertifikatzuordnung unter Windows Server 2016 zu installieren:

  1. Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
  2. Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
  3. Erweitern Sie die Rollen Webserver und Sicherheit.
  4. Wählen Sie im Abschnitt zur Rolle Sicherheit die Option Authentifizierung über Clientzertifikatzuordnung aus, und klicken Sie auf Weiter.
  5. Klicken Sie auf der Registerkarte Features auswählen auf Weiter und dann auf Installieren.

Installation unter Windows Server 2008/R2 und 2012/R2

Führen Sie die folgenden Schritte aus, um die Authentifizierung über Clientzertifikatzuordnung unter Windows Server 2008/R2 und 2012/R2 zu installieren:

  1. Öffnen Sie Verwaltung und klicken Sie auf Server Manager.
  2. Blenden Sie im Hierarchiefenster von Server Manager Rollen ein und klicken Sie auf Webserver (IIS).
  3. Führen Sie einen Bildlauf zum Abschnitt Rollendienste aus, und klicken Sie auf Rollendienste hinzufügen.
  4. Wählen Sie auf der Seite Rollendienste auswählen im Assistenten Rollendienste hinzufügen den Eintrag Authentifizierung über Clientzertifikatzuordnung aus und klicken Sie auf Weiter.
  5. Klicken Sie auf Installieren.

Installation unter Windows 7, 8 und 8.1

Führen Sie die folgenden Schritte aus, um die Authentifizierung über Clientzertifikatzuordnung unter Windows 7, 8 und 8.1 zu installieren:

  1. Öffnen Sie Systemsteuerung, und klicken Sie auf Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
  2. Blenden Sie Internetinformationsdienste > WWW-Dienste > Sicherheit ein und wählen Sie Authentifizierung über Clientzertifikatzuordnung.
  3. Klicken Sie auf OK.

Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory

Nachdem Sie die Authentifizierung über Clientzertifikatzuordnung in Active Directory installiert haben, aktivieren Sie die Funktion, indem Sie die folgenden Schritte ausführen.

  1. Starten Sie Internet Information Server (IIS) Manager.
  2. Klicken Sie im Knoten Verbindungen auf den Namen Ihres Webservers.
  3. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  4. Vergewissern Sie sich, dass Active Directory-Clientzertifikatauthentifizierung angezeigt wird. Wenn das Feature nicht angezeigt wird oder nicht verfügbar ist, müssen Sie den Webserver möglicherweise neu starten, um die Installation des Features "Active Directory-Clientzertifikatauthentifizierung" abzuschließen.
  5. Doppelklicken Sie auf Active Directory-Clientzertifikatauthentifizierung und wählen Sie Aktivieren im Fenster Aktionen.

Es erscheint eine Meldung, dass für die Verwendung von "Active Directory-Clientzertifikatauthentifizierung" SSL aktiviert sein muss. Diesem Thema ist der nachfolgende Abschnitt gewidmet.

Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten

Führen Sie die folgenden Schritte aus, um ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten zu konfigurieren:

  1. Starten Sie Internetinformationsdienste-Manager.
  2. Erweitern Sie den Knoten Verbindungen, und wählen Sie die ArcGIS Web Adaptor-Site aus.
  3. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  4. Deaktivieren Sie alle Formen der Authentifizierung.
  5. Wählen Sie ArcGIS Web Adaptor erneut aus der Liste Verbindungen aus.
  6. Doppelklicken Sie auf SSL-Einstellungen.
  7. Aktivieren Sie die Option SSL erforderlich und wählen Sie unter Clientzertifikate die Option Erforderlich.
  8. Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Überprüfen des Zugriffs auf das Portal mittels Windows Active Directory und PKI

Führen Sie die folgenden Schritte aus, um den Zugriff auf das Portal mittels Windows Active Directory und PKI zu überprüfen:

  1. Öffnen Sie das ArcGIS Enterprise-Portal.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.

Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung neuer integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.

Feedback zu diesem Thema?

In diesem Thema
  1. Konfigurieren des Portals mit Windows Active Directory
  2. Hinzufügen organisationsspezifischer Konten
  3. Installieren und Aktivieren der Authentifizierung über Clientzertifikatzuordnung in Active Directory
  4. Konfigurieren von ArcGIS Web Adaptor für die Anforderung von SSL und Clientzertifikaten
  5. Überprüfen des Zugriffs auf das Portal mittels Windows Active Directory und PKI
  6. Verhindern der Erstellung eigener integrierter Konten durch Benutzer