Konfigurieren von Sicherheitseinstellungen

Als Administrator bzw. Mitglied mit den entsprechenden Berechtigungen legen Sie fest, ob HTTPS für alle Transaktionen erforderlich und der anonyme Zugriff auf Ihr Portal erlaubt ist. Darüber hinaus können Sie Sicherheitseinstellungen für die Freigabe und Suche, Kennwortrichtlinien, Anmeldeoptionen, Zugriffshinweise, Informationsbanner, vertrauenswürdige Server etc. konfigurieren.

Tipp:

Detaillierte Informationen zu Sicherheit, Datenschutz und Compliance finden Sie unter ArcGIS Trust Center.

  1. Vergewissern Sie sich, dass Sie als Standardadministrator oder als Mitglied einer benutzerdefinierten Rolle mit aktivierter Administratorberechtigung zur Verwaltung der Sicherheit und Infrastruktur angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Klicken Sie links auf der Seite auf Sicherheit.
  4. Konfigurieren Sie die folgenden Sicherheitseinstellungen:

Zugriff und Berechtigungen

Ändern Sie bei Bedarf eine der folgenden Richtlinieneinstellungen:

  • Zugriff auf das Portal nur über HTTPS erlauben: Standardmäßig lässt das Portal nur HTTPS-Kommunikation zu, um sicherzustellen, dass sowohl Ihre Daten als auch alle temporären Identifizierungstoken, die Zugriff auf Daten gewähren, bei der Kommunikation über das Internet verschlüsselt werden. Wenn diese Umschalttaste deaktiviert ist, wird sowohl HTTP- als auch HTTPS-Kommunikation zugelassen. Änderungen an dieser Einstellung können sich auf die Performance der Site auswirken.
  • Anonymen Zugriff auf das Portal erlauben: Aktivieren Sie diese Option, um Benutzern den anonymen Zugriff auf die Website Ihrer Organisation zu ermöglichen. Wenn diese Option deaktiviert ist, ist der anonyme Zugriff deaktiviert und anonyme Benutzer können nicht auf die Website zugreifen. Außerdem können sie Ihre Karten nicht mit Bing Maps anzeigen (wenn Ihre Organisation für Bing Maps konfiguriert ist).

    Wenn Sie den anonymen Zugriff aktivieren, stellen Sie sicher, dass die für die Site-Konfiguration ausgewählten Gruppen für die Öffentlichkeit freigegeben sind. Andernfalls können anonyme Benutzer die öffentlichen Inhalte dieser Gruppen möglicherweise nicht ordnungsgemäß anzeigen oder öffnen.

  • Mitgliedern erlauben, biografische Informationen zu bearbeiten und festzulegen, wer deren Profil sehen kann: Aktivieren Sie diese Option, damit Mitglieder die biografischen Informationen in ihrem Profil ändern und festlegen können, wer Zugriff auf ihr Profil hat.

Freigabe und Suche

Ändern Sie bei Bedarf die folgenden Freigabe- und Sucheinstellungen:

  • Mitglieder können Inhalte öffentlich freigeben: Aktivieren Sie diese Option, um Mitgliedern zu gestatten, ihr Profil für die Öffentlichkeit (alle Benutzer) sichtbar zu machen, ihre Web-Apps und andere Elemente für die Öffentlichkeit freizugeben und ihre Karten oder Gruppen in Websites einzubetten.

  • Links zu Social Media für Element- und Gruppenseiten anzeigen: Aktivieren Sie diese Option, damit Links zu Facebook und Twitter auf Element- und Gruppenseiten einbezogen werden.

Kennwortrichtlinie

Wenn Mitglieder ihre Kennwörter ändern, müssen diese der Richtlinie der Organisation entsprechen. Sollte dies nicht der Fall sein, wird eine Meldung mit den Richtliniendetails angezeigt. Die Kennwortrichtlinie der Organisation gilt nicht für organisationsspezifische Anmeldenamen wie SAML-Anmeldungen oder für App-Anmeldeinformationen, die App-IDs und geheime App-Zugriffsschlüssel verwenden.

Klicken Sie auf Kennwortrichtlinie verwalten, um die Kennwortlänge, Komplexität und Verlaufsanforderungen für Mitglieder mit integrierten Konten zu konfigurieren. Sie können die Zeichenlänge festlegen, ob das Kennwort mindestens eines der folgenden Elemente enthalten muss: Großbuchstabe, Kleinbuchstabe, Zahl oder Sonderzeichen. Sie können auch die Anzahl der Tage bis zum Ablauf des Kennworts sowie die Anzahl der vorherigen Kennwörter konfigurieren, die das Mitglied nicht erneut verwenden darf. Bei den Kennwörtern muss die Groß-/Kleinschreibung berücksichtigt werden, außerdem dürfen sie nicht mit dem Benutzernamen übereinstimmen. Klicken Sie auf Portal-Standardeinstellungen verwenden, um die Organisation für die Verwendung der Standardkennwortrichtlinie von ArcGIS Enterprise zurückzusetzen (mindestens acht Zeichen mit mindestens einem Buchstaben und einer Zahl, Leerzeichen sind nicht zulässig).

Hinweis:

Unsichere Kennwörter werden ggf. nicht akzeptiert. Ein Kennwort gilt als unsicher, wenn es sich um ein gängiges Kennwort wie Kennwort1 handelt oder wenn es sich wiederholende bzw. Zeichen wie aaaabbbb oder 1234abcd enthält.

Hinweis:

Die Administratorkontakte werden automatisch per E-Mail benachrichtigt, wenn die Kennwortrichtlinie geändert wird, sofern die E-Mail-Einstellungen für Ihre Organisation entsprechend konfiguriert sind.

Anmeldenamen

Sie können die Anmeldeseite der Organisation so anpassen, dass sich Mitglieder mit einer der folgenden Methoden anmelden können: ArcGIS-Anmeldenamen, Security Assertion Markup Language (SAML-Anmeldenamen (ehemals Enterprise-Anmeldenamen) und OpenID Connect-Anmeldenamen.

Sie können auch die Reihenfolge anpassen, in der die Anmeldemethoden auf der Anmeldeseite der Organisation angezeigt werden. Um eine Anmeldemethode neu anzuordnen, klicken Sie auf den zugehörigen Ziehpunkt Umordnen, und ziehen Sie ihn an eine neue Position. Klicken Sie auf Vorschau, um zu sehen, wie die Anmeldeseite aussieht.

Aktivieren Sie die Umschalttaste ArcGIS-Anmeldung, um zuzulassen, dass Benutzer sich über ihre ArcGIS-Anmeldenamen bei ArcGIS anmelden.

Verwenden Sie die Schaltfläche SAML-Anmeldung einrichten, um einen SAML-kompatiblen Identity-Provider mit dem Portal zu konfigurieren, wenn sich Mitglieder mit dem vorhandenen SAML-Identity-Provider der Organisation beim Portal anmelden sollen.

Verwenden Sie die Schaltfläche OpenID Connect-Anmeldung einrichten, um OpenID Connect-Anmeldungen zu konfigurieren, wenn sich Mitglieder mit dem vorhandenen OpenID Connect-Identity-Provider der Organisation anmelden sollen.

Multi-Faktor-Authentifizierung

Hinweis:

Die Multi-Faktor-Authentifizierung kann nur aktiviert werden, wenn für Ihre Organisation E-Mail-Einstellungen konfiguriert sind.

Organisationen, die ihren Mitgliedern die Option zum Einrichten einer Multi-Faktor-Authentifizierung für die Anmeldung bei ArcGIS geben möchten, können die Umschaltfläche Mitgliedern erlauben auszuwählen, ob sie Multi-Faktor-Authentifizierung für ihre persönlichen Konten einrichten möchten aktivieren. Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsstufe, indem bei der Anmeldung von Mitgliedern neben dem Benutzernamen und Kennwort auch ein Verifizierungscode abgefragt wird.

Wenn Sie diese Einstellung aktivieren, können Organisationsmitglieder über ihre Profilseite eine Multi-Faktor-Authentifizierung einrichten und Verifizierungscodes auf ihren Mobilgeräten oder Tablets über eine unterstützte Authentifizierungs-App empfangen (derzeit Google Authenticator für Android und iOS und Authenticator für Windows Phone). Die Multi-Faktor-Authentifizierung wird für SAML-Anmeldenamen oder OpenID Connect-Anmeldenamen nicht unterstützt. Für Mitglieder, die die Multi-Faktor-Authentifizierung aktiviert haben, enthält die Spalte "Multi-Faktor-Authentifizierung" Multi-Faktor-Authentifizierung der Tabelle "Mitglieder" auf der Registerkarte Mitglieder auf der Seite Organisation ein Häkchen.

Wenn Sie die Multi-Faktor-Authentifizierung für Ihre Organisation aktivieren, müssen Sie mindestens zwei Administratoren ernennen, an die E-Mail-Anfragen zur Deaktivierung der Multi-Faktor-Authentifizierung in Mitgliederkonten gesandt werden können. ArcGIS Enterprise sendet E-Mails im Namen von Mitgliedern, die über den Link Probleme beim Anmelden mit dem Code? (auf der Seite, auf der das Mitglied aufgefordert wird, den Authentifizierungscode einzugeben) um Unterstützung bei der Multi-Faktor-Authentifizierung bitten. Es sind mindestens zwei Administratoren erforderlich, um sicherzustellen, dass mindestens eine Person für die Unterstützung von Mitgliedern bei Fragen zur Multi-Faktor-Authentifizierung bereitsteht.

Die Multi-Faktor-Authentifizierung ist für Esri Apps möglich, die OAuth 2.0 unterstützen. Dazu zählen die Portal-Website, ArcGIS Pro, ArcGIS-Apps und My Esri.

Für den Zugriff auf Apps, die OAuth 2.0 nicht unterstützen, muss die Multi-Faktor-Authentifizierung deaktiviert werden. Für manche Apps mit OAuth-2.0-Unterstützung, wie z. B. ArcGIS Desktop 10.2.1 und höher, muss auch weiterhin vor dem Herstellen einer Verbindung von ArcGIS Desktop zu ArcGIS Enterprise-Services, die als Teil von ArcGIS Online verfügbar sind, die Multi-Faktor-Authentifizierung deaktiviert werden. Dazu zählen Geokodierungs- und Geoverarbeitungsservices, mit denen Routen- und Höhenanalysen durchgeführt werden. Die Multi-Faktor-Authentifizierung muss außerdem beim Speichern von Anmeldedaten mit Esri Premium-Inhalten deaktiviert werden.

Zugriffshinweis

Sie können einen Hinweis mit Bestimmungen für Benutzer, die auf Ihre Site zugreifen, konfigurieren und anzeigen.

Sie können einen Zugriffshinweis für Mitglieder der Organisation oder/und alle Benutzer, die auf die Organisation zugreifen, konfigurieren. Wenn Sie einen Zugriffshinweis für Organisationsmitglieder festlegen, wird den Mitgliedern der Hinweis angezeigt, nachdem sie sich angemeldet haben. Wenn Sie einen Zugriffshinweis für alle Benutzer festlegen, wird der Hinweis jedem Benutzer angezeigt, der auf Ihre Site zugreift. Wenn Sie beide Zugriffshinweise festlegen, werden für Organisationsmitglieder zwei Hinweise angezeigt.

Um einen Zugriffshinweis für Organisationsmitglieder oder alle Benutzer zu konfigurieren, klicken Sie im entsprechenden Abschnitt auf Zugriffshinweis festlegen. Aktivieren Sie die Umschalttaste zum Anzeigen des Zugriffshinweises, und geben Sie einen Titel und Text für den Hinweis ein. Wählen Sie die Option "ANNEHMEN" und "ABLEHNEN" aus, wenn Benutzer den Zugriffshinweis akzeptieren sollen, bevor sie auf die Site zugreifen können, oder wählen Sie Nur "OK" aus, wenn Sie möchten, dass die Benutzer zum Fortfahren nur auf OK klicken müssen. Klicken Sie anschließend auf Speichern.

Um den Zugriffshinweis für Organisationsmitglieder oder alle Benutzer zu bearbeiten, klicken Sie im entsprechenden Abschnitt auf Zugriffshinweis bearbeiten, und nehmen Sie unter "Optionen" Änderungen an den Schaltflächen "Titel", "Text" oder "Aktion" vor. Wenn der Zugriffshinweis nicht mehr angezeigt werden soll, können Sie ihn mit der Umschalttaste deaktivieren. Nach der Deaktivierung des Zugriffshinweises bleiben der zuvor eingegebene Text und die Konfiguration erhalten, für den Fall, dass der Zugriffshinweis zu einem späteren Zeitpunkt wieder aktiviert wird. Klicken Sie anschließend auf Speichern.

Informationsbanner

Sie können alle Benutzer, die auf Ihre Organisation zugreifen, mit Informationsbannern über den Status und Inhalt Ihrer Site informieren. Informieren Sie Benutzer beispielsweise über Wartungszeitpläne, Hinweise auf vertrauliche Informationen und schreibgeschützte Modi, indem Sie benutzerdefinierte Meldungen erstellen, die im oberen und unteren Bereich Ihrer Site angezeigt werden. Das Banner wird auf den Seiten "Startseite", "Galerie", "Map Viewer", "Scene Viewer", "Notebook", "Gruppen", "Inhalt" und "Organisation" sowie auf in ArcGIS Enterprise-Sites erstellten Sites angezeigt, wenn dies in der App aktiviert wurde.

Um das Informationsbanner für Ihre Organisation zu aktivieren, klicken Sie auf Informationsbanner festlegen, und aktivieren Sie Informationsbanner anzeigen. Fügen Sie im Feld Bannertext Text hinzu, und wählen Sie Hintergrund- und Schriftfarbe aus. Für die ausgewählte Schrift- und Hintergrundfarbe wird ein Kontrastverhältnis angezeigt. Das Kontrastverhältnis ist eine Maßeinheit für die Lesbarkeit entsprechend den Barrierefreiheitsstandards gemäß WCAG 2.1. Es wird ein Kontrastverhältnis von mindestens 4,5 empfohlen, um diese Standards zu erfüllen.

Sie können im Bereich Vorschau eine Vorschau des Informationsbanners anzeigen. Klicken Sie auf Speichern, um Ihrer Organisation das Banner hinzuzufügen.

Klicken Sie zum Bearbeiten des Informationsbanners auf Informationsbanner bearbeiten, und nehmen Sie Änderungen am Text oder Style des Banners vor. Wenn das Informationsbanner nicht mehr angezeigt werden soll, können Sie ihn mit der Umschalttaste deaktivieren. Nach der Deaktivierung des Informationsbanners bleiben der zuvor eingegebene Text und die Konfiguration erhalten, für den Fall, dass das Informationsbanner zu einem späteren Zeitpunkt wieder aktiviert wird. Klicken Sie anschließend auf Speichern.

Vertrauenswürdige Server

Konfigurieren Sie für Vertrauenswürdige Server die Liste der vertrauenswürdigen Server, an die Ihre Clients Anmeldeinformationen senden soll, wenn CORS-Anforderungen (Cross-Origin Resource Sharing) für den Zugriff auf Services getätigt werden, die mit Authentifizierung auf Webebene gesichert sind. Dies gilt vor allem für die Bearbeitung sicherer Feature-Services von einem eigenständigen (nicht verbundenen) ArcGIS Server oder für das Anzeigen sicherer OGC-Services. ArcGIS Server, auf denen mit tokenbasierter Sicherheit gesicherte Services gehostet werden, müssen dieser Liste nicht hinzugefügt werden. Server, die der Liste der vertrauenswürdigen Server hinzugefügt wurden, müssen CORS unterstützen. Layer, die auf Servern ohne CORS-Unterstützung gehostet werden, funktionieren möglicherweise nicht ordnungsgemäß. ArcGIS Server unterstützt CORS standardmäßig ab Version 10.1 und höher. Weitere Informationen zum Konfigurieren von CORS auf anderen Servern als ArcGIS-Servern finden Sie in der Dokumentation des Anbieters Ihres Webservers.

Die Hostnamen müssen einzeln eingegeben werden. Platzhalterzeichen können nicht verwendet werden und werden nicht akzeptiert. Der Hostname kann mit oder ohne das davor befindliche Protokoll eingegeben werden. Der Hostname secure.esri.com etwa kann als secure.esri.com oder https://secure.esri.com eingegeben werden.

Hinweis:

Die Bearbeitung von Feature-Services, die durch Authentifizierung auf Webebene gesichert sind, erfordert die Verwendung eines CORS-fähigen Webbrowsers. Die neuesten Versionen von Mozilla Firefox, Google Chrome und Safari sind CORS-fähig. Um zu testen, ob CORS für Ihren Browser aktiviert ist, öffnen Sie die Website https://caniuse.com/cors.

Startpunkte zulassen

Die ArcGIS REST API ist standardmäßig für CORS (Cross-Origin Resource Sharing) Anforderungen von Webanwendungen in einer beliebigen Domäne geöffnet. Wenn Ihre Organisation die Webanwendungsdomänen, die über CORS auf die ArcGIS REST API zugreifen können, beschränken möchte, müssen Sie diese Domänen explizit angeben. Um z. B. den CORS-Zugriff auf Webanwendungen auf acme.com zu beschränken, klicken Sie auf Hinzufügen, geben Sie im Textfeld https://acme.com ein, und klicken Sie auf Domäne hinzufügen. Sie können bis zu 100 vertrauenswürdige Domänen für die Organisation angeben. arcgis.com muss nicht als vertrauenswürdige Domäne angegeben werden, da Anwendungen, die in der Domäne arcgis.com ausgeführt werden, stets eine Verbindung zur ArcGIS REST API erlaubt ist.

Portal-Zugriff zulassen

Konfigurieren Sie eine Liste der Portale (z. B. https://otherportal.domain.com/arcgis), für die Sie sichere Inhalte freigeben möchten. Dies ermöglicht Mitgliedern Ihrer Organisation die Verwendung ihrer organisationsspezifischen Anmeldenamen (einschließlich SAML-Anmeldenamen), um auf die sicheren Inhalte zuzugreifen, wenn sie über diese Portale angezeigt werden. Portale, mit denen Ihre Organisation zusammenarbeitet, werden automatisch einbezogen und müssen dieser Liste nicht hinzugefügt werden. Dies gilt nur für Portale ab ArcGIS Enterprise 10.5 und höher. Diese Einstellung ist für die Freigabe gesicherter Inhalte für eine ArcGIS Online-Organisation nicht erforderlich.

Die Portal-URLs müssen einzeln eingegeben werden und das Protokoll enthalten. Platzhalterzeichen können nicht verwendet werden und werden nicht akzeptiert. Wenn das hinzugefügte Portal HTTP- und HTTPS-Zugriff zulässt, müssen für dieses Portal zwei URLs hinzugefügt werden (z. B. http://otherportal.domain.com/arcgis und https://otherportal.domain.com/arcgis). Jedes der Liste hinzugefügte Portal wird zunächst überprüft und muss daher über den Browser zugänglich sein.

E-Mail-Einstellungen

Sie können E-Mail-Einstellungen für Ihre Organisation konfigurieren, die zum Senden von E-Mail-Benachrichtigungen an Mitglieder verwendet werden können. Die folgenden E-Mail-Benachrichtigungen können konfiguriert werden:

  • Benachrichtigungen zur Kennwortrichtlinie: Die Administratorkontakte werden automatisch per E-Mail benachrichtigt, wenn die Kennwortrichtlinie geändert wird. Wenn keine Administratorkontakte festgelegt sind, wird die E-Mail-Benachrichtigung an das älteste Administratorkonto der Organisation oder das initiale Administratorkonto gesendet.
  • Benachrichtigungen zum Zurücksetzen des Kennworts: Administratoren können das Kennwort eines Mitglieds auf der Registerkarte Mitglieder zurücksetzen. Dem Mitglied wird dann eine E-Mail mit einem temporären Kennwort gesendet. Ein Mitglied kann auch einen Link zum Zurücksetzen des Kennworts anfordern, wenn es auf der Anmeldeseite der Organisation angibt, dass es sein Kennwort vergessen hat. E-Mails werden an die E-Mail-Adresse gesendet, die mit dem Profil des Mitglieds verknüpft ist.
  • Benachrichtigungen zur Multi-Faktor-Authentifizierung: Zur Aktivierung der Multi-Faktor-Authentifizierung müssen E-Mail-Einstellungen für Ihre Organisation konfiguriert sein. Wenn die Multi-Faktor-Authentifizierung konfiguriert ist, erhalten designierte Administratoren eine Benachrichtigung per E-Mail, in der sie ggf. um die Deaktivierung der Multi-Faktor-Authentifizierung für bestimmte Mitglieder gebeten werden.
  • Benachrichtigungen zu Elementkommentaren: Sind Kommentare in der Organisation aktiviert, erhalten Elementbesitzer E-Mail-Benachrichtigungen, wenn neue Kommentare zu ihren Elementen veröffentlicht werden.
  • Benachrichtigungen zu Profil und Einstellungen: Mitglieder werden über Änderungen an ihrem Profil und den zugehörigen Einstellungen wie Kennwort, Sicherheitsfrage und Profilsichtbarkeit informiert.

  1. Um E-Mail-Benachrichtigungen für Ihre Organisation zu konfigurieren, klicken Sie unter E-Mail-Einstellungen auf Konfigurieren.

    Wenn die E-Mail-Einstellungen bereits konfiguriert sind, klicken Sie auf Verwalten, um das Fenster E-Mail-Einstellungen konfigurieren zu öffnen.

  2. Gehen Sie auf der Seite "SMTP-Einstellungen" wie folgt vor:
    1. Geben Sie die Adresse des SMTP-Servers ein. Sie besteht aus der IP-Adresse oder dem vollständig qualifizierten Domänennamen (FQDN) des SMTP-Servers, z. B. smtp.domain.com.
    2. Geben Sie den SMTP-Port ein. Über diesen Port erfolgt die Kommunikation des SMTP-Servers. Die am häufigsten verwendeten Ports sind 25, 465 und 587. Der Standardwert ist 25.
    3. Wählen Sie unter Verschlüsselungsmethode die Verschlüsselungsmethode zum Senden von E-Mail-Benachrichtigungen von Ihrer Organisation aus. Sie können PLAIN TEXT, STARTTLS oder SSL auswählen.
    4. Aktivieren Sie SMTP-Authentifizierung erforderlich , wenn zum Herstellen einer Verbindung mit dem angegebenen SMTP-Server eine Authentifizierung erforderlich ist. Sie können diese Option deaktiviert lassen, wenn keine SMTP-Authentifizierung erforderlich ist.
    5. Wenn SMTP-Authentifizierung erforderlich aktiviert ist, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der zum Zugriff auf den SMTP-Server berechtigt ist.
    6. Geben Sie die E-Mail-Adresse ein, von der die Organisation E-Mails senden soll. Es wird empfohlen, das mit dieser E-Mail-Adresse verknüpfte Mitglied den Administratorkontakten für Ihre Organisation hinzuzufügen.
    7. Geben Sie die Beschriftung der E-Mail-Adresse ein, die zusammen mit der E-Mail-Adresse des Absenders angezeigt werden soll. Diese Information wird in der Absenderzeile aller E-Mail-Benachrichtigungen angezeigt. Sie können den mit der E-Mail-Adresse des Absenders verknüpften Namen oder eine Beschriftung wie DO NOT REPLY verwenden, wenn die Mitglieder z. B. nicht direkt auf die E-Mail des Absenders antworten sollen.
  3. Klicken Sie auf Weiter.
  4. Es empfiehlt sich, eine Test-E-Mail zu senden, um zu überprüfen, ob Ihre E-Mail-Einstellungen korrekt konfiguriert sind. Geben Sie eine E-Mail-Adresse ein, mit der Sie überprüfen können, ob die Test-E-Mail erfolgreich zugestellt wurde, und klicken Sie auf E-Mail senden. In einer Benachrichtigung werden Sie darüber informiert, ob die E-Mail erfolgreich gesendet wurde. Weitere Informationen finden Sie in den Portal-Protokollen.
  5. Klicken Sie auf Fertig stellen, um die E-Mail-Einstellungen zu konfigurieren.

Wenn Sie das Senden von E-Mail-Benachrichtigungen von Ihrer Organisation deaktivieren möchten, klicken Sie auf Deaktivieren.