Single Sign On von WebOffice und Portal for ArcGIS |
  
|
Single Sign On von WebOffice und Portal for ArcGIS |
|
Dieses "How To"-Kapitel beschreibt die Nutzung einer Single Sign On Authentifizierung von WebOffice usermanagement in einem Verbundserver-Szenario via Portal for ArcGIS.
Hinweis: Für die Verwendung von WebOffice 10.6 mit ArcGIS Enterprise im Verbundserverbetrieb wird die ArcGIS Version 10.6 empfohlen.
Hinweis: Dieses Kapitel basiert auf einem bereits fertig installiertem und konfiguriertem Verbundserver-Szenario mit Integrierter Windows Authentifizierung.
Hinweis: Mehr Informationen zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Verwenden des Servers mit Portal for ArcGIS.
Hinweis: Mehr Informationen zum Authentifizierungstyp Single Sign On in WebOffice usermanagement finden Sie im Kapitel Authentifizierungstyp SSO.
Folgendes Ausgangsszenario muss in diesem Fall für eine korrekte Konfiguration gegeben sein:
•WebOffice 10.6 mit ArcGIS Enterprise im Verbundserver-Betrieb (d.h. Portal for ArcGIS wurde eine Server-Site hinzugefügt)
•Die Kartendienste werden auf einem Verbundserver gehostet
•Die Kartendienste sind nur für registrierte Portal-Benutzer des Verbundserver zugänglich (sofern die Benutzer Mitglied einer Portal-Gruppe ist, die für den Konsum der Kartendienste berechtigt ist)
•Der Verbundserver ist konfiguriert mit dem Active Directory (AD)-Identity Store (d.h. Benutzer und Gruppen kommen aus dem Microsoft Windows Active Directory)
Hinweis: Mehr Informationen zum Thema Microsoft Windows Active Directory finden Sie hier.
Hinweis: Siehe auch Kapitel Wie liest man Attribute aus MS AD aus.
•Automatische Portal-Benutzer Erstellung ist aktiviert (d.h. beim erstmaligen Aufrufen der Portalseite wird aufgrund der integrierten Windows Authentifizierung der Portal-Account aus dem Active Directory-Identity Store automatisch ausgelesen und angelegt)
•WebAdaptor for IIS (Portal): Portal mit Windows Integrierte Authentifizierung ist aktiviert
•Die entsprechenden Sicherheitszertifikate vom Portalserver müssen auf dem Server, in dem sich die WebOffice 10.6 Applikation befindet, im Java Truststore, ArcGIS Server Truststore (Server Admin Directory) sowie Portal Truststore (Portal Admin Directory) importiert sein.
Hinweis: Eine Schritt-für-Schritt Anleitung zum Hinzufügen von Zertifikaten finden Sie im Kapitel SSL/TLS-Zertifikate importieren.
Wenn Sie Ihrem Portal eine Server-Site hinzufügen, wird der Server mit dem Portal verbunden. Ein Server, der Ihrem Portal hinzugefügt wurde, wird als Verbundserver bezeichnet.
Hinweis: Mehr Informationen zur Einrichtung und Konfiguration finden Sie in der ArcGIS Onlinehilfe im Kapitel Verbinden einer ArcGIS Server-Site mit dem Portal.
In diesem Beispiel ist dem Portal for ArcGIS eine Server-Site zu einem Verbundserver hinzugefügt worden.
Beispielszenario: Verbundserver als Ausgangsbasis
Folgende Schritte sind in diesem Szenario durchzuführen, um einen funktionierenden Betrieb bei Single Sign On Authentifizierung von WebOffice und Portal for ArcGIS zu gewährleisten:
1. Benutzer erstmals am Portal aktivieren
Hinweis: Für diesen Schritt ist es notwendig das Portal für Windows Active Directory zu konfigurieren. Diese Schritte sind auf der Portaladmin Seite Ihres Portals zu konfigurieren; die URL hat das Format https://webadaptorhost.domain.com/portal/portaladmin/. Hier müssen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) hinzufügen.
Mehr Details finden Sie im ArcGIS Onlinehandbuch im Kapitel Verwenden der integrierten Windows-Authentifizierung im Portal.
Öffnen Sie Ihre Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.
Nach Aufrufen der URL überprüfen Sie, ob Sie aufgefordert werden, Ihre Anmeldeinformationen für das ArcGIS Enterprise-Konto einzugeben, oder ob Sie automatisch angemeldet werden. Wenn Sie nicht automatisch angemeldet werden, überprüfen Sie, ob das Windows-Konto, mit dem Sie sich bei dem Computer angemeldet haben, zu dem Portal hinzugefügt wurde.
Mittels Integrierter Windows Authentifizierung (IWA) wird automatisch ein Benutzer-Konto im Portal erstellt, wenn der Benutzer das erste mal die Portal-URL aufruft. Voraussetzung ist, dass Sie Mitglieder über den Enterprise-Identitätsspeicher Ihrer Organisation verwalten und der Benutzer ein Mitglied Ihrer Organisation ist.
Benutzer wird einmalig und automatisch an der Portal-Website aktiviert (Beispiel: SynerGIS Portal)
2. Konfiguration der Integrierten Windows Authentifizierung im Internetinformationsdienste(IIS)-Manager
Der Zugriff auf das Portal kann mithilfe der integrierten Windows-Authentifizierung (IWA) gesichert werden. Bei Verwendung von IWA werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Benutzer müssen sich somit nicht bei der Portal-Website an- und abmelden. Stattdessen werden die Benutzer am Portal mit demselben Konto angemeldet, mit dem sie sich bei Windows anmelden.
Zur Verwendung der integrierten Windows-Authentifizierung müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird.
Am Verbundserver werden im IIS-Manager beide WebAdaptor for IIS (Portal als auch ArcGIS) mit Windows Integrierte Authentifizierung aktiviert. Dies ist für die Single Sign On Authentifizierung notwendig.
ArcGIS und Portal mit integrierter Windows-Authentifizierung: Web Adaptoren (IIS) entsprechend anpassen
Hinweis:
Bei Verwendung von IWA muss Apache Tomcat unter einem Domänen-Benutzer laufen.
Dieser Tomcat Benutzer muss Mitglied in der Organisation im Portal sein.
Die Inhalte, auf die Tomcat/WebOffice im Portal zugreift, müssen diesem Benutzer freigegeben werden. Hier ist jener Kartendienst, der als Hauptkartendienst im WebOffice 10.6 Projekt dient, notwendig; sowie das SynOutputService. Diese Dienste werden für die Initialisierung des WebOffice 10.6 Projekts benötigt.
Mögliche beispielhafte Umsetzung, damit der Hauptkartendienst nicht der ganzen Organisation freigegeben werden muss:
•Einrichtung einer neuen Gruppe „WebOffice Applikation“ und den Tomcat-Benutzer dieser Gruppe zuweisen.
•Freigabe des Hauptkartendienstes an diese Gruppe notwendig.
In Verwendung des Szenarios Authentifizierungstyp NTLM ist zu beachten, dass jener Tomcat Benutzer auch in die Liste von ArcGIS Server Publisher-Benutzern eingetragen ist.
3. Weitere Einstellungen im Portal for ArcGIS
Die Kartendienste, welche Sie konsumieren möchten, müssen am Verbundserver gehostet sein.
Hinweis: Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Registrieren von Services.
Der angemeldete Benutzer muss Mitglied in einer Gruppe im Portal sein, in der die entsprechenden Kartendienste freigegeben sind.
Hinweis: Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Was ist eine Gruppe? Die Gruppen im Portal können ebenfalls mit Gruppen aus dem Windows AD verknüpft werden; für mehr Details siehe Abschnitt Verknüpfen von Enterprise-Gruppen von einem IDP.
Gruppeninhalte, die für den angemeldeten Portal-User sichtbar sind
Öffnen Sie zur Überprüfung Ihrer Berechtigungen die URL der Rest Schnittstelle im Browser. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/rest/services.
Wenn durch die Integrierte Windows Authentifizierung Ihr Benutzerkonto im Portal erfolgreich angelegt wurde und sofern Sie Mitglied einer Gruppe sind, die am Verbundserver gehostete Kartendienste beinhaltet, sollten Sie nach Aufrufen der URL automatisch angemeldet werden und jene Services, für die Ihr Benutzer berechtigt ist, werden aufgelistet:
Aufrufen der Servces über die REST-Schnittstelle zur Überprüfung der Berechtigungen
Hinzufügen einer neuen Anwendung
Als nächstes muss im Portal eine neue Anwendung (Web Map Application) für Ihre WebOffice 10.6 Applikation angelegt werden.
Diese Portal-App soll später im Hintergrund die automatische Benutzer-Authentifizierung beim Aufrufen des WebOffice 10.6 Projektes, welches Kartendienste vom Verbundserver konsumiert, steuern. Dadurch ist es möglich, dass ein Anwender ein WebOffice 10.6 Projekt aufrufen kann, ohne dass in der WebOffice 10.6 Projektkonfiguration ein spezifischer Dienst-Benutzer plus Kennwort für die Kartendienste vom Verbundserver angegeben werden müssen.
Hinweis: Wenn der Benutzer kein Portal-Konto besitzt sowie in keiner Portal-Gruppe Mitglied ist, wird nach dem Aufrufen des WebOffice 10.6 Projekts eine Fehlermeldung erscheinen, da der Benutzer keine Berechtigung für die Kartendienste vom Verbundserver hat.
Hinweis: Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Hinzufügen von Anwendungen im Kapitel Hinzufügen von Elementen.
Überprüfen Sie zu Beginn, ob Sie angemeldet sind und über Berechtigungen zum Erstellen von Inhalten verfügen.
Klicken Sie in Eigene Inhalte auf Element hinzufügen und danach auf Eine Anwendung.
Hinzufügen eine neuen Anwendung im Portal
Eine Anwendung hinzufügen - Konfiguration
Die nachfolgende Tabelle listet so wie in der Abbildung davor jene Parameter auf, die Sie für diese notwendige Konfiguration auswählen bzw. vergeben müssen.
Parameter |
Beschreibung |
Typ |
Web Mapping (Eine Web-App, die mit einer Web-API wie JavaScript erstellt wurde) |
Verwendung |
Konfigurierbar (Vollständig funktionsfähige App, die durch Konfigurieren einer Datei bereitgestellt werden kann) |
API |
Wählen Sie hier "Andere" |
URL |
URL zu Ihrer WebOffice Applikation |
Titel |
Geben Sie einen Titel ein (z.B. den Namen Ihrer WebOffice Applikation) |
Tags |
Geben Sie Tags ein, die das Element beschreiben. Trennen Sie Begriffe durch Kommas |
Klicken Sie auf Element hinzufügen.
Nachdem Sie Ihre Anwendung hinzugefügt haben, öffnet sich automatisch die Seite der neu erstellten Anwendung mit den Bereichen Übersicht und Einstellungen.
Registrieren der Anwendung
Im nächsten Schritt muss die neu erstellte Anwendung noch registriert werden. Wechseln Sie dazu zum Reiter Einstellungen für die Allgemeinen Einstellungen der Web Mapping Application.
Klicken Sie auf die Registerkarte "Einstellungen"
Im unteren Bereich dieser Seite gibt es den Abschnitt App-Registrierung. Hier auf Registrieren klicken, um die Anwendung zu registrieren.
Führen Sie einen Bildlauf bis zum Abschnitt App-Registrierung durch, und klicken Sie auf "Registrieren"
Der App-Typ lautet Browser und als Umleitungs-URI muss jene URL der WebOffice 10.6 Anwendung vergeben werden.
Geben Sie die Adresse im Format https://<server>/<WebOffice-Applikation> an.
Hinweis: Umleitungs-URIs sind gültige Adressen, zu denen die Benutzer Ihrer App umgeleitet werden können, nachdem sie sich erfolgreich angemeldet haben.
Klicken Sie dann auf Hinzufügen und Registrieren.
Registrieren der Anwendung mit Umleitungs-URI zu Ihrer WebOffice Anwendung
Anzeigen von Informationen zur App-Registrierung
Im Bereich App-Registrierung werden nun Parameter aufgelistet, die für die Konfiguration der Authentifizierung in der WebOffice 10.6 Anwendungskonfiguration notwendig sind.
Sie können folgende Details anzeigen:
•App-ID
•geheimer Zugriffsschlüssel der App
•App-Typ
•Umleitungs-URIs
Hinweis: Zum Aktualisieren der Umleitungs-URIs klicken Sie auf Aktualisieren.
Klicken Sie auf Geheimen Zugriffsschlüssel der App anzeigen: Dieser Key sowie die App-ID werden anschließend kopiert und in der WebOffice 10.6 Anwendungskonfiguration eingefügt.
Anzeigen von Informationen zur App-Registrierung
Ihre Portal-Anwendung mit Umleitung auf Ihre WebOffice 10.6 Anwendung ist erfolgreich angelegt und registriert. Fahren Sie für die nächsten Schritte nun im WebOffice author fort.
4. Anpassungen in der WebOffice Anwendungskonfiguration
Öffnen Sie im WebOffice author die Anwendungskonfiguration.
Zuerst ist es notwendig das Benutzerkonto des initialen Portal-Administrator in die Liste von ArcGIS Server Publisher-Benutzern hinzuzufügen sowie die Server URL zur Portalseite einzutragen.
Hinweis: Mehr zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Initiales Administratorkonto.
Konfiguration in Anwendungskonfiguration - Hinzufügen von Portal Administrator zur Liste der ArcGIS Server Benutzer
Am Knoten WebOffice muss ein neuer Subknoten ankonfiguriert werden: Liste von ArcGIS-Enterprise OAuth Authorisierungskopplungen
Hinweis: OAuth 2.0 (Open Authorization) ist ein offenes Protokoll, das eine standardisierte, sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubt.
Hinweis: Mehr Informationen zum Thema OAuth 2.0 entnehmen Sie bitte der Website.
Die Parameter dieses Subknotens müssen mit den Informationen der zuvor im Portal erstellten Web Mapping Application befüllt werden.
Konfiguration in Anwendungskonfiguration - Authentifizierungstyp OAuth2
Danach die WebOffice 10.6 Anwendungskonfiguration speichern und die WebOffice 10.6 Anwendung neu laden.
Die notwendigen Konfigurationen sind nun soweit abgeschlossen und es kann mit dem Testen fortgefahren werden.
5. Anwendung
Nach der Konfiguration erfolgt das Testen im Anwendungsfall beim Aufrufen eines WebOffice Projektes, welches Kartendienste von einem Verbundserver konsumiert.
Wird das WebOffice 10.6 Projekt im Browser aufgerufen, erscheint nun folgende Berechtigungsmeldung im Browser:
Berechtigungsmeldung beim Aufrufen vom WebOffice Projekt
Diese muss genehmigt werden, um die Kartendienste vom Verbundserver abrufen zu können und somit das WebOffice 10.6 Projekt öffnen zu können.
6. Hinzufügen der App im App-Startprogramm
Will man diese Anforderungsnachricht zur Berechtigung ausblenden, muss folgendermaßen vorgegangen werden:
•Im Portal muss die Web-App zu dem App-Startprogramm hinzugefügt werden.
Hinweis: Mehr Informationen zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Verwalten von Apps im App-Startprogramm.
•Das hat zur Folge, dass Mitglieder aus dem Portal nicht mehr zur Genehmigung im Dialogfeld aufgefordert werden, sobald ein WebOffice 10.6 Projekt gestartet wird.
Öffnen Sie in Ihrem Portal den Bereich Organisation > Einstellungen bearbeiten > Allgemein.
Navigieren Sie zum Abschnitt App-Startprogramm auf der Seite und klicken Sie auf App hinzufügen.
App zur WebOffice Anwendung muss zum App-Startprogramm hinzugefügt werden
Wählen Sie Ihre vorhin erstellte App zur WebOffice Anwendung aus der Dropdown-Liste App auswählen auf der Registerkarte Registrierte App aus. Diese Liste zeigt nur aktuell im Portal registrierte Apps an.
Auswahl Ihrer registrierten App
Geben Sie eine Beschriftung für die App ein, und klicken Sie auf Weiter. Das App-Startprogramm zeigt ein Symbol zur Darstellung der jeweiligen App an. Legen Sie die Anzeige auf maximal vier Zeichen fest oder laden Sie eine Grafik zur Darstellung der App hoch.
In den hier hinzugefügten Apps werden Mitglieder nicht zur Eingabe im Dialogfeld "Berechtigungen anfordern" aufgefordert.
Die hinzugefügten Apps werden den Mitgliedern mit Zugriff auf das App-Element im App-Startprogramm auf der Portalseite angezeigt.
Apps im App-Startprogramm der Portalseite
Durch diese Konfiguration leitet das Portal App-Startprogramm auf die registrierte WebOffice 10.6 Applikation automatisch um, sobald ein Projektaufruf gemacht wird.
•Bei Klick auf die App im App-Startprogramm erfolgt eine Umleitung auf die WebOffice 10.6 Landing Page, auf der das WebOffice 10.6 Projekt gestartet werden kann
•Bei einer direkten Eingabe der URL im Browser zum WebOffice 10.6 Projekt erfolgt der direkte Einstieg in das WebOffice 10.6 Projekt
•In beiden Fällen wird das Dialogfenster unterdrückt und die Genehmigung für den Benutzer passiert automatisch im Hintergrund
Klick auf die App im App-Startprogramm - Umleitung auf Landing Page
Das WebOffice Projekt konnte für den Benutzer erfolgreich aufgerufen werden
7. Conclusio:
Das WebOffice 10.6 Projekt konsumiert Kartendienste, die auf einem Verbundserver gehostet sind, ohne dass in der WebOffice 10.6 Projektkonfiguration für die entsprechenden Kartendienste ein Dienst-Benutzer und Kennwort konfiguriert sind.
Aufgrund der Integrierten Windows Authentifizierung und der entsprechenden Konfigurationen in Portal for ArcGIS sowie WebOffice 10.6 Anwendungskonfiguration kann ein Benutzer (Voraussetzung ist, dass er Mitglied im Windows Active Directory sowie Portal for ArcGIS ist und entsprechende Gruppenberechtigungen hat) das WebOffice 10.6 Projekt ohne Probleme bezüglich Lizenzverstoß und ohne weitere Anmeldezwischenseiten erfolgreich aufrufen und die vom Portalverbund gehosteten Kartendienste im WebOffice 10.6 Projekt konsumieren.