Verwenden der integrierten Windows-Authentifizierung

Sie können den Zugriff auf Ihre Organisation mithilfe der integrierten Windows-Authentifizierung (IWA) sichern. Bei Verwendung von IWA werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Benutzer melden sich nicht bei der Organisation an und ab. Wenn sie die Website öffnen, werden sie stattdessen mit demselben Konto angemeldet, mit dem sie sich bei Windows anmelden.

Zur Verwendung der integrierten Windows-Authentifizierung müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird. Die integrierte Windows-Authentifizierung kann nicht mit ArcGIS Web Adaptor (Java Platform) durchgeführt werden. Installieren und konfigurieren Sie ggf. ArcGIS Web Adaptor (IIS) mit der Organisation.

Konfigurieren der Organisation für Windows Active Directory

ArcGIS Enterprise erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

Hinweis:

Unter Verwendung eines Active Directory-Identitätsspeichers unterstützt ArcGIS Enterprise die Authentifizierung aus mehreren Domänen mit einer einzelnen Gesamtstruktur, stellt jedoch keine gesamtstrukturübergreifende Authentifizierung bereit. Für die Unterstützung von organisationsspezifischen Benutzern aus mehreren Gesamtstrukturen ist ein SAML-Identity-Provider erforderlich.

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:

  1. Melden Sie sich als Administrator bei der Website der Organisation an.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.

Konfigurieren des Identitätsspeichers für die Verwendung von Active Directory-Benutzern und -Gruppen

Aktualisieren Sie anschließend den Identitätsspeicher der Organisation, um Windows Active Directory-Benutzer und -Gruppen zu verwenden.

  1. Melden Sie sich bei ArcGIS Enterprise Manager als Administrator Ihrer Organisation an.

    Die URL hat das Format https://organization.example.com/<context>/manager.

  2. Klicken Sie auf Sicherheit und dann auf Identitätsspeicher.

    Mithilfe der Schaltflächen unter Benutzerspeicher und Gruppenspeicher können Sie auswählen, wie die Benutzer und Gruppen in Ihrer Organisation verwaltet werden.

  3. Wählen Sie unter Benutzerspeicher die Option Windows aus.

    Für Windows-Benutzer können Sie den integrierten Gruppenspeicher oder einen Windows-Gruppenspeicher verwenden. Die Eingabefelder im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration variieren abhängig vom ausgewählten Gruppenspeichertyp.

  4. Geben Sie im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration in jedes Feld die entsprechenden Informationen ein.

    Die Beschreibungen der einzelnen Textfelder lauten wie folgt:

    • Username (Required)
    • Password (Required)
    • Are usernames case sensitive?: Ja oder Nein
    • User first name attribute (Required): Das Attribut des Verzeichnisservers für den Vornamen eines Benutzers
    • User last name attribute (Required): Das Attribut des Verzeichnisservers für den Nachnamen eines Benutzers
    • User email attribute (Required): Das Attribut des Verzeichnisservers für die E-Mail-Adresse eines Benutzers
    • Domain controller (Required)
    • Domain controller mapping

  5. Klicken Sie auf Speichern, wenn Sie die zum Konfigurieren des Identitätsspeichers erforderlichen Informationen eingegeben haben.

Konfigurieren zusätzlicher Parameter für Identitätsspeicher

Sie können optional mit der Administrations-API von ArcGIS Enterprise zusätzliche Konfigurationsparameter für Identitätsspeicher ändern. Diese Parameter umfassen die Einschränkung, ob Gruppen automatisch aktualisiert werden, wenn ein organisationsspezifischer Benutzer sich bei der Organisation anmeldet, ob das Aktualisierungsintervall für die Mitgliedschaft eingestellt und festgelegt wird, ob eine Überprüfung auf mehrere Benutzernamensformate durchgeführt werden soll. Weitere Informationen finden Sie unter Aktualisieren des Identitätsspeichers.

Hinzufügen organisationsspezifischer Konten

Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden und Sie die unten genannten Schritte durchgeführt haben, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.

Konfigurieren von ArcGIS Web Adaptor zur Verwendung von IWA

Führen Sie zum Konfigurieren von ArcGIS Web Adaptor zur Verwendung von IWA die folgenden Schritte aus:

  1. Öffnen Sie Internet Information Server (IIS) Manager.
  2. Suchen Sie im Feld Verbindungen die Website, auf der ArcGIS Web Adaptor gehostet wird, und blenden Sie sie ein.
  3. Klicken Sie auf den Namen von ArcGIS Web Adaptor.

    Die Standardeinstellung ist arcgis.

  4. Doppelklicken Sie im Feld Startseite auf Authentifizierung.
  5. Wählen Sie Anonyme Authentifizierung aus, und klicken Sie auf Deaktivieren.
  6. Wählen Sie Windows-Authentifizierung aus, und klicken Sie auf Aktivieren.
  7. Schließen Sie Internet Information Server (IIS) Manager.

Überprüfen des Portal-Zugriffs mithilfe von IWA

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie mit IWA auf das Portal zugreifen können:

  1. Öffnen Sie das Portal.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Überprüfen Sie, ob Sie aufgefordert werden, die organisationsspezifischen Anmeldeinformationen einzugeben, oder ob Sie automatisch bei Ihrem organisationsspezifischen Konto angemeldet werden. Wenn dieses Verhalten nicht auftritt, stellen Sie sicher, dass dem Portal das Windows-Konto, mit dem Sie sich bei dem Computer angemeldet haben, hinzugefügt wurde.

Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.