Übersicht über Internet-Sicherheit
In ArcGIS Server können Sie zum Sichern der Webanwendungen und Web-Services das RBAC-Sicherheitsmodell (Role Based Access Control, rollenbasierte Zugriffssteuerung) verwenden. Für die Konfiguration und Verwaltung dieses Sicherheitsmodells ist es wichtig, die Interaktion zwischen den verschiedenen Bestandteilen dieses Modells zu verstehen.
In den folgenden Abschnitten dieses Themas wird das ArcGIS Server-Sicherheitsmodell ausführlich erklärt. Jeder Abschnitt beginnt mit einer Übersicht über eine Sicherheitskomponente, und dann wird erklärt, wie die Komponente in den Sicherheitsworkflow passt.
Übersicht über das Sicherheitsmodell
Dieser Abschnitt enthält eine grundlegende Übersicht über die verschiedenen funktionalen Komponenten und wie sie in das Sicherheitsmodell passen.
Die nachfolgende Abbildung stellt eine visuelle Übersicht über das ArcGIS Server-Sicherheitsmodell dar.
Hauptspeicher
Der Hauptspeicher ist ein Repository von ArcGIS Web Service-Benutzern und ihren zugeordneten Rollen. Im rollenbasierten Zugriffssteuerungssystem von ArcGIS Server werden den Benutzern die Berechtigungen für den ArcGIS Web Service nicht direkt zugewiesen. Stattdessen wird die Berechtigung für den Zugriff auf einen bestimmten Web-Service einer spezifischen Rolle zugewiesen. Den ArcGIS Web Service-Benutzern werden Rollen zugewiesen, und durch diese Rollenzuweisungen erhalten sie Zugriff auf einen bestimmten Web-Service. Jeder Benutzer erhält die Berechtigungen für alle Rollen, die ihm zugewiesen wurden.
ArcGIS Server kann mit verschiedenen Speichern für die Verwaltung der Benutzer- und Rolleninformationen verwendet werden. Sie können eine relationale Datenbank (z. B. Microsoft SQL Server oder MySQL) oder einen Verzeichnisserver (z. B. LDAP oder Microsoft Active Directory) verwenden. Sie können die ArcGIS Server-Sicherheit für den Zugriff auf vorhandene Benutzer und Rollen in einem proprietären Speicher konfigurieren, indem Sie benutzerdefinierte Erweiterungen (mit der ArcGIS-Hauptspeicher-API) verwenden, und festlegen, dass ArcGIS Server Manager eine Verbindung mit dem proprietären Speicher über die Erweiterung herstellt.
Der Token-Service stellt eine Verbindung mit dem konfigurierten Hauptspeicher für die Benutzerauthentifizierung her. Die Service-Handler (z. B. REST- und Web-Service-Handler) suchen im Hauptspeicher auch nach Rolleninformationen, die mit einem Benutzer verknüpft sind. Mit Manager können Sie Benutzer- und Rolleninformationen in den Speichern verwalten.
Weitere Informationen zum Konfigurieren und Verwenden des Hauptspeichers finden Sie unter Überblick über die Konfiguration des Sicherheitsspeichers.
Weitere Informationen zum Schreiben von Erweiterungen mit der Hauptspeicher-API finden Sie unter Erweitern des Hauptspeichers.
Berechtigungsspeicher
Der Berechtigungsspeicher ist ein Repository von Berechtigungen, die den Rollen zugewiesen wurden. Hier werden Informationen zu der Liste von ArcGIS-Services gespeichert, auf die eine bestimmte Rolle Zugriff hat.
Der Berechtigungsspeicher wird vom Server Object Manager (SOM) verwaltet. Sie müssen den Speicher nicht explizit konfigurieren und verwalten. Der Berechtigungsspeicher stellt auch eine API bereit, die Zugriff für Entwickler ermöglicht.
Weitere Informationen zum Einrichten von Berechtigungen für die ArcGIS Web Services und Anwendungen finden Sie unter Sichern von Web-Services und Sichern von Webanwendungen.
Authentifizierungsschemas
Wenn der GIS-Server die veröffentlichten Webressourcen gesichert hat, sind für den Zugriff auf diese Ressourcen über einen Web-Client gültige Anmeldeinformationen erforderlich. ArcGIS Server unterstützt zwei verschiedene Authentifizierungsschemas zum Überprüfen der Benutzeranmeldeinformationen.
Authentifizierungsschemas für Web-Services
ArcGIS Managed Authentication – basierend auf TokenWeb-Clients müssen einen Token bereitstellen, um auf einen ArcGIS Web Service zuzugreifen, der mit ArcGIS Managed Authentication gesichert wurde. Token können von einem mit ArcGIS Server installierten Token-Service abgerufen werden. Jeder Token stellt eine Identität für den Benutzer dar. Die Service-Handler werden aktualisiert, um diesen Token zu verarbeiten und den Client-Benutzer zu authentifizieren.
Clients, wie z. B. ArcCatalog oder Webanwendungen, die mit Manager erstellt wurden, können ArcGIS Web Services, die mit ArcGIS Managed Authentication gesichert wurden, nahtlos verwenden. Wenn Sie diese Clients verwenden, ist es nicht erforderlich, Token explizit aus einem Token-Service abzurufen.
JavaScript-Clients, die mit der REST-API bereitgestellt werden, können gesicherte Services auch nahtlos verwenden.
Weitere Informationen zum Arbeiten mit Token finden Sie unter Token und Token-Services.
Java Enterprise Edition Container Managed AuthenticationWeb-Clients, die einen ArcGIS Web Service verwenden möchten, der mit Java Enterprise Edition Container Managed Authentication gesichert wurde, werden vom Webcontainer aufgefordert, Authentifizierungsinformationen anzugeben.
Die Service-Handler (z. B. REST- und Web-Service-Handler) werden durch den Webcontainer gesichert, in dem sie bereitgestellt werden. Die meisten Webcontainer unterstützen verschiedene Authentifizierungsschemas, z. B. BASIC, DIGEST, Client-Zertifikate usw.
Authentifizierungsschemas für Webanwendungen
ArcGIS Managed Authentication – basierend auf AnmeldesteuerungFür eine Webanwendung, die mit dieser Authentifizierungsmethode gesichert wurde, wird eine HTML-Anmeldeseite anzeigt, wenn Sie versuchen, auf die Anwendung zuzugreifen. Wenn Sie die Anmeldeinformationen eingegeben haben, vergleicht das Anmeldungssteuerelement die angegebenen Informationen mit den Benutzeranmeldeinformationen im Hauptspeicher, der für die Anwendung konfiguriert wurde. Sie können auf diese Anwendung nur zugreifen, wenn Sie Mitglied einer Rolle sind, der vom GIS-Administrator eine Berechtigung für den Zugriff auf diese Anwendung zugewiesen wurde.
Weitere Informationen zum Sichern von Webanwendungen finden Sie unter Sichern von Webanwendungen.
Java Enterprise Edition Container Managed AuthenticationIn diesem Fall werden Sie vom Webcontainer, in dem die Anwendung bereitgestellt wird, zur Eingabe der Anmeldeinformationen aufgefordert. Der Container authentifiziert dann die Anmeldeinformationen anhand der Benutzerinformationen in seinem konfigurierten Bereich und autorisiert den Zugriff.
Sie müssen den Webcontainer mit einem geeigneten Bereich einrichten, der Benutzer und Rolleninformationen enthält.
Weitere Informationen zum Sichern von Webanwendungen finden Sie unter Sichern von Webanwendungen.
Token-Service
ArcGIS Server unterstützt Scripting-Clients nahtlos mithilfe von Token-basiertem Zugriff auf gesicherte ArcGIS Web Services. Token kapseln die Identität eines bestimmten Hauptbenutzers, der die Anforderung stellt. Sie werden von einem Token-Service erteilt, der als Teil von ArcGIS Server installiert ist.
Der Token-Service kommuniziert mit dem konfigurierten Hauptspeicher, um eingehende Token-Anforderungen zu authentifizieren. ArcGIS Server kann diese Token entziffern und rollenbasierten Zugriff auf angeforderte Ressourcen gewähren.
Der Token-Service ist Teil der in ArcGIS verwalteten Authentifizierung zum Sichern von ArcGIS Web Services.
Token können über die Token-Service-URL oder auf der Webseite angefordert werden. JavaScript-Anwendungsentwickler müssen einen Token abrufen und in ihren Anwendungen verwenden, die einen gesicherten ArcGIS Web Service verwenden.
Weitere Informationen zum Arbeiten mit Token finden Sie unter Token und Token-Services.
Sicherheit für ArcGIS Web Services
ArcGIS Web Services werden mit einem rollenbasierten Zugriffssteuerungsmechanismus gesichert. Sie können Berechtigungen für Services in Manager festlegen. Wenn die Sicherheit auf dem GIS-Server aktiviert ist, können nur die Benutzer darauf zugreifen, die Mitglied einer Rolle sind, der Berechtigungen zum Zugriff auf GIS-Services zugewiesen wurden.
Um die ArcGIS Web Services zu sichern, stehen das Token-basierte Authentifizierungsschema ArcGIS Managed Authentication und das Authentifizierungsschema Java Enterprise Edition Container Managed Authentication (weiter oben beschrieben) zur Auswahl.
Weitere Informationen zum Sichern von Webanwendungen finden Sie unter Sichern von Webanwendungen.
Sicherheit für Webanwendungen
In Manager erstellte Webanwendungen können mit ArcGIS Managed Authentication oder mit Java Enterprise Edition Container Managed Authentication (weiter oben beschrieben) gesichert werden.
Sie können einen bestimmten Satz von Rollenberechtigungen für den Zugriff auf die Webanwendung zuweisen. Nur Benutzer, die zu diesen Rollen gehören, können auf die Anwendung zugreifen.
Weitere Informationen zum Sichern von Webanwendungen finden Sie unter Sichern von Webanwendungen.