Sichern von Web-Services
Wenn Web-Services gesichert sind, müssen Clients, die Zugriff auf diese Web-Services anfordern, zu einer Rolle gehören, der Zugriff auf diesen bestimmten Web-Service gewährt wurde. Sie können die Berechtigungen für ArcGIS Web Services mit ArcGIS Server Manager verwalten.
Festlegen von Berechtigungen für einen Ordner
Um Berechtigungen für mehrere ArcGIS Web Services effizient zu verwalten, können Sie Web-Services in Ordnern organisieren und den Ordnern Berechtigungen zuweisen. Die Rollen mit Zugriffsberechtigungen für einen Ordner erhalten automatisch Zugriff auf die Unterordner und Web-Services in diesem Ordner. Mit Berechtigungen auf Ordnerebene können Sie den Zugriff auf alle in dem Ordner enthaltenen Ressourcen (Ordner und Services) einfach verwalten.
Um Berechtigungen für einen Ordner in ArcGIS Server Manager festzulegen, navigieren Sie im Bereich Services zur Seite Services verwalten, und klicken Sie im oberen Bereich der Seite auf die Dropdown-Liste neben der Beschriftung Services in. Klicken Sie auf das benachbarte Symbol Ordnerberechtigungen bearbeiten. Daraufhin wird ein Dialogfeld angezeigt, in dem alle Rollen mit einer Berechtigung für den Zugriff auf den Ordner aufgeführt sind, und das eine Liste aller verfügbaren Rollen enthält, denen eine Berechtigung für den Zugriff auf den Ordner erteilt werden kann. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
Wenn einer Rolle Zugriff auf einen Ordner gewährt wird, kann sie auf alle Ressourcen in diesem Ordner zugreifen. Aus dieser Regel ergibt sich Folgendes: Wenn einer Rolle mit expliziter Zugriffsberechtigung für einen Service zu einem späteren Zeitpunkt Zugriff auf den übergeordneten Ordner des Service gewährt wird, kann diese Rolle aufgrund einer impliziten Zulassungsregel auf den Service zugreifen.
Stellen Sie sich ein gesichertes ArcGIS Server-System vor, in dem eine Rolle mit der Bezeichnung Analyst definiert ist. Die Ordner- und Service-Struktur in diesem ArcGIS Server-System wird im folgenden Diagramm veranschaulicht:
In der nachfolgenden Tabelle werden die Auswirkungen aufeinanderfolgender Änderungen an der Konfiguration der Sicherheit auf die Zugriffsberechtigungen der Rolle gezeigt.
Änderung an der Sicherheitskonfiguration für die Rolle Analyst | Zugriffsberechtigungen für die Rolle Analyst |
1. Widerrufen Sie die Berechtigungen der Rolle für alle Ordner und Services. |
|
2. Gewähren Sie der Rolle Zugriff auf Service 2. |
|
3. Gewähren Sie der Rolle Zugriff auf den Stammordner. |
|
4. Widerrufen Sie den Zugriff auf den Stammordner. Dadurch werden alle vorhandenen Berechtigungen für die im Stammordner enthaltenen Ordner und Services entfernt. |
|
Festlegen von Berechtigungen für Services
Berechtigungen für Services folgen dem kontinuierlichen Vererbungsmodell. Ein Service erbt die Berechtigungen von den übergeordneten Ordnern bei der Erstellung und später, außer wenn explizite Berechtigungen für den Service festgelegt werden. Der Administrator kann explizit andere Berechtigungen für den Service festlegen, die Vorrang vor den geerbten Berechtigungen haben.
Sie können Berechtigungen für einen Service festlegen, indem Sie in Manager im Bereich Services den auf der Seite aufgeführten Service auswählen und auf das Symbol Service-Berechtigungen klicken. Daraufhin wird ein Dialogfeld angezeigt, in dem alle Rollen mit einer aktuellen Berechtigung für den Zugriff auf den Service aufgeführt sind, und das eine Liste aller verfügbaren Rollen enthält, denen eine Berechtigung für den Zugriff auf den Service erteilt werden kann. Wenn Sie auf Speichern klicken, werden die Änderungen im System übernommen.
Erben und Überschreiben von Berechtigungen
Berechtigungen für einen Ordner werden von Services innerhalb des Ordners geerbt. Wenn Sie z. B. einer Rolle Zugriff auf einen Ordner gewähren, kann diese Rolle auch auf alle Services innerhalb dieses Ordners zugreifen. Im Dialogfeld "Berechtigungen" für jeden Web-Service werden die zugewiesene Rolle sowie alle anderen Rollen angezeigt, die Sie möglicherweise hinzugefügt haben. Ordner erben auch Berechtigungen vom übergeordneten Ordner.
Sie können Rollen entfernen, die ein Service von einem Ordner erbt. Öffnen Sie hierzu das Dialogfeld "Berechtigungen" für den Service, wählen Sie die Rolle aus, und klicken Sie auf den Linkspfeil. Dies bewirkt, dass dieser Rolle kein Zugriff auf den Service gewährt wird. Da ein einzelner Benutzer mehreren Rollen zugewiesen werden kann, muss der rollenbasierte Zugriff sorgfältig verwaltet werden.
Wenn Berechtigungen für einen Ordner bearbeitet werden, werden alle Änderungen an Rollenberechtigungen wieder für alle Services innerhalb des Ordners übernommen. Damit werden alle Änderungen, die für einzelne Services an diesen Rollen vorgenommen wurden, überschrieben. Wenn Sie eine Rolle aus der Berichtigungsliste für den Ordner entfernen, wird dieser Rolle der Zugriff auf alle Services innerhalb des Ordners verwehrt. Ebenso gilt, dass eine Rolle, die Sie der Berechtigungsliste des Ordners hinzufügen, Zugriff auf alle Services im Ordner hat.
Überschreiben von Berechtigungen in untergeordnete Ordnern und Services
Wenn Sie Berechtigungen für Ordner festlegen, sehen Sie möglicherweise folgende Meldung, wenn Sie auf Speichern klicken:
"Für mindestens eine Rolle, für die Sie die Berechtigungen ändern, ist bereits eine Berechtigungseinstellung in mindestens einem Service oder Ordner in diesem Ordner verfügbar. Wenn Sie den Vorgang fortsetzen, werden die Berechtigungseinstellungen für diese Rollen in den untergeordneten Services oder Ordnern vererbt. Möchten Sie diese Änderungen speichern?"
Diese Meldung bedeutet, dass Sie eine Rolle hinzufügen oder entfernen, die bereits über explizite Berechtigungen in einem oder mehreren Services innerhalb des Ordners verfügt – oder in einem untergeordneten Ordner, wenn Sie die Berechtigungen des Stammordners bearbeiten. Wenn Sie fortfahren, werden alle Regeln für diese Rolle in untergeordneten Ordnern und Services entfernt und die untergeordneten Ordner und die Services erben die Berechtigungen für diese Rolle vom diesem Ordner.
Bei Änderungen an den Berechtigungen für den Stammordner kann diese Meldung vor größeren Änderungen warnen. Angenommen, Sie fügen einem untergeordneten Ordner Berechtigungen für eine Rolle hinzu, verwehren der Rolle aber den Zugriff auf einen Service innerhalb des Ordners. Später fügen Sie dem Stammordner Berechtigungen für die Rolle hinzu. Es wird eine Warnung ausgegeben, weil der Service innerhalb des untergeordneten Ordners der Rolle Zugriff gewähren würde, wenn fortgefahren wird, der Zugriff zuvor aber nicht zulässig war.
Wenn Sie diese Warnung beim Bearbeiten der Berechtigungen des Stammordners erhalten und sich nicht sicher sind, wie sich die Änderungen auf den Zugriff auf Services auswirken, sollten Sie die Warnmeldung abbrechen und die Berechtigungen der untergeordneten Ordner und Services untersuchen. Sie müssen möglicherweise nach den Änderungen an den Berechtigungen erneut Regeln auf untergeordnete Ordner und Services anwenden, um die gewünschte Sicherheitskonfiguration zu erzeugen.
Wenn Sie während der Bearbeitung der Berechtigungen mehrere Rollen hinzugefügt oder entfernt haben, bedeutet die Meldung möglicherweise, dass mehrere Rollen betroffen sind. Sie sollten die Berechtigungen für untergeordnete Ordner und Services untersuchen, um sicherzustellen, dass Sie keine Berechtigungen überschreiben, die Sie eigentlich beibehalten möchten.