Übersicht über Internet-Sicherheit

ArcGIS Server ermöglicht es Ihnen, Webanwendungen und Web-Services zu sichern. In diesem Abschnitt wird hauptsächlich darauf eingegangen, wie der Zugriff auf Anwendungen und Services auf autorisierte Benutzer eingeschränkt wird. Natürlich sind in einem ArcGIS Server-System auch andere Sicherheitsfragen relevant, z. B. die von ArcGIS Server für den Datenzugriff verwendeten Konten, die Sicherheit des Codes, der auf dem Server ausgeführt wird, und die physische Gerätesicherheit. Weitere Informationen zur Sicherheit finden Sie unter Möglichkeiten zur Implementierung von Sicherheit in ArcGIS Server.

Mit ArcGIS Server können Sie die Sicherheit von Web-Services und Webanwendungen verwalten. Folgende wichtigen Tasks müssen Sie zur Implementierung von Sicherheit ausführen:

In einem nachfolgenden Abschnitt werden die Optionen zusammengefasst: Häufige Sicherheitskonfigurationen für ArcGIS Server-Services. Sie können die meisten dieser Tasks mit Manager ausführen. Weitere Informationen hierzu finden Sie unten sowie in den einzelnen Abschnitten dieses Themas. Die Checkliste für Internet-Sicherheit dient auch als Leitfaden zum Implementieren von Sicherheit für Services und Anwendungen.

Definieren der Verwaltung von Benutzern und Rollen

Die wesentliche Komponente jedes Zugriffssteuerungsmechanismus ist die Fähigkeit, Benutzer zu authentifizieren. Alle Authentifizierungsmechanismen erfordern, dass die Informationen von Benutzern und die Rollen, denen diese angehören, irgendwo zentral auf dem System gespeichert werden. ASP.NET-Anwendungen lassen zu, dass Sicherheitseinstellungen mit dem Betriebssystem oder einem ASP.NET-Mitgliedschafts-Anbieter gespeichert und verwaltet werden. ArcGIS Server verwendet diese beiden von ASP.NET bereitgestellten Benutzerspeicheroptionen.

Die Entscheidung darüber, wo die Benutzer gespeichert werden sollen, hängt stark von der Zielgruppe der Anwendungen und Services ab. Wenn Sie z. B. meistens Intranetanwendungen erstellen, sollten Sie die vorhandenen Benutzer und Gruppen, die im Betriebssystem verfügbar sind, nutzen, um Zugriff auf die Anwendungen zu gewähren. Wenn Sie Internetanwendungen erstellen und nicht möchten, dass die Webbenutzer auch Active Directory-Benutzer sind, sollten Sie diese Benutzer in einem ASP.NET-Mitgliedschafts-Anbieter speichern. Weitere Informationen zum Einrichten von Benutzern und Rollen finden Sie unter Überblick über das Einrichten von Benutzern und Rollen.

In ArcGIS Server können Sie den Anbieter der ASP.NET-Mitgliedschaft für Microsoft SQL Server einfach mit ArcGIS Server Manager konfigurieren. Das ASP.NET-Mitgliedschafts-Framework ist jedoch sehr flexibel und kann eine Vielzahl benutzerdefinierter Anbieter unterstützen, z. B. andere Datenbanken, XML-Dateien, Active Directory, LDAP usw. Sobald ArcGIS Server auf dem System eingerichtet wurde, kann ArcGIS Server für die Verwendung dieser benutzerdefinierten Anbieter konfiguriert werden.

Diese Links fassen zusammen, wie Sie Benutzer und Rollen konfigurieren können, und enthalten Verweise zu weiterführenden Informationen zu jeder Option:

Auswählen einer Authentifizierungsmethode

Mit Authentifizierung ist der Prozess gemeint, der zum Identifizieren von Personen dient, die auf das System zuzugreifen versuchen. Der Benutzer stellt Anmeldeinformationen bereit, in der Regel einen Benutzernamen und ein Kennwort, um sich beim System zu authentifizieren. Die Authentifizierungsmethode bestimmt, wie der Server die Identität des Benutzers überprüft.

Welche Optionen zur Authentifizierung verfügbar sind, ist vom gewählten Benutzer- und Rollenspeicher abhängig.

Benutzerspeicher

Authentifizierung

Benutzer und Gruppen im Betriebssystem Windows

IIS

ASP.NET-Mitgliedschafts-Anbieter

ASP.NET

Authentifizierungsmethoden unterscheiden sich auch hinsichtlich des gebotenen Grads an Sicherheit. Lesen Sie die Dokumentation sorgfältig und beraten Sie sich mit den Sicherheitsmitarbeitern, bevor eine für die Situation geeignete Methode auswählen.

Folgende Authentifizierungsmethoden sind mit ArcGIS Server für Microsoft .NET Framework verfügbar:

Sie können bei Bedarf mehrere Authentifizierungsmethoden unterstützen, indem Sie mehrere ArcGIS Server-Webinstanzen einrichten. Jede Instanz wird in diesem Fall an den gleichen GIS-Server gebunden, aber für eine andere Authentifizierungsmethode konfiguriert.

Richtlinien zu Authentifizierungsmethoden finden Sie unter Häufige Sicherheitskonfigurationen für ArcGIS Server-Services. Unter Überblick über das Einrichten von Benutzern und Rollen finden Sie weitere Informationen zu Authentifizierungsmethoden.

Implementieren von Secure Sockets Layer (SSL)

Abhängig von den Anforderungen des Benutzerspeichers und der Authentifizierungsmethode, müssen Sie möglicherweise ein SSL-Zertifikat für den Webserver erwerben. SSL ermöglicht die Verwendung des Protokolls HTTPS, mit dem die Kommunikation zwischen Clients und dem Webserver verschlüsselt wird. Im Allgemeinen ist SSL unabdingbar, wenn die Benutzer mit HTTP Basic, der tokenbasierten oder der formularbasierte Authentifizierung authentifiziert werden. SSL kann jedoch auch bei Verwendung anderer Authentifizierungsmethoden die Sicherheit von Anmeldeinformationen erhöhen. Weitere Informationen finden Sie unter Einrichten von SSL.

Festlegen von Berechtigungen für Services und Anwendungen

Damit ein Benutzer auf einen Service oder eine Anwendung zugreifen kann, müssen Sie dem Service oder der Anwendung Berechtigungen für eine Rolle hinzufügen, der der Benutzer als Mitglied angehört. ArcGIS Server-Berechtigungen basieren auf Rollen. In Manager werden Berechtigungen für einen Service, einen Service-Ordner oder eine Anwendung hinzugefügt, indem Rollen statt einzelnen Benutzern Zugriff gewährt wird.

Wenn Sie Sicherheitseinstellungen auf einen Web-Service anwenden, gelten diese für alle Formen des Web-Services: SOAP, REST und OGC (z. B. WMS). Wenn Sie in Manager einer Rolle (z. B. Planer) Zugriff auf einen Service gewähren, dann können die Benutzer in dieser Rolle über SOAP, REST und jede für den Service aktivierte OGC-Methode auf den Service zugreifen. Da die Sicherheitseinstellungen automatisch für das Services-Verzeichnis übernommen werden, können angemeldete Benutzer nur die gesicherten Services sehen, für die sie Berechtigungen besitzen.

Weitere Informationen finden Sie unter Sichern von Internetverbindungen zu Services und Sichern von Webanwendungen.

Häufige Sicherheitskonfigurationen für ArcGIS Server-Services

In der nachfolgenden Tabelle werden häufige Sicherheitskonfigurationen für ArcGIS Server-Services dargestellt. Die Darstellung basiert auf drei Aspekten, die für die Art und den Ort der Service-Konfiguration von Belang sind: (1) ob die Services in einem Intranet oder über das Internet bereitgestellt werden, (2) der Typ von Benutzer- und Rollenspeicher und (3) die Authentifizierungsmethode.

Alle Konfigurationen unterstützen alle Clients (Web, JavaScript, ArcGIS Desktop, OGC und KML), sofern nicht ausdrücklich etwas Anderes angegeben wird.

Netzwerk Benutzer-/Rollenspeicher Authentifizierung Hinweise

Intranet

Kein

Nicht zutreffend

Keine ArcGIS Server-Sicherheit. Firewall beschränkt Services/Anwendungen auf interne Benutzer.

Windows-Domänenbenutzer/-rollen (Gruppen)

Integrierte Windows-Authentifizierung

HTTP Basic/Digest

JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden.

Windows-Domänenbenutzer, SQL Server-Rollen

Integrierte Windows-Authentifizierung

HTTP Basic/Digest

JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden.

Internet

Kein

Keine ArcGIS Server-Sicherheit. Alle Services sind für alle Benutzer zugänglich.

Windows-Benutzer/-Rollen

HTTP Basic/Digest

JavaScript-Anwendungen müssen einen Proxy-/Redirector-Service verwenden.

Windows-Benutzer, SQL Server-Rollen

2 ArcGIS-Webinstanzen

(1 HTTP Basic/Digest, 1 tokenbasiert)

HTTP Basic/Digest unterstützt SOAP, OGC, KML; die tokenbasierte Authentifizierung unterstützt REST-Zugriff.

SQL Server-Benutzer und -Rollen

Tokenbasiert

Keine Unterstützung für OGC- oder KML-Clients.

Benutzerdefinierter Anbieter

Tokenbasiert

Keine Unterstützung für OGC- oder KML-Clients.


3/6/2012