Sichern von Webanwendungen
Sie können mit Manager den Zugriff auf ArcGIS Server-Webanwendungen einschränken. Wenn Sie Sicherheit in einer Anwendung aktivieren, können nur Benutzer in zugelassenen Rollen auf die Anwendung zugreifen.
Bevor Sie die Sicherheit in Anwendungen konfigurieren, stellen Sie sicher, dass Sie die Benutzer- und Rollenspeicher eingerichtet haben und dass Sie mindestens einen Benutzer und eine Rolle hinzugefügt haben. Weitere Informationen hierzu finden Sie unter Überblick über das Einrichten von Benutzern und Rollen.
Um Regeln festzulegen, die bestimmen, wer auf eine Webanwendung zugreifen kann, führen Sie folgende Schritte aus:
- Klicken Sie in ArcGIS Server Manager auf die Registerkarte Anwendungen, um die Liste der auf dem Server verfügbaren Webanwendungen anzuzeigen.
- Suchen Sie die Webanwendung, für die Sie Sicherheitsregeln festlegen möchten, und klicken Sie auf das Symbol Berechtigungen (Schloss). Das Dialogfeld Berechtigungen wird angezeigt, in dem Sie folgende Aktionen ausführen können:
- Sicherheit für diese Webanwendung aktivieren. Wenn dieses Feld deaktiviert ist, sind die anderen Einstellungen im Dialogfeld nicht verfügbar. Wenn Sie dieses Feld deaktivieren, wird der Zugriff auf die Anwendung nicht eingeschränkt.
- Einer Rolle Zugriff auf die Anwendung gewähren. Um eine Rolle hinzuzufügen, wählen Sie die Rolle in der Liste der verfügbaren Rollen auf der linken Seite aus. Klicken Sie auf Hinzufügen, um die Rolle der Liste zugelassener Rollen hinzuzufügen.
Rollen aus der Berechtigungsliste entfernen, indem Sie sie auswählen und auf Entfernen klicken. Die Rolle wird in die Liste verfügbarer Rollen verschoben.
Hinweis:Wenn die Rolle gelöscht wurde oder im aktuellen Rollenspeicher nicht vorhanden ist, wird sie nicht angezeigt, wann das Dialogfeld Berechtigungen erneut geöffnet wird.
- Sobald Sie die Berechtigungen konfiguriert haben, klicken Sie auf Speichern, um die an der Anwendungssicherheit vorgenommenen Änderungen zu speichern. Klicken Sie auf Abbrechen, um Änderungen an den Berechtigungen für die Anwendung zurückzunehmen.
- Nur dann, wenn die Benutzer von ArcGIS Server Windows-Benutzer sind: Aktivieren Sie mindestens eine Authentifizierungsmethode im Internetinformationsdienste-Webserver. Anweisungen finden Sie im nächsten Abschnitt.
- Wenn die Benutzer vom ArcGIS Server in SQL Server oder einem benutzerdefinierten Anbieter gespeichert werden ODER Windows-Benutzer sind und Sie im vorherigen Schritt die Standardauthentifizierung aktiviert haben, ist es erforderlich, dass die Anwendung mit https (SSL) verwendet wird. Dies ist wichtig, um die Übermittlung von Kennwörtern zu schützen, wenn sich Benutzer bei der Anwendung anmelden.
Aktivieren von Authentifizierungsmethoden für die Anwendung
Dieser Abschnitt ist nur zutreffend, wenn die Benutzer der ArcGIS Server-Instanz Windows-Benutzer sind. In diesem Fall muss die Identität des Benutzers vom IIS-Webserver überprüft werden. Damit IIS den Benutzer authentifizieren kann, muss mindestens eine Authentifizierungsmethode für die gesicherte Webanwendung aktiviert werden.
In der IIS-Installation wurde möglicherweise bereits eine oder mehrere Authentifizierungsmethode/n standardmäßig aktiviert. Sie sollten sich davon überzeugen, dass mindestens eine Authentifizierungsmethode aktiviert worden ist. Wenn keine Authentifizierungsmethode aktiviert worden ist, dann wird den Benutzern der Zugriff auf die Webanwendung verweigert.
Um in IIS 5.1 oder 6 (Windows XP oder Server 2003 bzw.) die Authentifizierungsmethoden für die Webanwendung festzulegen, gehen Sie wie folgt vor:
- Öffnen Sie IIS-Manager über Start > Einstellungen > Systemsteuerung > Verwaltung > Internet-Informationsdienste.
- Navigieren Sie im Ordner Websites des lokalen Computers zu der Website, die die ArcGIS-Instanz enthält (in der Regel Standardwebsite).
- Klicken Sie mit der rechten Maustaste auf den Webanwendungsordner und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften der Anwendung wird geöffnet.
- Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie unter Authentifizierung und Zugriffsteuerung auf Bearbeiten. Daraufhin wird das Dialogfeld Authentifizierungsmethoden geöffnet.
- Aktivieren Sie mindestens eine der Methoden unter Authentifizierter Zugriff. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten.
Um in IIS 7 (Windows Vista, Windows 7 oder Windows Server 2008) die Authentifizierungsmethoden für die Webanwendung festzulegen, gehen Sie wie folgt vor:
- Öffnen Sie IIS-Manager über Systemsteuerung > Verwaltung > Internetinformationsdienste-Manager.
- Erweitern Sie den Knoten Sites der Website, die Sie in Manager geschützt haben (in der Regel unter Standardwebsite) und erweitern Sie die Site, um die Webanwendungen anzuzeigen.
- Klicken Sie mit der linken Maustaste auf die Webanwendung, die Sie schützen möchten, um die Eigenschaften-Links auf der rechten Seite von IIS-Manager anzuzeigen.
- Doppelklicken Sie auf das Element Authentifizierung unter der IIS-Gruppe. Die Liste der Authentifizierungsmethoden für die Anwendung wird angezeigt.
- Klicken Sie in der Liste der Authentifizierungsmethoden mit der rechten Maustaste auf Anonyme Authentifizierung, und klicken Sie im Kontextmenü auf Deaktivieren.
- Aktivieren Sie mindestens eine andere Authentifizierungsmethode. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten.
Weitere Informationen zu Authentifizierungsmethoden finden Sie in in dieser Hilfe unter Auswählen einer Authentifizierungsmethode. Konsultieren Sie auch die IIS-Dokumentation und andere Ressourcen wie die MSDN-Seiten Authentication Methods Supported in IIS 6.0 oder IIS 7.0: Featureanforderungen für die Authentifizierung.
Authentifizierung und Autorisierung in web.config
ASP.NET speichert Sicherheitsinformationen für eine Webanwendung in zugehörigen Datei web.config (Benutzer und Rollen werden normalerweise getrennt in Anbietern, die in der Datei web.config angegeben wurden, gespeichert). Manager nutzt diesen Ansatz zur Autorisierung für Webanwendungen (aber nicht für GIS-Web-Services; sie Sichern von Internetverbindungen zu Services). Sie können diese Informationen anzeigen, aber wenn Sie sie ändern, ist Manager möglicherweise nicht mehr in der Lage, die Anwendungssicherheit zu verwalten.
Berechtigungsregeln für Webanwendungen werden im Standardautorisierungsformat für ASP.NET-Anwendungen gespeichert. Die Regeln werden in der Datei web.config innerhalb des Standardelements <authorization> gespeichert.
Wenn Sie manuell oder mit WSAT (Web Site Administration) Autorisierungsregeln in der Datei web.config bearbeiten, sollten Sie folgende Richtlinien beachten:
- Verwenden Sie nur <allow>-Regeln. Manager verwendet keine <deny>-Regeln, außer in der Regel am untern Rand der Regelliste, mit der allen Benutzern der Zugriff verweigert wird.
- Fügen Sie Regeln nur Rollen hinzu. Manager unterstützt das Hinzufügen von einzelnen Benutzerkonten zu Regeln nicht.
- Fügen Sie jedem <allow>-Element nur eine einzelne Rolle hinzu. Die folgende Regel sollte z. B. nicht verwendet werden:
<allow users="Admins, Planning" />
Erstellen Sie stattdessen zwei entsprechende Regeln:<allow users="Admins" /> <allow users="Planning" />
- Entfernen Sie die Regel <deny users="all" /> nicht und bearbeiten Sie diese Regel nicht. Diese Regel muss in der Liste an letzter Stelle stehen.
- Die Reihenfolge der Regeln ist nicht wichtig, da nur Zulassungsregeln verwendet werden. Die einzige Ausnahme hierzu bildet die Regel <deny users="all" />, die in der Liste an letzter Stelle stehen muss.
Wenn diesen Richtlinien nicht befolgt werden und Sie später Sicherheitseinstellungen mit Manager bearbeiten, können die Zugriffsregeln in web.config falsch gelesen und überschrieben werden. Wenn Sie nicht beabsichtigen, Manager zum Konfigurieren der Sicherheit für Webanwendung zu verwenden, dann können Sie natürlich jede zulässige ASP.NET-Autorisierungskonfiguration Ihrer Wahl verwenden.
Verwenden von Web Site Administration Tool (WSAM)
Die Sicherheitskonfiguration für in Manager erstellte Webanwendungen ist mit dem WSAT kompatibel. WSAT ist ein Microsoft-Dienstprogramm, mit dem Sie Benutzer und Rollen verwalten und Zugriffsregeln für Webanwendungen konfigurieren können. Sie können über Visual Studio auf WSAT zugreifen.
WSAT stellt zwei Authentifizierungsmethoden zur Auswahl: Windows (From the Internet) und Forms (From a local network). Wenn Sie den Authentifizierungstyp in WSAT ändern, nachdem Manager seine Sicherheitskonfiguration erstellt hat, ist es möglicherweise nicht möglich, die Anwendungssicherheit in Manager zu bearbeiten. Wenn dieser Fall eintritt, müssen Sie die Sicherheit weiterhin mithilfe von WSAT verwalten oder die Datei web.config direkt bearbeiten.
Der Speicherort von Benutzern und Rollen wird durch den Authentifizierungstyp und die Anbieterkonfiguration angegeben. Sie können die Konfiguration in WSAT anzeigen, wenn Sie sie jedoch ändern, ist Manager möglicherweise nicht mehr in der Lage, die Sicherheit zu verwalten.
Richtlinien zum Bearbeiten der Autorisierungsregeln finden Sie im vorherigen Abschnitt "Authentifizierung und Autorisierung im web.config".