Einrichten von Benutzern und Rollen im Betriebssystem Windows
Sie können Standard-Windows-Konten verwenden, um Benutzer zu authentifizieren. Dies wird meist verwendet, wenn Services und Anwendungen in einem Intranet ausgeführt wurden. Die Benutzer müssen über Windows-Konten im lokalen Netzwerk verfügen, um auf gesicherte Services und Anwendungen zugreifen zu können.
Um Windows-Benutzer zum Festlegen von Berechtigungen anzugeben, führen Sie folgende Schritte aus:
- Erweitern Sie in Manager den Bereich Sicherheit, und klicken Sie auf Einstellungen.
- Klicken Sie unter Sicherheits-Stores auf den Link Konfigurieren.
- Wählen Sie Wählen Sie in dem Dialogfeld, das für Windows-Benutzer geöffnet wird, Speicherort für Benutzer aus. Klicken Sie auf Weiter.
- Im nächsten Dialogfeld wählen Sie aus, ob Windows-Gruppen als Rollenspeicherort oder SQL Server-Datenbank (oder ein benutzerdefinierter Anbieter, wenn Sie zuvor einen solchen konfiguriert haben) verwendet werden sollen.
-
Wenn Sie Windows-Gruppen wählen, klicken Sie auf Fertig stellen und blättern Sie weiter zu "Deaktivieren des anonymen Zugriffs auf ArcGIS-Web-Services in Internetinformationsdiensten". Wenn Sie "SQL Server-Datenbank" ausgewählt haben, klicken Sie auf Weiter und fahren mit den folgenden Schritten fort:
- Geben Sie den Datenbankservernamen ein und klicken Sie auf Verbinden.
- Wenn Sie mit einem Windows-Benutzerkonto eine Verbindung mit der Datenbank herstellen, lassen Sie die Option Vertrauenswürdige Verbindung verwenden aktiviert. Dies ist im Allgemeinen die beste Option, wenn SQL Server Express auf dem Webserver installiert worden ist. Wenn SQL Server in einem separaten Computer aufgeführt wird, verwenden Sie SQL-Anmeldungen, deaktivieren Sie Vertrauenswürdige Verbindung verwenden, geben Sie dann einen SQL-Benutzernamen und das zugehörige Kennwort ein. Diese Anmeldung wird von den Web-Services und Anwendungen verwendet, um eine Verbindung mit der Datenbank herzustellen.
- Wenn Sie noch keine Datenbank zum Speichern von Rollen eingerichtet haben, klicken Sie auf die Option, um eine neue Datenbank zu erstellen, und geben Sie dann einen Namen (z. B. aspnetdb) ein. Wenn Sie bereits eine Datenbank für ASP.NET-Mitgliedschaft und Rollen eingerichtet haben, können Sie diese in der Dropdown-Liste auswählen.
- Mit der Option Die Rollen Jeder, Anonym und Authentifizierte Benutzer zur Datenbank hinzufügen werden der Datenbank drei generische Rollen hinzugefügt: "Jeder", "Authentifizierte Benutzer" und "Anonym". Diese Rollen sind nur relevant, wenn Sie im nächsten Fenster Token-basierte Authentifizierung auswählen. In diesem Fall können Sie mithilfe dieser Rollen jeden bzw. nur Benutzer mit einer gültigen Anmeldung in die Lage versetzen, auf einen oder mehrere Services zuzugreifen. Durch das Hinzufügen dieser Rollen werden nicht automatisch anonyme Benutzer zugelassen, sondern nur die generischen Rollen verfügbar gemacht, damit diesen bei Bedarf Zugriffsberechtigungen gewährt werden können. Nähere Informationen zur Verwendung dieser Rollen finden Sie unter Sichern von Internetverbindungen zu Services. Diese Rollen werden nur für Web-Services und nicht für Webanwendungen verwendet.
- Klicken Sie auf Weiter.
-
Wählen Sie im letzten Fenster die Authentifizierungsmethode für die Benutzer aus. Benutzer oder serverbasierte Anwendungen müssen gültige Benutzernamen und Kennwörter angeben, um auf eingeschränkte Services zugreifen zu können. Diese Auswahl bestimmt die Methode, die verwendet wird, um Anmeldeinformationen von den Benutzern zu erhalten.
- Windows-Authentifizierung: Der Internetinformationsdienste (IIS)-Webserver erhält die Benutzeranmeldeinformationen, indem er mit einer Authentifizierungsaufforderung auf Service-Anforderungen reagiert. Dieser Ansatz wird am häufigsten in Intranets verwendet, wenn die Benutzer eine Verbindung mit einem Server innerhalb des lokalen Netzwerks herstellen. Wenn der Client ein Endbenutzer ist, z. B. wenn das REST-Services-Verzeichnis in einem Browser geöffnet wird, dann kann der Benutzer entweder anhand der Betriebssystemanmeldung automatisch authentifiziert werden oder es wird ein Popup-Anmeldedialogfeld angezeigt. Wenn Sie die Windows-Authentifizierung wählen, müssen Sie den anonymen Zugriff auf die Services-Anwendung deaktivieren, um Benutzer authentifizieren zu können. Anweisungen finden Sie im nachfolgenden Abschnitt.
- Token-basierte Authentifizierung: Dieser Ansatz wird häufig verwendet, wenn der Client des Service über das Internet eine Verbindung herstellt. Die Client-Anwendung fügt einen Token in die Service-Anforderungen ein. Der Token ist eine verschlüsselte Zeichenfolge, welche die Authentifizierung des Benutzers ermöglicht. Die meisten Clients erhalten automatisch beim Systemstart einen Token, der auf der Betriebssystemanmeldung des Benutzers basiert. Bei einigen Anwendungen muss der Entwickler unter Umständen den Token im Voraus beziehen und in die Anwendung einbetten. Wenn Sie Token-basierte Authentifizierung auswählen, sollten Sie den Token-Service konfigurieren, nachdem Sie den Benutzer-/Rolle-Setup-Assistenten abgeschlossen haben. Nähere Informationen und Anweisungen hierzu finden Sie unter Konfigurieren des Token-Services.
Stellen Sie sicher, dass Benutzer den Computernamen (lokale Konten) oder den Domänennamen angeben, wenn sie sich beim Server anmelden. Verwenden Sie z. B. für ein Konto mit dem Namen planner1 auf einem Server mit dem Namen CityWeb CityWeb\planner1 als Benutzernamen. Wenn der Computername weggelassen wird, wird möglicherweise die Verbindung hergestellt, aber es werden keine Services aufgeführt.
Deaktivieren des anonymem Zugriffs auf ArcGIS-Web-Services in Internetinformationsdiensten
Wenn Sie die Windows-Authentifizierung als Methode zum Authentifizieren der Benutzer ausgewählt haben, müssen Sie die Schritte in diesem Abschnitt ausführen, um den anonymen Zugriff auf die ArcGIS-Web-Services zu deaktivieren. Wenn Sie den anonymen Zugriff nicht deaktivieren, dann sind Client-Anwendungen nicht in der Lage, auf die Services zuzugreifen.
Bevor Sie Sicherheitsoptionen für Web-Services aktivieren, müssen Sie diesen Schritt in IIS-Manager ausführen. Sie sollten mit der Ausführung dieses Schritts jedoch warten, bis Sie Berechtigungen für Services festgelegt haben. Beachten Sie, dass Client-Anwendungen nur dann auf gesicherte Services zugreifen können, wenn Sie den anonymen Zugriff deaktivieren.
Um den anonymen Zugriff auf GIS-Services zu deaktivieren, führen Sie folgende Schritte aus:
- Öffnen Sie IIS-Manager über Systemsteuerung > Verwaltung > Internet-Informationsdienste.
- Navigieren Sie in der Websites des lokalen Computers zu der Website, die die ArcGIS-Instanz enthält (in der Regel unter Default Web Site). Suchen Sie den ArcGIS-Ordner und erweitern Sie ihn.
-
Die Methode zum Deaktivieren des anonymen Zugriffs hängt vom System ab.
- In IIS 5.1 und IIS 6 (Windows XP bzw. Windows Server 2003)
- Klicken Sie mit der rechten Maustaste auf die Webanwendung Services, und klicken Sie auf Eigenschaften. Das Dialogfeld Diensteigenschaften wird geöffnet.
- Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie unter Authentifizierung und Zugriffsteuerung auf Bearbeiten. Daraufhin wird das Dialogfeld Authentifizierungsmethoden geöffnet.
- Deaktivieren Sie das Kontrollkästchen Anonymen Zugriff erlauben. Aktivieren Sie mindestens eine der Methoden unter Authentifizierter Zugriff. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten. Klicken Sie dann zweimal auf OK, um zur IIS-Manager-Konsole zurückzukehren.
- In IIS 7 (Windows Vista, Windows 7 und Windows Server 2008)
- Klicken Sie mit der linken Maustaste auf die Anwendung Services, um die Eigenschaften-Links auf der rechten Seite von IIS-Manager anzuzeigen.
- Doppelklicken Sie auf das Element Authentifizierung unter der IIS-Gruppe. Die Liste der Authentifizierungsmethoden für die Anwendung wird angezeigt.
- Klicken Sie in der Liste der Authentifizierungsmethoden mit der rechten Maustaste auf Anonyme Authentifizierung, und klicken Sie im Kontextmenü auf Deaktivieren.
- Aktivieren Sie mindestens eine andere Authentifizierungsmethode. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten.
- In IIS 5.1 und IIS 6 (Windows XP bzw. Windows Server 2003)
- Wiederholen Sie den oben beschriebenen Schritt für die Webanwendung REST im ArcGIS-Ordner. Sie können IIS-Manager dann schließen.
Weitere Informationen zu Authentifizierungsmethoden finden Sie in der IIS-Dokumentation und anderen Ressourcen, z. B. auf der MSDN-Seite Authentication Methods Supported in IIS 6.0.