Übersicht über Internet-Sicherheit
ArcGIS Server ermöglicht es Ihnen, Webanwendungen und Web-Services zu sichern. In diesem Abschnitt wird hauptsächlich darauf eingegangen, wie der Zugriff auf Anwendungen und Services auf autorisierte Benutzer eingeschränkt wird. Natürlich sind in einem ArcGIS Server-System auch andere Sicherheitsfragen relevant, z. B. die von ArcGIS Server für den Datenzugriff verwendeten Konten, die Sicherheit des Codes, der auf dem Server ausgeführt wird, und die physische Gerätesicherheit. Weitere Informationen zur Sicherheit finden Sie unter Möglichkeiten zur Implementierung von Sicherheit in ArcGIS Server.
Mit ArcGIS Server können Sie die Sicherheit von Web-Services und Webanwendungen verwalten. Folgende wichtigen Tasks müssen Sie zur Implementierung von Sicherheit ausführen:
- Definieren der Verwaltung von Benutzern und Rollen
- Auswählen einer Authentifizierungsmethode
- Implementieren von Secure Sockets Layer (SSL)
- Festlegen von Berechtigungen für Services und Anwendungen
In einem nachfolgenden Abschnitt werden die Optionen zusammengefasst: Häufige Sicherheitskonfigurationen für ArcGIS Server-Services. Sie können die meisten dieser Tasks mit Manager ausführen. Weitere Informationen hierzu finden Sie unten sowie in den einzelnen Abschnitten dieses Themas. Die Checkliste für Internet-Sicherheit dient auch als Leitfaden zum Implementieren von Sicherheit für Services und Anwendungen.
Definieren der Verwaltung von Benutzern und Rollen
Die wesentliche Komponente jedes Zugriffssteuerungsmechanismus ist die Fähigkeit, Benutzer zu authentifizieren. Alle Authentifizierungsmechanismen erfordern, dass die Informationen von Benutzern und die Rollen, denen diese angehören, irgendwo zentral auf dem System gespeichert werden. ASP.NET-Anwendungen lassen zu, dass Sicherheitseinstellungen mit dem Betriebssystem oder einem ASP.NET-Mitgliedschafts-Anbieter gespeichert und verwaltet werden. ArcGIS Server verwendet diese beiden von ASP.NET bereitgestellten Benutzerspeicheroptionen.
Die Entscheidung darüber, wo die Benutzer gespeichert werden sollen, hängt stark von der Zielgruppe der Anwendungen und Services ab. Wenn Sie z. B. meistens Intranetanwendungen erstellen, sollten Sie die vorhandenen Benutzer und Gruppen, die im Betriebssystem verfügbar sind, nutzen, um Zugriff auf die Anwendungen zu gewähren. Wenn Sie Internetanwendungen erstellen und nicht möchten, dass die Webbenutzer auch Active Directory-Benutzer sind, sollten Sie diese Benutzer in einem ASP.NET-Mitgliedschafts-Anbieter speichern. Weitere Informationen zum Einrichten von Benutzern und Rollen finden Sie unter Überblick über das Einrichten von Benutzern und Rollen.
In ArcGIS Server können Sie den Anbieter der ASP.NET-Mitgliedschaft für Microsoft SQL Server einfach mit ArcGIS Server Manager konfigurieren. Das ASP.NET-Mitgliedschafts-Framework ist jedoch sehr flexibel und kann eine Vielzahl benutzerdefinierter Anbieter unterstützen, z. B. andere Datenbanken, XML-Dateien, Active Directory, LDAP usw. Sobald ArcGIS Server auf dem System eingerichtet wurde, kann ArcGIS Server für die Verwendung dieser benutzerdefinierten Anbieter konfiguriert werden.
Diese Links fassen zusammen, wie Sie Benutzer und Rollen konfigurieren können, und enthalten Verweise zu weiterführenden Informationen zu jeder Option:
- Benutzer und Gruppen im Betriebssystem Windows
- ASP.NET-Mitgliedschafts-Anbieter
- Microsoft SQL Server (mit ArcGIS Server Manager konfiguriert)
- Benutzerdefiniert (von einem Administrator/Entwickler konfiguriert, dann in ArcGIS Server Manager integriert)
Auswählen einer Authentifizierungsmethode
Mit Authentifizierung ist der Prozess gemeint, der zum Identifizieren von Personen dient, die auf das System zuzugreifen versuchen. Der Benutzer stellt Anmeldeinformationen bereit, in der Regel einen Benutzernamen und ein Kennwort, um sich beim System zu authentifizieren. Die Authentifizierungsmethode bestimmt, wie der Server die Identität des Benutzers überprüft.
Welche Optionen zur Authentifizierung verfügbar sind, ist vom gewählten Benutzer- und Rollenspeicher abhängig.
Benutzerspeicher |
Authentifizierung |
---|---|
Benutzer und Gruppen im Betriebssystem Windows |
IIS |
ASP.NET-Mitgliedschafts-Anbieter |
ASP.NET |
Authentifizierungsmethoden unterscheiden sich auch hinsichtlich des gebotenen Grads an Sicherheit. Lesen Sie die Dokumentation sorgfältig und beraten Sie sich mit den Sicherheitsmitarbeitern, bevor eine für die Situation geeignete Methode auswählen.
Folgende Authentifizierungsmethoden sind mit ArcGIS Server für Microsoft .NET Framework verfügbar:
- IIS-Authentifizierung
- Integrierte Windows-Authentifizierung
- Wird auch als Windows-Authentifizierung unter Windows Server 2008 und Windows Vista bezeichnet.
- Wird im Allgemeinen nur in Intranets und nicht über das Internet verwendet.
- Wird nur verwendet, wenn die Benutzer Benutzer des Betriebssystems Windows sind.
- Wenn Internet Explorer als Browser verwendet wird und sich dieser im gleichen lokalen Netzwerk wie der Server befindet, wird die Identität des angemeldeten Benutzers transparent ohne Aufforderung zur Eingabe von Anmeldedaten übergeben. Das Gleiche gilt für ArcGIS-Clients (Desktop, Engine, ArcGIS Explorer). Dies ermöglicht es Benutzern, Verbindungen mit Services herzustellen und Services zu verwenden, ohne sich explizit anzumelden.
- HTTP Basic und Digest
- Wird in Intranets und über das Internet verwendet.
- Wird nur verwendet, wenn die Benutzer Benutzer des Betriebssystems Windows sind.
- Browser-Benutzer sehen in der Regel ein Standard-Popup-Dialogfeld zum Anmelden.
- Integrierte Windows-Authentifizierung
- ASP.NET-Authentifizierung
- Formularbasierte Authentifizierung
- Wird für Webanwendungen verwendet, wenn SQL Server oder ein benutzerdefinierter Anbieter als Benutzerspeicher dient.
- Browser-Benutzer sehen in der Regel ein Anmeldeformular auf einer Webseite.
- Token-basierte Authentifizierung
- In ArcGIS Server implementiert.
- Wird nur für Web-Services, nicht für Anwendungen verwendet.
- Der Client ruft einen Token aus dem Server ab, indem er Benutzernamen und Kennwort übergibt, und der Token wird dann verwendet, um auf den Service zuzugreifen.
- Funktioniert mit jedem Benutzerspeicher.
- Formularbasierte Authentifizierung
Sie können bei Bedarf mehrere Authentifizierungsmethoden unterstützen, indem Sie mehrere ArcGIS Server-Webinstanzen einrichten. Jede Instanz wird in diesem Fall an den gleichen GIS-Server gebunden, aber für eine andere Authentifizierungsmethode konfiguriert.
Richtlinien zu Authentifizierungsmethoden finden Sie unter Häufige Sicherheitskonfigurationen für ArcGIS Server-Services. Unter Überblick über das Einrichten von Benutzern und Rollen finden Sie weitere Informationen zu Authentifizierungsmethoden.
Implementieren von Secure Sockets Layer (SSL)
Abhängig von den Anforderungen des Benutzerspeichers und der Authentifizierungsmethode, müssen Sie möglicherweise ein SSL-Zertifikat für den Webserver erwerben. SSL ermöglicht die Verwendung des Protokolls HTTPS, mit dem die Kommunikation zwischen Clients und dem Webserver verschlüsselt wird. Im Allgemeinen ist SSL unabdingbar, wenn die Benutzer mit HTTP Basic, der tokenbasierten oder der formularbasierte Authentifizierung authentifiziert werden. SSL kann jedoch auch bei Verwendung anderer Authentifizierungsmethoden die Sicherheit von Anmeldeinformationen erhöhen. Weitere Informationen finden Sie unter Einrichten von SSL.
Festlegen von Berechtigungen für Services und Anwendungen
Damit ein Benutzer auf einen Service oder eine Anwendung zugreifen kann, müssen Sie dem Service oder der Anwendung Berechtigungen für eine Rolle hinzufügen, der der Benutzer als Mitglied angehört. ArcGIS Server-Berechtigungen basieren auf Rollen. In Manager werden Berechtigungen für einen Service, einen Service-Ordner oder eine Anwendung hinzugefügt, indem Rollen statt einzelnen Benutzern Zugriff gewährt wird.
Wenn Sie Sicherheitseinstellungen auf einen Web-Service anwenden, gelten diese für alle Formen des Web-Services: SOAP, REST und OGC (z. B. WMS). Wenn Sie in Manager einer Rolle (z. B. Planer) Zugriff auf einen Service gewähren, dann können die Benutzer in dieser Rolle über SOAP, REST und jede für den Service aktivierte OGC-Methode auf den Service zugreifen. Da die Sicherheitseinstellungen automatisch für das Services-Verzeichnis übernommen werden, können angemeldete Benutzer nur die gesicherten Services sehen, für die sie Berechtigungen besitzen.
Weitere Informationen finden Sie unter Sichern von Internetverbindungen zu Services und Sichern von Webanwendungen.
Häufige Sicherheitskonfigurationen für ArcGIS Server-Services
In der nachfolgenden Tabelle werden häufige Sicherheitskonfigurationen für ArcGIS Server-Services dargestellt. Die Darstellung basiert auf drei Aspekten, die für die Art und den Ort der Service-Konfiguration von Belang sind: (1) ob die Services in einem Intranet oder über das Internet bereitgestellt werden, (2) der Typ von Benutzer- und Rollenspeicher und (3) die Authentifizierungsmethode.
Alle Konfigurationen unterstützen alle Clients (Web, JavaScript, ArcGIS Desktop, OGC und KML), sofern nicht ausdrücklich etwas Anderes angegeben wird.
Netzwerk | Benutzer-/Rollenspeicher | Authentifizierung | Hinweise |
Intranet |
Kein |
Nicht zutreffend |
Keine ArcGIS Server-Sicherheit. Firewall beschränkt Services/Anwendungen auf interne Benutzer. |
Windows-Domänenbenutzer/-rollen (Gruppen) |
Integrierte Windows-Authentifizierung |
||
HTTP Basic/Digest |
JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden. |
||
Windows-Domänenbenutzer, SQL Server-Rollen |
Integrierte Windows-Authentifizierung |
||
HTTP Basic/Digest |
JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden. |
||
Internet |
Kein |
– |
Keine ArcGIS Server-Sicherheit. Alle Services sind für alle Benutzer zugänglich. |
Windows-Benutzer/-Rollen |
HTTP Basic/Digest |
JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden. |
|
Windows-Benutzer, SQL Server-Rollen |
2 ArcGIS-Webinstanzen
(1 HTTP Basic/Digest, 1 tokenbasiert) |
HTTP Basic/Digest unterstützt SOAP, OGC, KML; die tokenbasierte Authentifizierung unterstützt REST-Zugriff. |
|
SQL Server-Benutzer und -Rollen |
Tokenbasiert |
Keine Unterstützung für OGC- oder KML-Clients. |
|
Benutzerdefinierter Anbieter |
Tokenbasiert |
Keine Unterstützung für OGC- oder KML-Clients. |