Verwenden von LDAP und Authentifizierung auf Webebene

Sie können den Zugriff auf die Organisation mit Lightweight Directory Access Protocol (LDAP) sichern. Wenn Sie LDAP verwenden, werden Anmeldenamen über den LDAP-Server Ihrer Organisation verwaltet.

Um LDAP zu verwenden, können Sie die Authentifizierung auf Portal-Ebene oder Webebene mit ArcGIS Web Adaptor (Java Platform) einrichten, die für einen Java-Anwendungsserver bereitgestellt wird. ArcGIS Web Adaptor (IIS) kann nicht zur Authentifizierung auf Webebene mit LDAP herangezogen werden.

Konfigurieren von LDAP für Ihre Organisation

ArcGIS Enterprise erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Option zuvor geändert haben, um die Kommunikation über HTTP und HTTPS zu ermöglichen, müssen Sie das Portal neu konfigurieren, um ausschließlich HTTPS für die Kommunikation zu verwenden, indem Sie die folgenden Schritte ausführen.

Konfigurieren der Organisation für die Verwendung von HTTPS für die gesamte Kommunikation

Führen Sie die folgenden Schritte aus, um die Organisation für die Verwendung von HTTPS zu konfigurieren:

  1. Melden Sie sich als Administrator bei der Website der Organisation an.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Klicken Sie auf Organisation und auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit.
  3. Aktivieren Sie die Option Zugriff auf das Portal nur über HTTPS erlauben.

Konfigurieren des Identitätsspeichers für die Verwendung von LDAP-Benutzern und -Gruppen

Aktualisieren Sie anschließend den Identitätsspeicher Ihrer Organisation, um LDAP-Benutzer und -Gruppen zu verwenden.

  1. Melden Sie sich als Administrator Ihrer Organisation bei ArcGIS Enterprise Manager an. Die URL hat das Format https://organization.example.com/<context>/manager.
  2. Klicken Sie auf Sicherheit > Identitätsspeicher.
  3. Mithilfe der Optionen unter Benutzerspeicher und Gruppenspeicher können Sie auswählen, wie die Benutzer und Gruppen in Ihrer Organisation verwaltet werden.
  4. Wählen Sie unter Benutzerspeicher die Option LDAP aus. Mit LDAP-Benutzern können Sie den integrierten Gruppenspeicher oder einen LDAP-Gruppenspeicher verwenden. Die Eingabefelder im Abschnitt Benutzerspeicher- und Gruppenspeicherkonfiguration variieren abhängig vom ausgewählten Gruppenspeichertyp.
  5. Geben Sie unter Benutzerspeicher- und Gruppenspeicherkonfiguration in jedes Feld die entsprechenden Informationen ein. Die Beschreibungen der einzelnen Textfelder lauten wie folgt:

    • Type: LDAP oder LDAPS.
    • Hostname (Required): Der Name des Hostcomputers, auf dem das LDAP-Verzeichnis ausgeführt wird.
    • Port (Required): Die Portnummer auf dem Hostcomputer, die das LDAP-Verzeichnis auf eingehende Verbindungen überwacht.
      Hinweis:

      Für sichere Verbindungen lautet diese normalerweise 636.

    • User Base DN (Required): Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, unter dem Benutzerinformationen gespeichert werden, z. B. ou=users,dc=example,dc=com.
    • Group base DN (Required): Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, unter dem Gruppeninformationen gespeichert werden, z. B. ou=groups,dc=example,dc=com.
    • Username (Required): Der definierte Name (DN) eines LDAP-Benutzerkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat. Für dieses Konto ist kein administrativer Zugriff erforderlich.
    • Password (Required): Das Kennwort des LDAP-Benutzerkontos, das für den Zugriff auf den Verzeichnisserver verwendet wird.
    • LDAP URL for users: Die LDAP-URL für Benutzer, die zur Herstellung der Verbindung mit dem LDAP-Verzeichnis verwendet wird.
      Hinweis:
      Diese wird automatisch generiert, kann jedoch bei Bedarf geändert werden.
    • LDAP URL for groups: Die LDAP-URL für Gruppen, die zur Herstellung der Verbindung mit dem LDAP-Verzeichnis verwendet wird.
      Hinweis:
      Diese wird automatisch generiert, kann jedoch bei Bedarf geändert werden.
    • Are usernames case sensitive?: Ja oder Nein
    • User first name attribute (Required): Das Attribut des Verzeichnisservers für den Vornamen eines Benutzers
    • User last name attribute (Required): Das Attribut des Verzeichnisservers für den Nachnamen eines Benutzers
    • User email attribute (Required): Das Attribut des Verzeichnisservers für die E-Mail-Adresse eines Benutzers
    • Username attribute (Required): Das Attribut des Verzeichnisservers für den Benutzernamen eines Benutzers
    • User search attribute: Dieses optionale Feld ist nur erforderlich, wenn Enterprise für die Verwendung der Authentifizierung auf Webebene in einem Java Web Adaptor konfiguriert wird. In einigen Szenarien gibt der Java Web Adaptor den authentifizierten Benutzernamen möglicherweise in einem anderen Format als dem oben angegebenen erwarteten Benutzernamen zurück. Dies kann z. B. vorkommen, wenn ein Java Web Adaptor für die Verwendung der Clientzertifikatauthentifizierung konfiguriert wurde und anstelle des Benutzernamens der vollständige definierte Name des Benutzers vom Webserver zurückgegeben wird. In diesem Fall muss das Attribut "Benutzersuche" auf distinguishedName festgelegt werden.
    • Member attribute (Required): Das Attribut des Verzeichnisservers für die Liste der Benutzer, die Mitglieder einer bestimmten Gruppe sind.
    • Group name attribute (Required): Das Attribut des Verzeichnisservers für den Namen einer Gruppe.

  6. Klicken Sie auf Speichern, wenn Sie die zum Konfigurieren des Identitätsspeichers erforderlichen Informationen eingegeben haben.

Hinzufügen organisationsspezifischer Konten

Organisationsspezifische Benutzer haben standardmäßig Zugriff auf die ArcGIS Enterprise-Organisation. Sie können jedoch nur Elemente anzeigen, die für alle Benutzer in der Organisation freigegeben wurden. Dies ist darauf zurückzuführen, dass die organisationsspezifischen Konten nicht hinzugefügt und ihnen keine Zugriffsberechtigungen gewährt wurden.

Fügen Sie Konten zur Organisation hinzu, indem Sie die folgenden Methoden verwenden:

Es wird empfohlen, mindestens ein organisationsspezifisches Konto als Administrator des Portals festzulegen. Dies kann beim Hinzufügen des Kontos durch Auswahl der Rolle Administrator erfolgen. Wenn Sie über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Nachdem die Konten hinzugefügt wurden und Sie die unten genannten Schritte durchgeführt haben, können Benutzer sich bei der Organisation anmelden und auf Inhalte zugreifen.

Konfigurieren von ArcGIS Web Adaptor für die Verwendung der Authentifizierung auf Webebene

Nachdem Sie ArcGIS Web Adaptor (Java Platform) für Ihre Organisation gemäß der entsprechenden Installationsanweisung installiert und konfiguriert haben, müssen Sie zwei primäre Tasks für den Java-Anwendungsserver konfigurieren:

  1. Integration in den LDAP-Identitätsspeicher. Dadurch kann der Java-Anwendungsserver Benutzer authentifizieren, die in diesem LDAP-Speicher verwaltet werden.
  2. Aktivieren Sie einen browserbasierten Authentifizierungsmechanismus, z. B. zur Authentifizierung basierend auf Formularen oder Dialogfeldern für die ArcGIS Web Adaptor-Anwendung in der Organisation.

Weitere Anweisungen erhalten Sie von Ihrem Systemadministrator, in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Esri Professional Services.

Überprüfen des Zugriffs auf das Portal mittels LDAP

  1. Öffnen Sie das Portal.

    Die URL hat das Format https://organization.example.com/<context>/home.

  2. Überprüfen Sie, ob Sie aufgefordert werden, Ihre Anmeldeinformationen für das LDAP-Konto einzugeben. Wenn dieses Verhalten nicht auftritt, überprüfen Sie, ob das LDAP-Konto, mit dem Sie sich bei dem Computer angemeldet haben, zu dem Portal hinzugefügt wurde.

Verhindern der Erstellung eigener integrierter Konten durch Benutzer

Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.