Sichern von Internetverbindungen zu Services
Wenn Sie einen Service erstellen, wird automatisch der Webzugriff aktiviert. Dies bedeutet, dass andere den Service verwenden können, wenn sie eine ArcGIS Server-Internetverbindung mit dem Server herstellen. Sie können den Webzugriff wahlweise ganz deaktivieren oder den Zugriff auf eine Gruppe ausgewählter Benutzern einschränken. Sie können auch die Typen von Vorgängen einschränken, die mit dem Service über das Web ausgeführt werden können. In diesem Thema wird Folgendes behandelt:
- Deaktivieren des Webzugriffs
- Erfordernis von HTTPS für Ordner und Services
- Einschränken, welche Benutzer auf einen Service zugreifen können
- Einschränken, welche Vorgänge Benutzer mit einem Service ausführen können
Die Gruppen agsadmin und agsusers werden nicht für Internetverbindungen, sondern zur Sicherung lokaler Verbindungen verwendet. Sicherheit für lokale Verbindungen und Internetverbindungen sollte Teil der Gesamtsicherheitsstrategie sein. Weitere Informationen finden Sie unterSichern von lokalen Verbindungen mit Services.
Deaktivieren des Webzugriffs
Wenn Sie nicht möchten, dass Internet-Clients auf einen Service zugreifen, müssen Sie den Webzugriff explizit deaktivieren.
Deaktivieren des Webzugriffs in Manager
Um den Webzugriff für einen Service in Manager zu deaktivieren, führen Sie die nachfolgenden Schritte aus. Der Service muss beendet werden, wenn Sie diese Schritte ausführen.
- Klicken Sie in Manager auf die Registerkarte Services.
- Suchen Sie in der Liste der Services den Service, für den Sie den Webzugriff deaktivieren möchten, und klicken Sie auf den zugehörigen Link Bearbeiten.
- Klicken Sie auf die Registerkarte Funktionen.
- Deaktivieren Sie Webzugriff aktivieren.
- Klicken Sie auf Speichern und neu starten.
Deaktivieren des Webzugriffs in ArcCatalog
Um den Webzugriff für einen Service in ArcCatalog zu deaktivieren, führen Sie die nachfolgenden Schritte aus. Der Service muss beendet werden, wenn Sie diese Schritte ausführen.
- Melden Sie sich als Administrator am Server an. Anweisungen hierzu finden Sie unter Herstellen einer Administratorverbindung mit ArcGIS Server in ArcCatalog.
- Suchen Sie den Service, für den Sie den Webzugriff deaktivieren möchten.
- Wenn der Service gestartet wurde, klicken Sie mit der rechten Maustaste auf den Service, und wählen Sie Beenden.
- Klicken Sie mit der rechten Maustaste auf den Service, und wählen Sie Webzugriff deaktivieren.
- Klicken Sie mit der rechten Maustaste auf den Service, und wählen Sie Start.
Bei Karten-Services wird mit den oben beschriebenen Schritten nur der Webzugriff für die Kartenerstellung deaktiviert. Sie können auf der Registerkarte Funktionen des Dialogfelds Service-Eigenschaften den Webzugriff für andere Funktionen deaktivieren.
Erfordernis von HTTPS für Ordner und Services
Sie können vorschreiben, dass Clients, die eine Verbindung mit ArcGIS Server-Services herstellen, das Protokoll HTTPS für die Verbindung verwenden. Damit wird die gesamte Kommunikation zwischen Client und Server verschlüsselt, sodass Personen, die die Daten während der Übertragung abfangen, sie nicht lesen können. Wenn Sie auch den Zugriff auf den Service auf bestimmte Benutzer einschränken möchten, lesen den Abschnitt "Einschränken, welche Benutzer auf einen Service zugreifen können" weiter unten.
Die HTTPS-Anforderung wird auf Ordnerebene und nicht für einzelne Services festgelegt. Wenn Sie HTTPS nur für einen einzelnen Service und nicht für den ganzen Server oder Ordner vorschreiben möchten, erstellen Sie einen neuen Ordner und fügen Sie den Service dem neuen Ordner hinzu.
Beachten Sie, dass Sie ein SSL-Zertifikat auf dem Webserver installieren müssen, damit Clients mit HTTPS Ressourcen anfordern können. Nähere Informationen hierzu finden Sie unter Einrichten von SSL.
Um in Manager das Erfordernis von HTTPS für einen Ordner festzulegen, führen Sie folgende Schritte aus:
- Melden Sie sich beim ArcGIS Server Manager an und klicken Sie auf Services.
- Wählen Sie im Dropdown-Feld für Serverordner (mit der Bezeichnung Services in:) den Ordner aus, für den Sie HTTPS vorschreiben möchten. Um HTTPS für den gesamten Server erforderlich zu machen, wählen Sie den Server (Stamm) aus.
- Klicken Sie auf Ordner verwalten und klicken Sie in der Dropdown-Liste auf Eigenschaften.
- Aktivieren Sie im Dialogfeld Ordnereigenschaften, das nun geöffnet wird, das Kontrollkästchen Verschlüsselter Webzugriff erforderlich und klicken Sie auf OK.
Sie können auch mit ArcCatalog HTTPS für einen Ordner erforderlich machen:
- Starten Sie ArcCatalog, erweitern Sie GIS-Server, doppelklicken Sie dann auf die Verwaltungsserververbindung. Fügen Sie, falls erforderlich, eine Verwaltungsverbindung hinzu, indem Sie auf ArcGIS Server hinzufügen doppelklicken, dann auf GIS-Dienste verwalten klicken und den Servernamen und die URL eingeben (z. B. http://myserver.example.com/arcgis/services).
- Erweitern Sie die Serververbindung bei Bedarf, um den Ordner zu suchen, für den Sie HTTPS erforderlich machen möchten.
- Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie Eigenschaften (bzw. wenn SSL für alle Services erforderlich sein soll, klicken Sie mit der rechten Maustaste auf den Server und klicken Sie dann auf Eigenschaften des Stammordners).
- Aktivieren Sie im Dialogfeld Ordnereigenschaften das Kontrollkästchen Verschlüsselter Webzugriff erforderlich und klicken Sie auf OK.
Beachten Sie, dass jede Client-Anwendung eine URL mit https:// verwenden muss, um auf Services in einem Ordner zuzugreifen, für den Ordner HTTPS erforderlich gemacht wurde. Wenn ein Benutzer mit ArcCatalog eine Verbindung mit dem Server herstellt und https nicht in der URL angibt, wird der Ordner selbst dann nicht angezeigt, wenn der Benutzer andernfalls zum Zugriff auf den Ordner berechtigt ist.
Einschränken, welche Benutzer auf einen Service zugreifen können
Sie können ArcGIS Server Manager verwenden, um einzuschränken, welche Benutzer über Internetverbindungen auf einen Service zugreifen können. Hierzu definieren Sie einen Satz von Benutzern und Rollen und legen fest, welche Rollen Zugriff auf bestimmte Internetdienste haben sollen. Nähere Informationen dazu, wie die Benutzer und die Rollen erstellt werden, finden Sie unter Überblick über das Einrichten von Benutzern und Rollen. Sie müssen mindestens einen Benutzer und eine Rolle mit einem Benutzer hinzufügen, bevor Sie Sicherheit für Services konfigurieren können. Sie müssen zusätzlich die Sicherheit für Services aktivieren, bevor die zugewiesenen Berechtigungen tatsächlich wirksam werden.
Führen Sie folgende Schritte aus, um Sicherheit für GIS-Services zu implementieren:
- Richten Sie die Speicherorte zum Speichern von Benutzern und Rollen ein und fügen Sie Benutzer und Rollen hinzu. Siehe über das Einrichten von Benutzern und Rollen.
- Fügen Sie Berechtigungen für Ordner und/oder Services hinzu. Siehe Festlegen von Berechtigungen für einen Service oder einen Ordner weiter unten.
- Aktivieren Sie die Sicherheit für Services. Siehe Sicherheit für Services deaktivieren. Erst nachdem Sie diesen Schritt ausgeführt haben, werden die Einschränkungen des Webzugriffs auf Services durchgesetzt.
Sie können Berechtigungen für Ordner und Services festlegen. Berechtigungen innerhalb eines Ordners erben die für den Ordner festgelegten Berechtigungen. Wenn Sie Berechtigungen auf Stammordnerebene festlegen, erben alle Services diese Berechtigungen. Sie können geerbte Berechtigungen überschreiben, indem Sie geerbte Rollen bei einem Service oder Ordner entfernen.
Solange Sie den oben genannten Schritt 3 nicht abgeschlossen haben, um Sicherheit für Services zu aktivieren, ist jeder in der Lage, eine Verbindung mit den Services herzustellen, bei denen der Webzugriff aktiviert wurde. Zudem müssen Sie beachten, dass nach der Aktivierung der Sicherheit kein Benutzer in der Lage ist, auf irgendeinen Service zuzugreifen, sofern Sie nicht (1) dem Service oder dem Ordner Berechtigungen für Rollen hinzufügen und (2) sich der Benutzer unter einem Konto in einer für den Service zulässigen Rolle anmeldet. Bevor Sie die Sicherheit aktivieren, sollten Sie daher Berechtigungen für Services konfigurieren. Abhängig davon, wo die Benutzerkonten gespeichert werden, ist möglicherweise die Rolle Anonym verfügbar, um es jedem zu ermöglichen, auf Services oder Ordner zuzugreifen.
Ein Sicherheitsansatz könnte sein, dem Stammverzeichnis eines Servers breite Berechtigungen zuzuweisen und die Berechtigungen dann für Ordner und Services einzuschränken. Ein anderer Ansatz wäre, die Berechtigungen auf der Stammordnerebene zu beschränken und dann bestimmten Rollen Zugriff auf bestimmte Ordner oder Services zu gewähren.
Wenn ein Benutzer Mitglied mehrerer Rollen ist und eine dieser Rollen zum Zugriff auf den Service berechtigt ist, hat der Benutzer Zugriff. In Manager kann Rollen oder Benutzern nicht explizit der Zugriff verweigert werden. Folglich sollten Sie die Rollen sorgfältig entwerfen, um ihnen den gewünschten Zugriff auf Services und Ordner zu gewähren.
Festlegen von Berechtigungen für einen Service oder einen Ordner
Um Berechtigungen festzulegen, die bestimmen, wer auf einen Service oder Ordner zugreifen kann, führen Sie folgende Schritte aus:
- Klicken Sie in Manager auf die Registerkarte Services, um die Liste der auf dem Server verfügbaren Services anzuzeigen. Wenn Sie Berechtigungen für einen Ordner oder Service innerhalb eines Ordners festlegen möchten, verwenden Sie die Liste Services in, um den Ordnerinhalt anzuzeigen.
- Öffnen Sie das Dialogfeld Berechtigungen für den Service oder den Ordner:
- Zum Festlegen von Ordnerberechtigungen klicken Sie auf Ordner verwalten und in der Liste, die geöffnet wird, klicken Sie auf Berechtigungen.
- Klicken Sie zum Festlegen von Service-Berechtigungen auf das Berechtigungen-Symbol (Schloss) für den Service.
- Das Dialogfeld Berechtigungen wird geöffnet. Die Liste auf der linken Seite enthält die verfügbaren Rollen, und im Feld auf den rechten Seite werden die Rollen aufgelistet, die aktuell über Zugriffsberechtigungen verfügen.
- Um einer Rolle Zugriff auf den Service oder Services innerhalb des Ordners zu gewähren, klicken Sie in der Liste der verfügbaren Rollen auf die betreffende Rolle und anschließend auf die Schaltfläche Hinzufügen, um sie in die Liste der zugelassenen Rollen zu verschieben.
Um einer Rolle die Zugriffsberechtigung zu entziehen, klicken Sie in der Liste zugelassener Rollen auf die betreffende Rolle, um sie zu markieren, und dann klicken Sie auf Entfernen. Die Rolle wird in die Liste verfügbarer Rollen verschoben.
Hinweis:Wenn die Rolle gelöscht wurde oder im aktuellen Rollenspeicher nicht vorhanden ist, wird sie nicht angezeigt, wann das Dialogfeld "Berechtigungen" erneut geöffnet wird.
- Sobald Sie die Berechtigungen konfiguriert haben, klicken Sie auf Speichern, um die Änderungen zu speichern und auf den Service anzuwenden. Klicken Sie auf Abbrechen, um Änderungen am Service zurückzunehmen.
Wenn dem Benutzerspeicher die Rollen Jeder, Authentifizierte Benutzer und Anonym hinzugefügt wurden, können Sie jede dieser Rollen einem Service oder Ordner hinzufügen oder daraus entfernen, wenn sie von einem übergeordneten Ordner geerbt wurden. Wenn die Jeder-Rolle zugelassen wird, kann jeder auf den Service (oder Services innerhalb des Ordners) zugreifen, unabhängig davon, ob er/sie sich anmeldet. Wenn Jeder zugelassen wird, ist es nicht notwendig, der Liste zugelassener Rollen weitere Rollen hinzuzufügen. Wenn die Rolle Authentifizierte Benutzer zugelassen wird, bedeutet dies, dass jedem Benutzer im Benutzerspeicher Zugriff gewährt wird. Weitere Informationen zu diesen besonderen Rollen finden Sie im Abschnitt "Einrichten von Benutzern und Rollen" zum verwendeten Rollenanbieter (SQL Server oder Benutzerdefinierter Anbieter). Diese Rollen sind nicht verfügbar, wenn Rollen Windows-Gruppen sind, da die Gruppenmitgliedschaft vom Betriebssystem bestimmt werden muss.
Wenn Sie sehen, dass die folgende Meldung im Dialogfeld Berechtigungen angezeigt wird, wurde die Sicherheit noch nicht für Services aktiviert:
"Warnung: Sicherheit für GIS-Services wurde nicht aktiviert. Weitere Informationen zur Aktivierung von Service-Sicherheit finden Sie unter den Sicherheitseinstellungen."
Die Berechtigungen, die Sie festlegen, werden erst durchgesetzt, wenn Sie Sicherheit aktivieren. Weitere Informationen dazu, , wie Sicherheit aktiviert wird, finden Sie unter Sicherheit für Services aktivieren.
Berechtigungsregeln für Services werden von ArcGIS Server intern gespeichert. Die Regeln werden nicht in der ArcGIS-/Services-Webanwendung gespeichert. Berechtigungen werden als SEC-Dateien im Ordner <ArcGIS-Installationsverzeichnis>\server\user\cfg gespeichert. Wenn Berechtigungen für einen Ordner festgelegt wurden, enthält der Ordner die Datei Folder.sec. Wenn Berechtigungen für einen Service festgelegt wurden, enthält der Ordner eine Datei mit dem Namen, der mit dem Namen der CFG-Datei des Services übereinstimmt, aber die Erweiterung .SEC hat. Wenn keine Berechtigungen für einen Ordner oder einen Service festgelegt wurden, ist keine SEC-Datei für diesen Ordner oder den Service vorhanden. Informationen zum Format der SEC-Dateien finden Sie unter Sicherheitskonfigurationsdateien.
Zugriffsregeln sollten in der ArcGIS-/Service-Webanwendung nicht manuell festgelegt werden. In vielen ASP.NET-Webanwendungen wird Zugriff gesteuert, indem Autorisierungsregeln der Datei web.config für die Webanwendung hinzugefügt werden. ArcGIS Server speichert jetzt Berechtigungsregeln intern statt in der Datei web.config. Wenn Regeln der Datei web.config für die Services-Anwendung hinzugefügt werden, kann dies zum Fehlschlagen der Sicherheitseinstellungen in Manager führen.
Weitere Informationen zur Funktionsweise von Berechtigungen finden Sie in folgenden Themen:
Sicherheit für Services aktivieren
Durch die Aktivierung der Sicherheit werden die Berechtigungen, die Sie festgelegt haben, für Internetverbindungen mit Services durchgesetzt. Solange die Sicherheit nicht aktiviert wurde, sind alle Services für alle Benutzer zugänglich, auch wenn Sie Berechtigungsregeln konfiguriert haben.
Bevor Sie Sicherheit für Services aktivieren, sollten Sie die Berechtigungsregeln einrichten, die für die Services gelten sollen. Wenn Sie Sicherheit aktivieren, bevor Sie Berechtigungsregeln für die Services festlegen, kann niemand Internetverbindungen zu irgend einem der Services herstellen.
Sobald Sie Sicherheit aktivieren, können Sie die Sicherheit in Manager nicht deaktivieren. Auf diese Weise soll verhindert werden, dass die Sicherheit versehentlich beeinträchtigt wird. Weitere Informationen finden Sie unten.
Diese Schritte gelten nur für Sicherheit für GIS-Services. Sicherheit für Webanwendungen wird auf jede einzelne Anwendung angewendet. Nähere Informationen hierzu finden Sie unter Sichern von Webanwendungen.
Um Sicherheit für Services zu aktivieren, führen Sie folgende Schritte aus:
- Legen Sie die gewünschten Berechtigungsregeln für GIS-Services fest. Nähere Informationen hierzu finden Sie im vorherigen Abschnitt "Festlegen von Berechtigungen für einen Service oder einen Ordner". Sie können bei Bedarf die Rolle Jeder verwenden, um es allen Benutzern zu ermöglichen, auf einen oder mehrere Services zuzugreifen.
- Klicken Sie in Manager auf Sicherheit > Einstellungen. Klicken Sie unter Sicherheit für GIS-Services auf die Schaltfläche Aktivieren. Ein Dialogfeld mit Informationen zum Einrichten von Sicherheit für Services wird angezeigt. Lesen Sie die Informationen, um sicherzustellen, dass Sie die Auswirkungen der Aktivierung von Sicherheit verstehen. Wenn Sie sicher sind, dass Sie auf die Aktivierung von Sicherheit vorbereitet sind, klicken Sie auf die Schaltfläche Sicherheit für Services aktivieren. Klicken Sie andernfalls auf Abbrechen.
- Wenn Sie Benutzer als Windows-Benutzer speichern möchten, müssen Sie den anonymen Zugriff auf die Anwendung Services deaktivieren. Anweisungen zum Deaktivieren des anonymen Zugriffs finden Sie unter Deaktivieren des anonymen Zugriffs auf ArcGIS-Web-Services in Internetinformationsdiensten.
- Testen Sie die Services, um sicherzustellen, dass die Benutzer in zugelassenen Rollen auf die Services zugreifen können. Passen Sie die Berechtigungen bei Bedarf an, wie unter Festlegen von Berechtigungen für einen Service oder einen Ordner beschrieben.
Sicherheit für Services deaktivieren
Sobald Sie Sicherheit für GIS-Services aktivieren, können Sie Manager nicht zum Deaktivieren der Sicherheit verwenden. Auf diese Weise soll verhindert werden, dass Sicherheit versehentlich deaktiviert und der Zugriff auf die Services ermöglicht wird. Wenn Sie später entscheiden, dass Sie die Sicherheit deaktivieren müssen, können Sie dies mit den folgenden Schritte tun.
Wenn Sie diese Schritte ausführen, kann jeder Benutzer über eine Internetverbindung eine Verbindung mit jedem beliebigen GIS-Service herstellen, ohne sich anmelden zu müssen.
- Öffnen Sie die Verwaltungskonsole Dienste, indem Sie auf Systemsteuerung > Verwaltung > Dienste klicken.
- Klicken Sie mit der rechten Maustaste auf den ArcGIS Server Object Manager-Service und klicken Sie auf Beenden.Vorsicht:
Wenn Sie die nachfolgenden Änderungen vornehmen, bevor Sie den ArcGIS Server anhalten, werden die Änderungen überschrieben, wenn ArcGIS Server angehalten wird.
- Öffnen Sie auf dem SOM-Computer (Server Object Manager) mithilfe eines Text-Editors (z. B. Editor) oder eines XML-Editors die Datei Server.dat. Diese Datei befindet sich in der ArcGIS Server-Installation unter <ArcGIS-Installationsverzeichnis>\server\system.
- Ändern Sie das folgende Element, das sich im <Server>-Element befindet, von
<SecurityEnabled>true</SecurityEnabled>
nach<SecurityEnabled>false</SecurityEnabled>
Speichern Sie die Datei. - Öffnen Sie die Datei web.config in C:\Inetpub\wwwroot\ArcGIS\Services (passen Sie den Pfad an, wenn Sie die ArcGIS-Web-Services an einem anderen Speicherort installiert haben) mit einem Text- oder XML-Editor.
- Suchen Sie die folgende Zeile im Abschnitt <appSettings>:
<add key="RequireToken" value="True" />
und ändern Sie sie in<add key="RequireToken" value="False" />
Speichern Sie die Datei. - Wiederholen Sie die vorherigen beiden Schritte für die web.config-Dateien im Ordner Rest und auch für den Ordner Tokens im Verzeichnis C:\Inetpub\wwwroot\ArcGIS.
- Wenn Sicherheit für Windows-Benutzer konfiguriert wurde, aktivieren Sie wieder den anonymen Zugriff auf die Ordner Services und Rest in der ArcGIS Server-Webinstanz in IIS. Befolgen Sie die Anweisungen im Abschnitt mit dem Titel Deaktivieren des anonymen Zugriffs auf ArcGIS-Web-Services in Internetinformationsdiensten, nur wählen Sie in Schritt 3 der Anweisungen, die Option zum Aktivieren des anonymen Zugriffs. Führen Sie diese Schritte sowohl für das Verzeichnis Services als auch das Verzeichnis Rest aus.
- Kehren Sie zur Verwaltungskonsole Dienste zurück, klicken Sie mit der rechten Maustaste auf ArcGIS Server Object Manager-Service und klicken Sie auf Starten.
- Klicken Sie mit der rechten Maustaste auf den Dienst WWW-Publishing und klicken Sie auf Neu starten.
Um die Sicherheit erneut zu aktivieren, befolgen Sie die Schritte unter Sicherheit für Services aktivieren.
Einschränken, welche Vorgänge Benutzer mit einem Service ausführen können
Damit sich die Verwendung der Web-Services leichter steuern lässt, ist jedem Servicetyp ein Satz von zulässigen Vorgängen zugeordnet, der bestimmt, welche Methoden Benutzer aufrufen können. Sie können alle Vorgänge zulassen, wenn Benutzer die Services uneingeschränkt nutzen können sollen, oder bestimmte Vorgänge deaktivieren, um zu verhindern, dass Benutzer bestimmte Vorgänge ausführen, z. B. Daten aus der Karte abfragen oder Daten aus der Geodatabase extrahieren.
Sie können auf der Registerkarte Funktionen des Dialogfelds Service-Eigenschaften die zugelassenen Vorgänge festlegen. Zusätzliche Dokumentation zu den Methoden, die in jedem Vorgang enthalten sind, finden Sie unter Optimieren und Konfigurieren von Services.