Nach oben

ArcGIS-Authentifizierungsmodelle und -Provider

ArcGIS basiert auf standardmäßigen IT-Authentifizierungsmechanismen, -protokollen und -technologien, mit denen es sich weiterentwickelt und die es unterstützt, um sicherzustellen, dass es sich nahtlos in die Sicherheitsrichtlinien, -methoden und -infrastrukturen einer vorhandenen Organisation integrieren lässt. Bei ArcGIS-Produkten werden beim Zugriff auf geschützte Ressourcen wie Dateiquellen, DBMS-Quellen und webbasierte Quellen Standardauthentifizierungsverfahren angewendet. ArcGIS Enterprise und ArcGIS Online unterstützen einen integrierten Benutzerspeicher sowie eine Vielzahl von Enterprise-Identity-Providern (IdPs), die von IT-Organisationen verwendet und bereitgestellt werden, z. B. Microsoft Entra ID, Active Directory oder Okta. ArcGIS-Clients und -Server unterstützen die Authentifizierung auf allen Ebenen einer Architektur mit einer oder mehreren Ebenen sowie den Zugriff auf Web-Services, Portale, DBMS, Dateispeicher, Data Lakes und andere Quellen. In diesem Thema finden Sie weitere Details zu Authentifizierungsprozessen und -optionen, die während eines Architekturentwurfsprozesses berücksichtigt werden.

Identity-Provider

ArcGIS unterstützt und fördert die Benutzerauthentifizierung über Single Sign-On (SSO), die sich auf den vorhandenen IdP einer Organisation und die zugehörige Sicherheitsinfrastruktur stützt, um Benutzeridentitäten und Anmeldeinformationen sowie Authentifizierungsmechanismen zu verwalten. Durch die Integration mit IdPs auf diese Weise wird sichergestellt, dass ArcGIS nahtlos auf einer etablierten unternehmenskritischen Sicherheitsinfrastruktur mit robusten, zentralisierten Benutzerbereitstellungs-, Verwaltungs-, Überwachungs- und Überwachungsressourcen aufbaut. ArcGIS lässt sich über allgemein akzeptierte Authentifizierungsmuster wie SAML, OIDC, IWA/AD, LDAP oder PKI in den IdP einer Organisation integrieren. Durch diesen integrierten Ansatz wird das Sicherheitsmodell vereinfacht und ArcGIS kann den IdP zur direkten Authentifizierung von Benutzern, zur Bereitstellung von Authentifizierungsservices, bei der Verwaltung des Zugriffs (z. B. beim Hinzufügen oder Entfernen von Berechtigungen oder beim Aktivieren oder Deaktivieren von Konten) sowie bei der Bereitstellung von Single Sign-On (SSO) und von Ressourcen zum Schutz vor Schwachstellen und Eindringlingen nutzen.

Einrichten einer Identität mit ArcGIS

Bei der Verwendung webbasierter Ressourcen in ArcGIS erstellt ein Benutzer nach der ersten Authentifizierung eine Identität. Die Identität kann durch verschiedene Methoden festgestellt werden. Im Allgemeinen wird jedoch wie folgt vorgegangen:

  1. Ein Benutzer kann eine Anmeldung über ein ArcGIS-Anmeldedialogfeld oder bei einer Aufforderung zur Authentifizierung beispielsweise beim Zugriff auf eine gesicherte Ressource initiieren.
  2. Eine ArcGIS-Anmeldeaufforderung kann als Umleitung, Pop-up oder eingebetteter Inhalt angezeigt werden. Die für diese spezifische ArcGIS Enterprise-Implementierung oder ArcGIS Online-Organisation verfügbaren Anmeldeoptionen werden angezeigt, sodass der Benutzer eine Option auswählen kann. Wenn nur eine Option aktiviert ist, wird nur diese eine verfügbare Option angezeigt. Dieses Anmeldefenster und der zugrunde liegende Prozess basieren auf OAuth-Standards. Daher gibt es auch Szenarien, in denen ein Benutzer aufgefordert wird, den Zugriff auf eine externe Anwendung zu genehmigen, wie dies bei anderen OAuth-Workflows der Fall ist, die von anderen Anwendungen oder Systemen verwendet werden.
  3. In den meisten Szenarien entscheidet sich der Benutzer dafür, sich mit seinem SAML- oder OIDC-Identity-Provider anzumelden. Dabei klickt er auf eine Schaltfläche, die einen Anmeldevorgang bei diesem IdP auslöst. Jeder IdP ist anders konfiguriert und kann eine Vielzahl von Authentifizierungsmustern unterstützen. Bei erfolgreicher Authentifizierung bei diesem IdP wird der Benutzer entweder mit einer SAML-Assertion oder mit verschiedenen OIDC-Claims an ArcGIS zurückgegeben, die den Benutzer aus Sicht des IdP als gültigen Benutzer identifizieren (d. h. der Benutzer gilt für diese Anwendung als genehmigt und ordnungsgemäß authentifiziert). An diesem Punkt generiert ArcGIS einen OAuth-Code und ein anschließendes ArcGIS-Zugriffstoken für den Benutzer, der dann auf die gewünschten Anwendungen oder Services zugreifen kann.
  4. Alternativ kann sich der Benutzer direkt mit dem integrierten Benutzer-, AD- oder LDAP-basierten Konto anmelden und seine Anmeldeinformationen in das Anmeldefenster der ArcGIS-Anwendung eingeben. Nach erfolgreicher Authentifizierung erhält er einen OAuth-Code, der gegen ein Access-Token ausgetauscht wird.

Unabhängig davon, wie die Authentifizierung durchgeführt wird, basiert die resultierende Benutzersitzung ausschließlich auf dem ArcGIS-Zugriffstoken. Dieses Token wird entweder im Anwendungscode verwaltet oder als HTTP-Cookie gespeichert und übermittelt und ist für eine bestimmte Dauer gültig. Die übliche Gültigkeitsdauer von Token beträgt 120 Minuten, wobei Token jedoch auch für eine längere Zeitdauer aktualisiert und angefordert werden können. Zusammen mit dem Zugriffstoken wird auch ein refresh_token generiert, das verwendet werden kann, um das Zugriffstoken des Benutzers zu aktualisieren und seine Sitzung zu verlängern, wenn die Nutzung über einen Zeitraum von zwei Stunden hinausgeht.

Die Benutzeridentität umfasst auch benutzerspezifische Attribute, die für das gesamte ArcGIS-System und die gesamte Bedienoberfläche gelten. Beispiel:

  • Benutzertyp: wie Viewer, Contributor, Creator oder andere
  • Benutzerrolle: wie Publisher, Administrator, Custom oder andere
  • Autorisierte Lizenzen
  • Verschiedene Berechtigungen, die über eine rollenbasierte Zugriffssteuerung wie etwa über die Gruppenmitgliedschaft festgelegt werden

Bei Nutzung von Desktop-basierten Ressourcen in einer herkömmlichen Client-Server-Konfiguration, wie z. B. einem DBMS oder Dateiserver, basiert die Identität des Benutzers auf dem mit der Servertechnologie oder den Betriebssystemfunktionen verbundenen Sicherheitsmodell.

In Back-End-Automatisierungsszenarien wie etwa bei der Kommunikation zwischen Servern oder Betriebssystemprozessen befolgt der Client bei diesen Interaktionen die oben genannten Muster, um eine Identität mit den entsprechenden Anmeldeinformationen einzurichten.

Weitere Informationen zu ArcGIS-spezifischen Authentifizierungsmustern finden Sie auf der Esri Developer-Website.

Protokolle und Mechanismen für die Benutzerauthentifizierung in ArcGIS

Beim Einrichten einer Benutzersitzung oder einer programmgesteuerten Sitzung mit ArcGIS Enterprise oder ArcGIS Online werden zur Authentifizierung von Benutzern und Clients im ArcGIS-System unterstützte branchenübliche Protokolle und Mechanismen verwendet. Dazu gehören folgende:

Unternehmensidentitäten: SAML und OIDC

Esri bietet Unterstützung für SAML-basierte Anmeldungen in ArcGIS Enterprise und ArcGIS Online und stellt verschiedene IdP-spezifische Dokumente bereit. OpenID Connect (OIDC) wird auch für ArcGIS Enterprise- und ArcGIS Online-Organisationen in vollem Umfang unterstützt. Esri empfiehlt die Verwendung von SAML- oder OIDC-Anmeldenamen für alle Organisationen, in denen diese Option verfügbar ist.

Im Kontext von ArcGIS ermöglichen sowohl SAML als auch OIDC den sicheren Zugriff, indem sich Benutzer mit ihren vorhandenen Anmeldeinformationen von vertrauenswürdigen Identity-Providern wie Google, Microsoft Entra ID, Okta oder anderen Enterprise-Identity-Providern anzumelden. Wenn ein Benutzer versucht, ohne aktuelle Authentifizierungssitzung auf ein ArcGIS-System zuzugreifen, wird er zur Authentifizierung an den Identity-Provider umgeleitet. Der Identity-Provider führt den Authentifizierungsschritt durch, bei dem ein Benutzername, ein Kennwort, ein Einmalcode oder andere Faktoren für das System bereitgestellt werden, und gibt bei Erfolg eine SAML-Assertion oder einen OIDC-Claim aus, der an ArcGIS zurückgesendet wird, um die Identität des Benutzers zu überprüfen.

Die Verwendung von SAML oder OIDC bringt unter anderem folgende Vorteile mit sich:

  • Optimierte User Experience: Mit Single Sign-On, das durch SAML oder OIDC aktiviert wird, können Benutzer mit nur einem Satz Anmeldeinformationen auf mehrere Anwendungen zugreifen. Dadurch müssen sich Benutzer nicht mehr mehrere Benutzernamen und Kennwörter merken, was die User Experience insgesamt verbessert.
  • Verbesserte Sicherheit: Bei diesen Mustern werden strenge Authentifizierungsmechanismen genutzt, die vom Identity-Provider bereitgestellt werden, z. B. die Multi-Faktor-Authentifizierung (MFA). Dadurch wird sichergestellt, dass nur autorisierte Benutzer auf vertrauliche Ressourcen zugreifen können.
  • Zentralisiertes Identitätsmanagement: Organisationen können Benutzeridentitäten und Zugriffsberechtigungen zentral über ihren Identity-Provider verwalten. Dies vereinfacht die Benutzerverwaltung und sorgt für konsistente Sicherheitsrichtlinien in allen integrierten Anwendungen.
  • Geringerer IT-Aufwand: Durch die Verwendung von SAML oder OIDC für die Authentifizierung verringert sich der Zeit- und Arbeitsaufwand der IT-Abteilungen für die Verwaltung mehrerer Authentifizierungssysteme. Dies führt zu geringeren Verwaltungskosten und einer effizienteren Nutzung von Ressourcen.
  • Verbesserte Compliance: Die zentralisierte Authentifizierung und Autorisierung hilft Organisationen bei der Einhaltung von Sicherheitsstandards und -vorschriften. Sie bietet einen klaren Prüfpfad für Benutzerzugriffe und -aktivitäten in allen Anwendungen.
  • Flexible Authentifizierungsoptionen: Für temporäre Benutzer oder externe Drittanbieter, die möglicherweise nicht über permanente Konten beim zentralen Identity-Provider verfügen, können integrierte Konten erstellt und nach Bedarf verwendet werden, und ArcGIS unterstützt die gleichzeitige Verwendung beider Muster.
  • Mobile GIS-Apps: Unternehmensidentitäten sind besonders nützlich für mobile GIS-Anwendungen, wie z. B. ArcGIS Field Maps und ArcGIS Survey123, bei denen Benutzer unterwegs auf sichere Ressourcen zugreifen müssen. Durch die Verwendung dieses Musters ermöglichen diese Apps eine nahtlose und sichere Anmeldung, da zur Authentifizierung von Benutzern vorhandene Identity-Provider genutzt werden.
  • Anwendungen von Drittanbietern: Entwickler, die Anwendungen von Drittanbietern erstellen, die mit ArcGIS interagieren, können ähnliche Authentifizierungsmuster verwenden, um sicher auf Benutzerdaten zuzugreifen und App-übergreifende Sitzungen mit Single Sign-On zu unterstützen. Auf diese Weise können innovative Lösungen entwickelt werden, die die Funktionen von ArcGIS erweitern und gleichzeitig robuste Sicherheitsstandards einhalten.

Integrierter Identitätsspeicher für ArcGIS Server-Komponenten und Portal for ArcGIS

Funktionsweise

Mit dem integrierten Identitätsspeicher können Sie Benutzer und Gruppen direkt in den ArcGIS Server-Komponenten oder in Portal for ArcGIS verwalten. Das bedeutet, dass Sie für die Benutzerauthentifizierung kein externes System benötigen. ArcGIS kümmert sich um den Authentifizierungsprozess und überprüft Benutzernamen und Kennwörter, die in der eigenen Datenbank gespeichert sind. Diese Methode wird häufig für die Ersteinrichtung, Entwicklung und Tests verwendet, da sie eine schnelle und einfache Kontoerstellung ermöglicht.

Beispiel aus der Praxis

Stellen Sie sich vor, Sie richten ein neues ArcGIS Enterprise-Portal für ein kleines Team von GIS-Experten ein. Sie können direkt im Portal schnell Benutzerkonten für jedes Teammitglied erstellen. Jeder Benutzer kann sich dann mit seinen Anmeldeinformationen anmelden, um auf Karten, Apps und andere Ressourcen zuzugreifen, die innerhalb der Organisation freigegeben sind.

Vorteile

Benutzerfreundlichkeit: Keine komplexe Integration in externe Systemen erforderlich.

Schnelle Einrichtung: Ideal für einen schnellen Einstieg, insbesondere in Entwicklungs- und Testumgebungen.

In sich geschlossen: Alle Benutzerdaten werden innerhalb des Portals verwaltet, was die Verwaltung vereinfacht.

Einschränkungen

Skalierbarkeit: Nicht ideal für mittlere bis große Organisationen mit vielen Benutzern, da die Verwaltung umständlich werden kann.

Sicherheit: Erfüllt möglicherweise nicht die strengen Sicherheitsanforderungen einiger Organisationen im Vergleich zur Verwendung von LDAP oder SAML.

IWA, AD und LDAP

Die Protokolle Integrated Windows Authentication (IWA) und Active Directory (AD) und Lightweight Directory Access Protocol (LDAP), die nur in ArcGIS Enterprise verfügbar sind, werden in Organisationen häufig für interne oder netzwerkinterne Workflows verwendet. Esri empfiehlt die Verwendung von IWA-, AD- und LDAP-Konfigurationen nur für interne Bereitstellungen von ArcGIS Enterprise.

Zusätzliche Muster

Public Key Infrastructure (PKI) mit Clientzertifikaten wird in verschiedenen Authentifizierungsmustern verwendet, darunter IWA, SAML und OIDC.

Multi-Faktor-Authentifizierung (MFA) wird häufig bei integrierten ArcGIS-Anmeldungen oder im Rahmen eines SAML- oder OIDC-Prozesses mit einem externen Identity-Provider angewendet. Dies ist eine empfohlene Vorgehensweise, insbesondere bei Konten, die über hohe Berechtigungen verfügen.

Die anwendungsbasierte Authentifizierung ist ein weiteres Authentifizierungsmuster, das mit dem integrierten Benutzermuster zusammenhängt, bei dem die Authentifizierung mithilfe von API-Schlüsseln oder Paaren aus Client-ID und geheimem Clientschlüssel durchgeführt wird.1

ArcGIS unterstützt auch den anonymen Benutzerzugriff auf die meisten Ressourcentypen im gesamten System für Organisationen, die entweder einen offenen Zugriff in ihrem WAN oder einen öffentlichen Zugriff auf Anwendungen über das Internet benötigen.

  1. API-Schlüssel werden mit ArcGIS Location Platform, ArcGIS Online und ArcGIS Enterprise in Version 11.4 oder höher unterstützt. 

Server-zu-Server-Authentifizierung

Während die meisten Benutzer-Workflows in ArcGIS-Systemen benutzerbasiert sind, d. h. eine Person interagiert mit einer Webseite oder einer Anwendung, die Anforderungen an einen Server sendet, erfordern andere Workflows eine Server-zu-Server- oder programmgesteuerte Ebene der Interaktion, sei es für die Integration zwischen Systemen, die Automatisierung von Daten-Tasks oder die Bereitstellung einer anderen Ebene der Konnektivität zwischen verschiedenen serverähnlichen oder Back-End-Systemen.

Während serverbasierte Anforderungen, die eine anonyme Identität zulassen, einfach zu unterstützen sind, gibt es für die Authentifizierung dieser Anforderungen viele Optionen, wenn der Service oder Endpunkt geschützt ist und ein gewisses Maß an Authentifizierung oder Identifizierung vorausgesetzt wird. Einige allgemeine Empfehlungen in diesem Bereich:

  • Bei den meisten Server-zu-Server-Verbindungen kann kein SAML- oder OIDC-basiertes Authentifizierungsmuster verwendet werden, da die entsprechenden IdPs eine interaktive Anmeldung über eine HTML-Schnittstelle erfordern und häufig Eingabeaufforderungen für die Multi-Faktor-Authentifizierung oder eine Überprüfung mittels Captchas enthalten.
  • Anforderungen, die von einem Geoverarbeitungswerkzeug oder einem Werkzeug für geplante Skripts stammen, das auf einem Server ausgeführt wird, nehmen in der Regel die Identität des Dienstkontos oder des lokalen Kontos an, unter dem dieser Prozess ausgeführt wird. Insbesondere bei IWA-basierten Szenarien können die Identität und die Einstellungen für dieses Benutzerkonto den Erfolg einer serverseitigen Anforderung erheblich beeinflussen.
  • Die Verwendung eines ArcGIS OAuth-basierten refresh_token (das von einem integrierten Identity-Provider oder Enterprise-Identity-Provider generiert wird) kann in ein System eingebettet und bei Bedarf zum Generieren von Sitzungstoken verwendet werden. Ein gültiges Aktualisierungstoken kann auch gegen ein neues Aktualisierungstoken ausgetauscht werden, sodass eine Logik erstellt werden kann, um dieses Aktualisierungstoken beizubehalten und auf unbestimmte Zeit gültig zu halten.
  • API-Schlüssel sind eine weitere potenzielle Methode zur Authentifizierung serverseitiger Prozesse, bei der ein API-Schlüssel für einen bestimmten Service und Workflow generiert und von einem serverseitigen Prozess verwendet werden kann, um bestimmte Vorgänge wie Geokodierungs- oder Routing-Anfragen zu authentifizieren und auszuführen.
Top