Überblick über das Einrichten von Benutzern und Rollen
Mit ArcGIS Server Manager können Sie Rollen Zugriffsrechte für Services und Webanwendungen zuweisen. Eine Rolle ist eine Gruppe von einem oder mehreren Benutzer/n. Ein Benutzer ist eine Einzelperson, die auf eine Webanwendung oder einen Web-Service zugreift. Ein Benutzer kann vielen Rollen angehören.
Angenommen, John, Carla und Pat sind Benutzer eines GIS-Servers, der zur Verwaltung von Bodenschätzen dient. Diese drei Benutzer gehören alle der Rolle "General Access" an, die es ihnen ermöglicht, auf einen Satz grundlegender Services zuzugreifen. John und Carla gehören allerdings auch der Rolle "Hydrologe" an, die ihnen Zugriff auf zusätzliche Services gibt. Möglicherweise gehört ein vierter Benutzer namens Maria zur Rolle "Team Leader", die Zugriff auf alle Services gewährt. Vor allem müssen Sie sich merken, dass Sie die Rollen und die Zugriffsebenen für ein gegebenes Szenario konfigurieren können.
Konfigurieren von Speicherorten für Benutzer und Rollen
Bevor Sie die in ArcGIS Server Manager verfügbaren Werkzeuge verwenden können, um Berechtigungen für Services oder Anwendungen zuzuweisen, müssen Sie definieren, wo diese Benutzer und Rollen gespeichert werden. Es sind verschiedene Optionen verfügbar. Weitere Informationen zum Einrichten von Benutzern und Rollen finden Sie unter den folgenden Links.
Windows-Benutzer und Gruppen – Wählen Sie Windows-Benutzer und -Gruppen, wenn Sie vorhandene lokale Windows-Konten auf dem Webserver oder Domänenkonten nutzen möchten. Beim Einsatz von Domänenkonten muss der Webserver der Domäne angehören, die Sie zur Authentifizierung verwenden.
Diese Option wird am häufigsten verwendet, wenn ArcGIS Server in einem Intranet genutzt wird. Bei dieser Option ist mit der integrierten Windows-Authentifizierung auf dem Webserver auch ein Single sign on (SSO) möglich. Die automatische Weitergabe von Anmeldeinformationen von der Webanwendung zum Web-Service ist bei dieser Option voreingestellt.
Microsoft SQL Server Express – Wenn Sie eine neue Liste von Benutzern und Rollen einrichten und die in ArcGIS Server verfügbaren Werkzeuge nutzen möchten, können Sie diese Option verwenden. Sie können Benutzer und Rollen mithilfe von Microsoft SQL Server Express (gehört zum Lieferumfang von ArcGIS Server) speichern oder hierzu eine andere Edition von SQL Server verwenden. Die Sicherheitsschnittstelle von Manager enthält Werkzeuge zum Verwalten von Benutzern und Rollen, die in SQL Server gespeichert werden.
Diese Option wird meist gewählt, wenn ArcGIS Server im Internet verwendet wird, da die Internetbenutzer möglicherweise keine Windows-Anmeldeinformationen erhalten sollen. Diese Optionen sind auch nützlich, wenn die Webanwendungen andere Anmeldeinformationen verwenden sollen als die von diesen Anwendungen verwendeten Web-Services.
Benutzerdefinierter Anbieter – Sie möchten Benutzer und Rollen weder in SQL Server noch dem Betriebssystem Windows, sondern an einem anderen Speicherort speichern. Mögliche Speicherorte sind andere Typen von Datenbanken und XML-Dateien.
Bei Auswahl dieser Option wird ein benutzerdefinierter Anbieter der ASP.NET-Mitgliedschaft verwendet. Um diese Option verwenden zu können, müssen Sie einen .NET-Anbieter erwerben und für den Benutzer-/Rollenspeicher konfigurieren. Es sind beispielsweise Anbieter von Drittanbietern verfügbar, um eine Oracle-Datenbank als Benutzer und Rollenspeicher verwenden zu können. Es ist auch möglich, einen eigenen benutzerdefinierten Anbieter zu schreiben. Nähere Informationen finden Sie in der Dokumentation zur ASP.NET-Mitgliedschaft. Diese Option wird aus den gleichen Gründen wie Microsoft SQL Server verwendet, aber die Benutzer und Gruppen werden an einem anderen Speicherort als Microsoft SQL Server gespeichert.
Standardmäßig werden Benutzer und Rollen am gleichen Speicherort gespeichert. Wenn Sie Windows-Benutzer wählen, können Sie entscheiden, ob die Rollen in SQL Server oder einem benutzerdefinierten Anbieter gespeichert werden. Wenn Sie diese Option auswählen, müssen Sie sicherstellen, dass die Rollen in SQL Server (oder im benutzerdefinierten Anbieter) Mitglieder enthalten, deren Namen den Windows-Benutzerkonten genau entsprechen.
Manager verwendet für alle Web-Services und Webanwendungen den gleichen Benutzer- und Rollenspeicher. Wenn Sie für Services einen anderen Speicherort als für Anwendungen verwenden möchten, können Sie Services und Anwendungen nicht mit der gleichen Manager-Instanz schützen. Sie können Services mit Manager und Anwendungen mit anderen Werkzeugen schützen oder umgekehrt Services mit externen Werkzeugen und Anwendungen mit Manager schützen. Bei der ersten Option (Manager schützt nur Services) würden Sie die Sicherheitsfunktionen in Manager für Webanwendungen nicht aktivieren. Stattdessen könnten Sie Sicherheitsfunktionen für einzelne Webanwendungen konfigurieren, indem Sie die Anwendung manuell konfigurieren oder das Microsofts Web Site Administration Tool (WSAT) hierfür verwenden. Informationen zur Verwendung von WSAT finden Sie unter Sichern von Webanwendungen.
Eine andere Möglichkeit besteht darin, mit dem Werkzeug "Add Instance" eine zweite Instanz der ArcGIS-Webanwendungen hinzuzufügen. Mit einer ArcGIS-Instanz würden die GIS-Web-Services und mit der zweiten Instanz die Webanwendungen verwaltet. Weitere Informationen hierzu finden Sie unter ArcGIS-Serverinstanzen.
Konfigurationsdateien
Wenn Sie den Speicherort für Benutzer und Rollen konfigurieren, werden diese Informationen in Konfigurationsdateien in ArcGIS Server geschrieben. Die eigentlichen Daten zu Benutzern und Rollen werden getrennt davon an dem angegebenen Speicherort gespeichert. Konfigurationsdaten, die bestimmen, wie der Sicherheitsspeicher verwendet wird, werden jedoch in ArcGIS Server-Konfigurationsdateien gespeichert. Normalerweise sollte die Konfiguration mit Manager bearbeitet werden. Hier werden Informationen jedoch für Benutzer bereitgestellt, die Sicherheitseinstellungen möglicherweise manuell ändern müssen.
Alle auf Sicherheit bezogenen Einstellungen werden in Standard-ASP.NET-Konfigurationseinstellungen gespeichert. Weitere Informationen zu diesen Einstellungen finden Sie in der Referenzdokumentation zu ASP.NET.
Der zentrale Speicherort für Sicherheitseinstellungen ist die <ArcGIS-Instanz>\Security-Webanwendung (z. B., http://myserver.example.com/ArcGIS/Security, wobei für den physischen Speicherort der Standardpfad C:\Inetpub\wwwroot\ArcGIS\Security festgelegt ist). Die Datei web.config, die sich in diesem Anwendungsordner befindet, enthält die Sicherheitskonfiguration für die ArcGIS Server-Instanz. Wenn Sie einen Anbieter manuell konfigurieren müssen, z. B. um einen benutzerdefinierten Anbieter der Mitgliedschaft hinzuzufügen, bearbeiten Sie diese Datei web.config (weitere Informationen zu benutzerdefinierten Anbietern finden Sie unter Einrichten von Benutzern und Rollen in einem benutzerdefinierten Anbieter).
Wenn Sie den Assistenten zum Konfigurieren der Sicherheit verwenden, werden die Einstellungen in der Security-Webanwendung aktualisiert, dann werden diese gleichen Einstellungen in verschiedene andere Anwendungen kopiert. Hierzu gehören drei Anwendungen innerhalb der gleichen ArcGIS-Instanz: Rest, Services und Tokens. Zudem werden die Einstellungen in jenen Webanwendungen aktualisiert, die zuvor mit Manager gesichert wurden. Wenn irgendeine andere Webanwendung mit Manager geschützt wird, werden diese Einstellungen danach auch in die web.config-Datei dieser Anwendung kopiert.
Falls Sie Änderungen an der Konfiguration in der web.config-Datei der Sicherheitsanwendung vornehmen, sollten Sie den Assistenten unter Sicherheit > Einstellungen > Ändern ausführen. Daraufhin werden die Änderungen in die Anwendungen kopiert, welche die Sicherheitseinstellungen anwenden. Da Manager die Sicherheitseinstellungen für mehrere Anwendungen koordiniert, wird empfohlen, dass Sie Änderungen an den Sicherheitseinstellungen mithilfe von Managers vornehmen, statt manuelle Änderungen auszuführen.