Authentifizierungskonfiguration

Der primäre Faktor, anhand dessen Sie bestimmen, wie die Sicherheit in der ArcGIS Enterprise-Organisation konfiguriert wird, ist die Quelle der Benutzer und optional der Gruppen. Diese Benutzer- und Gruppenquelle wird als Identitätsspeicher bezeichnet. Benutzer und Gruppen in oder außerhalb Ihrer Organisation werden über den Identitätsspeicher verwaltet.

Identitätsspeicher

Im Identitätsspeicher der Organisation ist festgelegt, wo die Anmeldeinformationen für Ihre Portal-Konten gespeichert werden, wie die Authentifizierung erfolgt und wie die Gruppenmitgliedschaft verwaltet wird. Die ArcGIS Enterprise-Organisation unterstützt zwei Typen von Identitätsspeichern: integrierte und organisationsspezifische Identitätsspeicher.

Integrierte Identitätsspeicher

Bei der Erstellung integrierter Konten und Gruppen in der Organisation nutzen Sie den integrierten Identitätsspeicher, über den die Authentifizierung durchgeführt wird und in dem die Benutzernamen, Kennwörter, Rollen und Gruppenmitgliedschaften der Konten gespeichert sind. Zum Erstellen des initialen Administrator-Kontos für die Organisation müssen Sie den integrierten Identitätsspeicher verwenden, Sie können aber später zu einem organisationsspezifischen Identitätsspeicher wechseln. Der integrierte Identitätsspeicher ist bei der Inbetriebnahme Ihres Portals sowie für Entwicklungs- und Testzwecke sehr hilfreich. Allerdings nutzen Produktionsumgebungen in der Regel einen organisationsspezifischen Identitätsspeicher.

Organisationsspezifischer Identitätsspeicher

In ArcGIS Enterprise können Sie den Zugriff auf Ihre ArcGIS-Organisation mithilfe von organisationsspezifischen Konten und Gruppen steuern. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von organisationsspezifischen Anmeldenamen" beschrieben.

Der Vorteil dieses Vorgehens besteht darin, dass Sie keine zusätzlichen Konten im Portal erstellen müssen. Mitglieder verwenden die Anmeldeinformationen, die bereits im organisationsspezifischen Identitätsspeicher eingerichtet sind. Die Verwaltung der Konto-Anmeldeinformationen, einschließlich der Richtlinien für den Aufbau und die Gültigkeit von Kennwörtern, erfolgt vollständig außerhalb des Portals. Die Authentifizierung kann auf der Portal-Ebene erfolgen, wobei die Authentifizierung auf Portal-Ebene verwendet wird, oder sie kann mithilfe von SAML über einen externen Identity-Provider durchgeführt werden.

Entsprechend können Sie im Portal auch Gruppen erstellen, die mit bestehenden Windows Active Directory-, LDAP- oder SAML-Gruppen Ihres Identitätsspeichers verknüpft sind. Auf diese Weise kann die Verwaltung der Gruppenmitgliedschaften vollständig außerhalb des Portals erfolgen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Active Directory-, LDAP- oder SAML-Gruppe definiert sind. Außerdem können mehrere organisationsspezifische Konten gleichzeitig über die Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation hinzugefügt werden.

Es wird beispielsweise empfohlen, den anonymen Zugriff auf Ihre Organisation zu deaktivieren, Ihr Portal mit den gewünschten Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation zu verbinden und basierend auf diesen Gruppen die organisationsspezifischen Konten hinzuzufügen. Auf diese Weise wird der Zugriff auf das Portal auf Grundlage bestimmter Active Directory-, LDAP- oder SAML-Gruppen in Ihrer Organisation eingeschränkt.

Unterstützen mehrerer Identitätsspeicher

Mit SAML 2.0 können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Die Benutzer können sich mit integrierten Konten anmelden und mit Konten, die in mehreren SAML-kompatiblen Identity-Providern verwaltet werden, für die eine gegenseitige Vertrauensstellung konfiguriert wurde. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden. Einzelheiten finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit einem Portal.

Konfigurieren integrierter Benutzer und Gruppen über den Identitätsspeicher des Portals

Es sind keine Aktionen erforderlich, um das Portal beim Verwenden integrierter Benutzer und Gruppen zu konfigurieren. Das Portal kann nach der Installation der Software sofort von integrierten Benutzern und Gruppen verwendet werden. Wenn organisationsspezifische Benutzer vorhanden sind, finden Sie weitere Informationen in den folgenden Abschnitten und unter den zugehörigen Links.

Konfigurieren organisationsspezifischer Anmeldenamen

Für das Portal können die folgenden organisationsspezifische Identity-Provider konfiguriert werden. Die Authentifizierung kann auf Webebene (mit ArcGIS Enterprise on Kubernetes Web Adaptor) oder auf Portal-Ebene erfolgen.

Authentifizierung auf Webebene

Wenn Ihre Organisation über einen externen Identitätsspeicher verfügt, können Sie die Authentifizierung auf Webebene für die ArcGIS Enterprise on Kubernetes-Bereitstellung konfigurieren. Weitere Informationen finden Sie unter Authentifizierung auf Webebene.

Authentifizierung auf Portalebene

Um den Zugriff auf das Portal mit organisationsspezifischen und integrierten Identitätsspeichern ohne SAML zu gewähren, können Sie die Authentifizierung auf Portal-Ebene verwenden. Dazu wird das Portal mit dem Active Directory- oder LDAP-Identitätsspeicher konfiguriert. Wenn ein Benutzer auf die Anmeldeseite des Portals zugreift, kann er sich mit den organisationsspezifischen oder den integrierten Anmeldedaten anmelden. Organisationsspezifische Benutzer müssen ihre Konto-Anmeldeinformationen bei jeder Anmeldung am Portal eingeben, automatische Anmeldung und Single Sign-On sind nicht verfügbar.

Bei Verwendung der Authentifizierung auf Portalebene melden sich Mitglieder mit der folgenden Syntax an:

  • Wenn Sie das Portal mit Ihrem Active Directory verwenden, kann die Syntax domain\username oder username@domain lauten. Der Benutzername wird unabhängig davon, wie Mitglieder sich anmelden, auf der Portal-Website stets als username@domain angezeigt.
  • Wenn Sie das Portal mit LDAP verwenden, kann die Syntax vom Administrator definiert werden. Auf der Portal-Website wird das Konto ebenfalls in diesem Format angezeigt.

Konfigurieren organisationsspezifischer Anmeldenamen über SAML

Das ArcGIS Enterprise-Portal unterstützt alle SAML-kompatiblen Identity-Provider. Weitere Informationen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit einem Portal.

Richtlinie für Kontosperrung

Softwaresysteme erzwingen häufig eine Kontosperrungsrichtlinie zum Schutz gegen automatisierte Massenversuche, das Kennwort eines Benutzers zu erraten. Wenn ein Benutzer innerhalb eines bestimmten Zeitraums eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternimmt, sind eine gewisse Zeit lang keine weiteren Anmeldeversuche möglich. Diese Richtlinien stehen im Gegensatz zu der Tatsache, dass die Benutzer manchmal ihre Namen und Kennwörter vergessen und sich daher nicht erfolgreich anmelden können.

Die erzwungene Portal-Sperrrichtlinie hängt davon ab, welchen Typ von Identitätsspeicher Sie verwenden:

Integrierte Identitätsspeicher

Vom integrierten Identitätsspeicher wird ein Benutzer nach fünf aufeinanderfolgenden ungültigen Anmeldeversuchen gesperrt. Die Sperre dauert 15 Minuten. Diese Richtlinie gilt für alle Konten im Identitätsspeicher, auch für das initiale Administrator-Konto. Diese Richtlinie kann nicht geändert oder ersetzt werden.

Organisationsspezifischer Identitätsspeicher

Wenn Sie einen organisationsspezifischen Identitätsspeicher verwenden, wird die Kontosperrrichtlinie vom Speicher geerbt. Die Kontosperrrichtlinie für den Speicher können Sie möglicherweise ändern. In der Dokumentation zu dem betreffenden Speichertyp finden Sie Informationen zum Ändern der Kontosperrrichtlinie.

Überwachen fehlgeschlagener Anmeldeversuche

Sie können fehlgeschlagene Anmeldeversuche überwachen, indem Sie die Protokolle der Organisation in ArcGIS Enterprise Manager anzeigen. Fehlgeschlagene Versuche lösen Warnmeldungen aus, die besagen, dass die Anmeldung des Benutzers aufgrund einer ungültigen Kombination aus Benutzername und Kennwort nicht durchgeführt werden konnte. Wenn der Benutzer die Höchstanzahl der Anmeldeversuche überschreitet, wird eine schwerwiegende Warnmeldung protokolliert, die besagt, dass das Konto gesperrt wurde. Das Überwachen der Protokolle im Hinblick auf fehlgeschlagene Anmeldeversuche kann Ihnen dabei helfen, festzustellen, ob ein potenzieller Kennwortangriff auf Ihr System erfolgt.

Weitere Informationen finden Sie unter Arbeiten mit System-Protokollen.