Verwenden von LDAP oder Active Directory und Authentifizierung auf Portalebene

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

ArcGIS Enterprise erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie die Organisation neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an. Die URL hat das Format https://organization.example.com/<context>/home.
  2. Klicken Sie auf der Seite Organisation auf die Registerkarte Einstellungen und dann auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers der Organisation

Aktualisieren des Identitätsspeichers mit LDAP

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS Enterprise-Administratorverzeichnis an. Die URL hat das Format https://organization.example.com/context/admin.
  2. Klicken Sie auf Security > Configuration > Update Identity Store.
  3. Fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL wie folgt aus:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identity Store (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  4. Um im Portal Gruppen zu erstellen, für die die bestehenden LDAP-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die LDAP-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword und ldapURLForUsers ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.

    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL wie folgt aus:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Das für den Benutzerparameter zu verwendende Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adressen und Benutzernamen der Benutzer in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identity Store (unten) klicken.

    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf True fest.

  5. Klicken Sie auf Update Identity Store, um die Änderungen zu speichern.

Aktualisieren des Identitätsspeichers mit Active Directory

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS Enterprise-Administratorverzeichnis an. Die URL hat das Format https://organization.example.com/context/admin.
  2. Klicken Sie auf Security > Configuration > Update Identity Store.
  3. Fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld User store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Benutzerinformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identity Store (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der E-Mail-Adresse und des vollständigen Namens von Windows-Konten im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

    Legen Sie in dem seltenen Fall, dass in Windows Active Directory die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, für den Parameter caseSensitive die Option True fest.

  4. Um im Portal Gruppen zu erstellen, für die die bestehenden Active Directory-Gruppen in Ihrem Identitätsspeicher genutzt werden, fügen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) in das Textfeld Group store configuration (in JSON format) ein. Sie können das folgende Beispiel mit Gruppeninformationen aktualisieren, die sich speziell auf Ihre Organisation beziehen. Wenn Sie nur integrierte Gruppen des Portals verwenden möchten, löschen Sie sämtliche Informationen im Textfeld und überspringen diesen Schritt.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter userPassword und user ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn Sie auf Update Identiy Store (unten) klicken. Das für den Benutzerparameter angegebene Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Geben Sie nach Möglichkeit ein Konto an, dessen Kennwort nicht abläuft.

  5. Klicken Sie auf Update Identity Store, um die Änderungen zu speichern.

Optionales Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Es gibt zusätzliche Konfigurationsparameter für Identitätsspeicher, die mit dem ArcGIS Enterprise-Administratorverzeichnis geändert werden können. Diese Parameter umfassen Optionen, mit denen beispielsweise eingeschränkt wird, ob Gruppen automatisch aktualisiert werden, wenn ein organisationsspezifischer Benutzer sich beim Portal anmeldet, das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Konfigurieren der Authentifizierung auf Portal-Ebene

Nachdem Sie die Organisation mit Ihrem Active Directory- oder LDAP-Identitätsspeicher konfiguriert haben, müssen Sie den anonymen Zugriff über den Web Adaptor in IIS oder den Java-Anwendungsserver aktivieren.Wenn ein Benutzer auf die Anmeldeseite der Organisation zugreift, kann er sich mit den organisationsspezifischen oder den integrierten Anmeldedaten anmelden. Organisationsspezifische Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar. Dieser Typ von Authentifizierung ermöglicht anonymen Benutzern außerdem den Zugriff auf Karten oder andere Organisationsressourcen, die für alle Benutzer freigegeben sind.

Überprüfen des Zugriffs auf das Portal mit Anmeldeinformationen

  1. Öffnen Sie das ArcGIS Enterprise-Portal. Die URL hat das Format https://organization.example.com/context/home.
  2. Melden Sie sich mit Ihren Anmeldeinformationen für das organisationsspezifische Konto an (z. B. mit der folgenden Syntax).

Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder mit der folgenden Syntax an:

  • Wenn Sie das Portal mit Ihrem Active Directory verwenden, kann die Syntax domain\username oder username@domain lauten. Der Benutzername wird unabhängig davon, wie Mitglieder sich anmelden, auf der Portal-Website stets als username@domain angezeigt.
  • Die Syntax lautet immer username. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.

Hinzufügen organisationsspezifischer Konten zum Portal

Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die Portal-Website. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht zu dem Portal hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle "Benutzer" zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.