Verwalten des Zugriffs auf das Portal

Zu den wichtigsten Erwägungen bei der Planung der Bereitstellung von ArcGIS Enterprise zählt die Entscheidung, wie Konten verwaltet werden sollen, die auf das Portal zugreifen, und mit welchen Berechtigungen diese Konten versehen werden sollen. Bei der Entscheidung über die Verwaltung der Konten geht es um die Wahl eines Identitätsspeichers.

Hinweis:

Jedes Mitglied in ArcGIS Enterprise und ArcGIS Online benötigt eine eigene Lizenz. Nichtsdestoweniger werden in beiden Produkten organisationsspezifische Anmeldenamen mit SAML und OpenID Connect unterstützt, sodass Sie die Authentifizierung zwischen Systemen optimieren können. Dies bedeutet, dass Sie den gleichen Benutzernamen und das gleiche Kennwort für beide Organisationen verwenden können. Sie können sich allerdings nicht bei ArcGIS Enterprise anmelden und erwarten, dass der gleiche Inhalt wie bei der Anmeldung beim ArcGIS Online-Konto angezeigt wird. Dies sind getrennte Organisationen mit jeweils einem eigenen Identitätsspeicher und einem spezifischen Satz verknüpfter Inhalte.

Identitätsspeicher

Im Identitätsspeicher der Organisation ist festgelegt, wo die Anmeldeinformationen für Ihre Portal-Konten gespeichert werden, wie die Authentifizierung erfolgt und wie die Gruppenmitgliedschaft verwaltet wird. Die ArcGIS Enterprise-Organisation unterstützt zwei Typen von Identitätsspeichern: integrierte und organisationsspezifische Identitätsspeicher.

Integrierte Identitätsspeicher

Bei der Erstellung integrierter Konten und Gruppen in der Organisation nutzen Sie den integrierten Identitätsspeicher, über den die Authentifizierung durchgeführt wird und in dem die Benutzernamen, Kennwörter, Rollen und Gruppenmitgliedschaften der Konten gespeichert sind. Zum Erstellen des initialen Administrator-Kontos für die Organisation müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem organisationsspezifischen Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen organisationsspezifischen Identitätsspeicher.

Organisationsspezifischer Identitätsspeicher

In ArcGIS Enterprise können Sie den Zugriff auf Ihre ArcGIS-Organisation mithilfe von organisationsspezifischen Konten und Gruppen steuern. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von organisationsspezifischen Anmeldenamen" beschrieben.

Der Vorteil dieses Vorgehens besteht darin, dass Sie keine zusätzlichen Konten im Portal erstellen müssen. Mitglieder verwenden die Anmeldeinformationen, die bereits im organisationsspezifischen Identitätsspeicher eingerichtet sind. Die Verwaltung der Konto-Anmeldeinformationen, einschließlich der Richtlinien für den Aufbau und die Gültigkeit von Kennwörtern, erfolgt vollständig außerhalb des Portals. Die Authentifizierung kann auf der Portal-Ebene erfolgen, wobei die Authentifizierung auf Portal-Ebene verwendet wird, oder sie kann mithilfe von SAML über einen externen Identity-Provider durchgeführt werden.

Entsprechend können Sie im Portal auch Gruppen erstellen, die einen Link zu bestehenden Active Directory-, LDAP- oder SAML-Gruppen Ihres Identitätsspeichers enthalten. Auf diese Weise kann die Verwaltung der Gruppenmitgliedschaften vollständig außerhalb des Portals erfolgen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Active Directory-, LDAP- oder SAML-Gruppe definiert sind. Außerdem können mehrere organisationsspezifische Konten gleichzeitig über die Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation hinzugefügt werden.

Es wird beispielsweise empfohlen, den anonymen Zugriff auf Ihr Portal zu deaktivieren, Ihr Portal mit den gewünschten Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation zu verbinden und basierend auf diesen Gruppen die organisationsspezifischen Konten hinzuzufügen. Auf diese Weise wird der Zugriff auf das Portal auf Grundlage bestimmter Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation eingeschränkt.

Unterstützen mehrerer Identitätsspeicher

Mit SAML 2.0 können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Die Benutzer können sich mit integrierten Konten anmelden und mit Konten, die in mehreren SAML-kompatiblen Identity-Providern verwaltet werden, für die eine gegenseitige Vertrauensstellung konfiguriert wurde. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden. Einzelheiten finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.

Zugriffsberechtigungen

Nachdem Sie die Verwaltung von Konten in ArcGIS Enterprise festgelegt haben, müssen Sie entscheiden, mit welchen Berechtigungen Sie die Benutzer ausstatten möchten, die auf Ihre ArcGIS-Organisation zugreifen. Die Berechtigungen eines Benutzers sind abhängig davon, ob der auf das Portal zugreifende Benutzer Teil der ArcGIS-Organisation ist.

Benutzer, die auf das Portal ohne ein ArcGIS-Organisationskonto zugreifen, können lediglich nach öffentlichen Elementen suchen und diese nutzen. Ist zum Beispiel eine öffentliche Webkarte in eine Website eingebettet, können Beobachter dieser Karte auf ein Element Ihres Portal zugreifen, auch wenn sie dort kein Konto haben. Es bleibt Ihnen überlassen, ob Sie diese Zugriffsart aktivieren möchten. Sie können den Zugriff für Personen, die nicht zur ArcGIS-Organisation gehören, jederzeit deaktivieren. Weitere Informationen hierzu finden Sie unter Deaktivieren des anonymen Zugriffs.

Benutzern, die Mitglied Ihrer ArcGIS-Organisation sind, können erweiterte Berechtigungen für den Portalzugriff gewährt werden. Die Mitglieder der ArcGIS-Organisation sind auf der Seite Organisation der Portal-Website aufgelistet. Mitglieder einer Organisation werden nach Benutzertypen organisiert, die verschiedenen Rollen mit unterschiedlichen Berechtigungen entsprechen. Weitere Informationen finden Sie unter Benutzertypen, Rollen und Berechtigungen.

Wenn Ihrem Portal ein neues ArcGIS-Organisationskonto hinzugefügt wird, wird diesem standardmäßig die Rolle "Benutzer" zugewiesen. Der Portal-Administrator kann die Rolle jedoch jederzeit ändern.

Verwalten von ArcGIS-Organisationskonten

Ein ArcGIS-Organisationskonto ist ein Benutzerkonto, das zum Organisationsbereich Ihrer Portal-Website hinzugefügt wurde. In der Dokumentation und Benutzerführung der Portal-Website werden diese Benutzer normalerweise als Mitglieder der Organisation bezeichnet.

Als Administrator müssen Sie nicht nur die volle Kontrolle über die den einzelnen Mitgliedern Ihrer ArcGIS-Organisation gewährten Berechtigungen haben, sondern auch darüber, wer ihr als Mitglied angehören darf.

Die maximale Anzahl von ArcGIS-Organisationskonten in Ihrem Portal ist in der Lizenzdatei festgelegt, die Sie zur Lizenzierung des Portals verwendet haben. Sie können jederzeit die Gesamtzahl der Mitglieder, die einem Benutzertyp zugewiesen sind, sowie die verbleibenden verfügbaren Benutzertyp-Lizenzen auf den Registerkarten Übersicht und Lizenzen auf der Seite Organisation der Portal-Website einsehen. Auf der Registerkarte Übersicht können Sie in der Übersicht für Mitglieder die Gesamtanzahl der zugewiesenen und verfügbaren Lizenzen anzeigen. Unter Benutzertyp auf der Registerkarte Lizenzen können Sie die zugewiesenen und verfügbaren Lizenzen pro Benutzertyp anzeigen.

Verwalten von Konten mithilfe des integrierten Speichers

Wenn der integrierte Speicher verwendet wird, können diejenigen mit Administratorberechtigungen zum Verwalten von Mitgliedern integrierte Konten mithilfe der Registerkarte Mitglieder verwalten. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.

Verwalten von Konten mithilfe eines organisationsspezifischen Identitätsspeichers

Im ArcGIS Enterprise-Portal können Sie Konten in Ihrem Identitätsspeicher weder löschen, bearbeiten noch neu anlegen. Sie können jedoch vorhandene organisationsspezifische Konten in Ihrer Organisation registrieren.

Als Administrator wählen Sie für gewöhnlich die organisationsspezifischen Anmeldenamen aus, die Sie zur Organisation hinzufügen möchten, und fügen sie dann alle zusammen hinzu. Weitere Informationen über die Erstellung mehrerer ArcGIS-Organisationskonten auf einmal finden Sie unter Hinzufügen von Mitgliedern zum Portal. Außerdem können Sie jederzeit Mitglieder von Ihrer Portal-Website entfernen oder deren Berechtigungen ändern.

Sie können aber auch jedes organisationsspezifische Konto, das eine Verbindung zum Portal oder seinen Elementen herstellt, automatisch hinzufügen. Weitere Informationen erhalten Sie unter Automatische Registrierung von organisationsspezifischen Konten.

Es ist wichtig zu verstehen, dass der anonyme Zugang zur ArcGIS-Organisation deaktiviert ist, wenn ein Portal mit einem organisationsspezifischen Identitätsspeicher konfiguriert ist; jeder Benutzer, der auf das Portal zugreift, muss sich zunächst im Identitätsspeicher authentifizieren. Nach erfolgter Authentifizierung wird der Benutzer je nach Vorhandensein eines ArcGIS-Organisationskontos auf seinen Namen mit den entsprechenden Berechtigungen ausgestattet.

Richtlinie für Kontosperrung

Softwaresysteme erzwingen häufig eine Kontosperrungsrichtlinie zum Schutz gegen automatisierte Massenversuche, das Kennwort eines Benutzers zu erraten. Wenn ein Benutzer innerhalb eines bestimmten Zeitraums eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternimmt, sind eine gewisse Zeit lang keine weiteren Anmeldeversuche möglich. Diese Richtlinien stehen im Gegensatz zu der Tatsache, dass die Benutzer manchmal ihre Namen und Kennwörter vergessen und sich daher nicht erfolgreich anmelden können.

Die erzwungene Portal-Sperrrichtlinie hängt davon ab, welchen Typ von Identitätsspeicher Sie verwenden:

Integrierte Identitätsspeicher

Vom integrierten Identitätsspeicher wird ein Benutzer nach fünf aufeinanderfolgenden ungültigen Anmeldeversuchen gesperrt. Die Sperre dauert 15 Minuten. Diese Richtlinie gilt für alle Konten im Identitätsspeicher, auch für das initiale Administrator-Konto. Diese Richtlinie kann nicht geändert oder ersetzt werden.

Organisationsspezifischer Identitätsspeicher

Wenn Sie einen organisationsspezifischen Identitätsspeicher verwenden, wird die Kontosperrrichtlinie vom Speicher geerbt. Die Kontosperrrichtlinie für den Speicher können Sie möglicherweise ändern. In der Dokumentation zu dem betreffenden Speichertyp finden Sie Informationen zum Ändern der Kontosperrrichtlinie.