Sie können eine Public Key-Infrastruktur (PKI) zum Sichern des Zugriffs auf Ihre ArcGIS Enterprise-Organisation verwenden, wenn Benutzer über Lightweight Directory Access Protocol (LDAP) authentifiziert werden.
Um LDAP und PKI zu verwenden, müssen Sie PKI-basierte Clientzertifikatauthentifizierung mit ArcGIS Web Adaptor (Java Platform) einrichten, die für einen Java-Anwendungsserver bereitgestellt wird. ArcGIS Web Adaptor (IIS) kann nicht zur PKI-basierten Clientzertifikatauthentifizierung mit LDAP herangezogen werden.
Konfigurieren von LDAP für Ihre Organisation
Standardmäßig erzwingt die ArcGIS Enterprise-Organisation HTTPS für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.
Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation
Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:
- Melden Sie sich als Administrator bei der Website der Organisation an.
Die URL hat das Format https://organization.example.com/<context>/home.
- Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
- Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
Konfigurieren des Identitätsspeichers für die Verwendung von LDAP-Benutzern und -Gruppen
Aktualisieren Sie anschließend den Identitätsspeicher Ihrer Organisation, um LDAP-Benutzer und -Gruppen zu verwenden.
- Melden Sie sich bei ArcGIS Enterprise Manager als Administrator Ihrer Organisation an. Die URL hat das Format https://organization.example.com/<context>/manager.
- Klicken Sie auf Sicherheit und dann auf Identitätsspeicher.
- Mithilfe der Schaltflächen unter Benutzerspeicher und Gruppenspeicher können Sie auswählen, wie die Benutzer und Gruppen in Ihrer Organisation verwaltet werden.
- Wählen Sie unter Benutzerspeicher die Option LDAP aus. Mit LDAP-Benutzern können Sie den integrierten Gruppenspeicher oder einen LDAP-Gruppenspeicher verwenden. Die Eingabefelder im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration variieren abhängig vom ausgewählten Gruppenspeichertyp.
- Geben Sie im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration in jedes Feld die entsprechenden Informationen ein. Die Beschreibungen der einzelnen Textfelder lauten wie folgt:
- Type: LDAP oder LDAPS.
- Hostname (Required): Name des Hostcomputers, auf dem das LDAP-Verzeichnis ausgeführt wird.
- Port (Required): Die Portnummer auf dem Hostcomputer, die das LDAP-Verzeichnis auf eingehende Verbindungen überwacht.
Hinweis:
Für sichere Verbindungen lautet diese normalerweise 636.
- User Base DN (Required): Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, unter dem Benutzerinformationen gespeichert werden, z. B. ou=users,dc=example,dc=com.
- Group base DN (Required): Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, unter dem Gruppeninformationen gespeichert werden, z. B. ou=groups,dc=example,dc=com.
- Username (Required): Der definierte Name (DN) eines LDAP-Benutzerkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat. Für dieses Konto ist kein administrativer Zugriff erforderlich.
- Password (Required): Das Kennwort des LDAP-Benutzerkontos, das für den Zugriff auf den Verzeichnisserver verwendet wird.
- LDAP URL for users: Die LDAP-URL für Benutzer, die zur Herstellung der Verbindung mit dem LDAP-Verzeichnis verwendet wird.
Hinweis:
Diese wird automatisch generiert, kann jedoch bei Bedarf geändert werden. - LDAP URL for groups: Die LDAP-URL für Gruppen, die zur Herstellung der Verbindung mit dem LDAP-Verzeichnis verwendet wird.
Hinweis:
Diese wird automatisch generiert, kann jedoch bei Bedarf geändert werden. - Are usernames case sensitive?: Ja oder Nein
- User first name attribute (Required): Das Attribut des Verzeichnisservers für den Vornamen eines Benutzers
- User last name attribute (Required): Das Attribut des Verzeichnisservers für den Nachnamen eines Benutzers
- User email attribute (Required): Das Attribut des Verzeichnisservers für die E-Mail-Adresse eines Benutzers
- Username attribute (Required): Das Attribut des Verzeichnisservers für den Benutzernamen eines Benutzers
- User search attribute: Dieses optionale Feld ist nur erforderlich, wenn Enterprise für die Verwendung der Authentifizierung auf Webebene in einem Java Web Adaptor konfiguriert wird. In einigen Szenarien gibt der Java Web Adaptor den authentifizierten Benutzernamen möglicherweise in einem anderen Format als dem oben angegebenen erwarteten Benutzernamen zurück. Dies kann z. B. vorkommen, wenn ein Java Web Adaptor für die Verwendung der Clientzertifikatauthentifizierung konfiguriert wurde und anstelle des Benutzernamens der vollständige definierte Name des Benutzers vom Webserver zurückgegeben wird. In diesem Fall muss das Attribut "Benutzersuche" auf distinguishedName festgelegt werden.
- Member attribute (Required): Das Attribut des Verzeichnisservers für die Liste der Benutzer, die Mitglieder einer bestimmten Gruppe sind.
- Group name attribute (Required): Das Attribut des Verzeichnisservers für den Namen einer Gruppe.
- Klicken Sie auf Speichern, wenn Sie die zum Konfigurieren des Identitätsspeichers erforderlichen Informationen eingegeben haben.
Hinzufügen organisationsspezifischer Konten
Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.
Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:
- Einzeln oder batchweise (nacheinander, mehrere gleichzeitig aus einer .csv-Datei oder über vorhandene Active Directory-Gruppen)
- Automatisch
Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Nachdem die Konten hinzugefügt wurden und Sie die unten genannten Schritte durchgeführt haben, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.
Konfigurieren von ArcGIS Web Adaptor für die PKI-Authentifizierung
Nach der Installation und Konfiguration von ArcGIS Web Adaptor (Java Platform) mit Ihrer Organisation müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und eine PKI-basierte Clientzertifikatauthentifizierung für ArcGIS Web Adaptor festlegen. Weitere Anweisungen erhalten Sie von Ihrem Systemadministrator oder in der Produktdokumentation für Ihren Java-Anwendungsserver.
Hinweis:
Damit die Clientzertifikatauthentifizierung (PKI) erfolgreich ist, muss TLS 1.3 auf dem Java-Anwendungsserver deaktiviert sein.
Überprüfen des Organisationszugriffs mittels LDAP und PKI
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie mit LDAP und PKI auf das Portal zugreifen können:
- Öffnen Sie das ArcGIS Enterprise-Portal.
- Überprüfen Sie, ob Sie aufgefordert werden, Ihre Sicherheitsanmeldeinformationen anzugeben, und ob Sie auf die Website zugreifen können.
Verhindern der Erstellung eigener integrierter Konten durch Benutzer
Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.