Beschränken der Proxy-Funktion des Portals

In manchen Szenarien fungiert ArcGIS Enterprise als Proxy-Server. Diese Funktion wird in den folgenden Situationen verwendet:

  • Sie versuchen, auf eine Ressource in einer anderen Domäne als Ihrem Portal zuzugreifen, und Cross Origin Resource Sharing (CORS) wird nicht unterstützt. CORS ist eine Spezifikation, die Interaktionen zwischen einem Webserver und einem Webbrowser und die Bestimmung gestattet, ob eine ursprungsübergreifende Anforderung zugelassen wird.
  • Sie versuchen, eine gesicherte Ressource für andere Benutzer freizugeben, möchten aber die Benutzeranmeldeinformationen verbergen, die für den Zugriff auf die Ressource erforderlich sind.

Standardmäßig ist die Proxy-Funktion des Portals nicht beschränkt. Daher kann das Portal zum Starten von Denial-of-Service-(DoS-) oder serverseitigen Anforderungsfälschungs-Angriffen (SSRF) gegen Computer missbraucht werden, auf die der Portal-Computer zugreift. Um dieses Sicherheitsrisiko zu verringern, wird dringend empfohlen, die Proxy-Funktion des Portals durch Definition einer Liste genehmigter Webadressen zu beschränken. ArcGIS Enterprise kann nur als Proxy für Anforderungen an die Adressen in der Liste verwendet werden, alle anderen Anforderungen werden blockiert. Wenn Sie ArcGIS Server mit Ihrem Portal verbunden haben, muss die Liste die Adressen aller Computer der Site enthalten sowie alle Ressourcen, die im Portal als Element freigegeben sind.

Zum Definieren einer Liste genehmigter Adressen führen Sie die folgenden Schritte aus:

  1. Öffnen Sie einen Webbrowser und melden Sie sich als Administrator Ihrer Organisation beim ArcGIS Enterprise-Administratorverzeichnis an. Die URL weist das Format https://example.organization.com/<context>/admin auf.
  2. Klicken Sie auf Security > Configuration > Update Configuration.
  3. Fügen Sie im Feld Security Configuration (JSON) die Eigenschaft allowedProxyHosts hinzu, und geben Sie die Liste genehmigter Adressen an.

    {
      "disableServicesDirectory": false,
      "enableAutomaticAccountCreation": false;
      "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
    }
    

    Hinweis:
    Verwenden Sie das Format (.*).domain.com, um Proxy-Anforderungen an alle Computer in einer bestimmten Domäne zuzulassen. Verwenden Sie Platzhalter (*) mit Vorsicht. Dadurch können unbefugte Benutzer versehentlich Zugriff auf beschränkte Computer erhalten.

  4. Klicken Sie auf Update Security Configuration.