Navigation:  Kurzanleitungen > Wie konfiguriert man ... >

WebOffice mit ArcGIS Enterprise (Portal for ArcGIS) und SSO Authentifizierung

Previous pageReturn to chapter overviewNext page

Dieses "How To"-Kapitel beschreibt die Nutzung von WebOffice 10.7 SP1 mit ArcGIS Enterprise (Portal for ArcGIS) in einem Verbundserver-Betrieb mit einer Single Sign On (SSO) Authentifizierung.

Hinweise:

Für die Verwendung von WebOffice 10.7 SP1 mit ArcGIS Enterprise im Verbundserverbetrieb wird mindestens die ArcGIS Version 10.6 empfohlen.

Dieses Kapitel basiert auf einem bereits fertig installiertem und konfiguriertem Verbundserver-Szenario mit Integrierter Windows Authentifizierung.

Mehr Informationen zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Verwenden des Servers mit Portal for ArcGIS.

Mehr Informationen zum Authentifizierungstyp Single Sign On in WebOffice usermanagement finden Sie im Kapitel Authentifizierungstyp SSO.

 

Folgendes Ausgangsszenario muss in diesem Fall für eine korrekte Konfiguration gegeben sein:

WebOffice 10.7 SP1 mit ArcGIS Enterprise im Verbundserver-Betrieb (d.h. Portal for ArcGIS wurde eine Server-Site hinzugefügt)

Siehe Punkt 1

Der Verbundserver ist konfiguriert mit dem Active Directory (AD)-Identity Store (d.h. Benutzer und Gruppen kommen aus dem Microsoft Windows Active Directory)

Hinweis: 

Mehr Informationen zum Thema Microsoft Windows Active Directory finden Sie hier. Siehe auch Kapitel Wie liest man Attribute aus MS AD aus.

ArcGIS Web Adaptor for IIS (Portal): Portal mit Windows Integrierte Authentifizierung ist aktiviert

Siehe Punkt 2

Optional: Automatische Portal-Benutzer Erstellung ist aktiviert (d.h. beim erstmaligen Aufrufen der Portalseite wird aufgrund der integrierten Windows Authentifizierung der Portal-Account aus dem Active Directory-Identity Store automatisch ausgelesen und angelegt)

Siehe Punkt 3

Die entsprechenden Sicherheitszertifikate vom Portalserver müssen auf dem Server, in dem sich die WebOffice 10.7 SP1 Applikation befindet, im Java Truststore, ArcGIS Server Truststore (Server Admin Directory) sowie Portal Truststore (Portal Admin Directory) importiert sein.

Hinweis: 

Eine Schritt-für-Schritt Anleitung zum Hinzufügen von Zertifikaten finden Sie im Kapitel SSL/TLS-Zertifikate importieren.

Die Karten-Services werden auf einem Verbundserver gehostet

Die Karten-Services (wenn abgesichert) sind nur für registrierte Portal-Benutzer des Verbundserver zugänglich (sofern die Benutzer Mitglied einer Portal-Gruppe ist, die für den Konsum der Karten-Services berechtigt ist)

 

Schema eines Betriebs von WebOffice mit ArcGIS Enterprise mit SSO Authentifizierung zu Portal for ArcGIS und WebOffice

Schema eines Betriebs von WebOffice mit ArcGIS Enterprise mit SSO Authentifizierung zu Portal for ArcGIS und WebOffice

 

 

Folgende Schritte sind in diesem Szenario durchzuführen, um einen funktionierenden Betrieb bei Single Sign On Authentifizierung von WebOffice mit ArcGIS Enterprise (Portal for ArcGIS) zu gewährleisten:

 

1. WebOffice mit ArcGIS Enterprise im Verbundserver-Betrieb

Wenn Sie Ihrem Portal eine Server-Site hinzufügen, wird der ArcGIS Server mit dem Portal verbunden. Ein Server, der Ihrem Portal hinzugefügt wurde, wird als Verbundserver bezeichnet.

Hinweis: 

Mehr Informationen zur Einrichtung und Konfiguration finden Sie in der ArcGIS Onlinehilfe im Kapitel Verbinden einer ArcGIS Server-Site mit dem Portal.

 

In diesem Beispiel ist dem Portal for ArcGIS eine Server-Site zu einem Verbundserver hinzugefügt worden.

Beispielszenario: Verbundserver als Ausgangsbasis

Beispielszenario: Verbundserver als Ausgangsbasis

 

 

2. Konfiguration der Integrierten Windows Authentifizierung im Internetinformationsdienste (IIS)-Manager

Der Zugriff auf das Portal kann mithilfe der integrierten Windows-Authentifizierung (IWA) gesichert werden. Bei Verwendung von IWA werden Anmeldenamen über Microsoft Windows Active Directory verwaltet. Benutzer müssen sich somit nicht bei der Portal-Website an- und abmelden. Stattdessen werden die Benutzer am Portal mit demselben Konto angemeldet, mit dem sie sich bei Windows anmelden.

Zur Verwendung der integrierten Windows-Authentifizierung müssen Sie ArcGIS Web Adaptor (IIS) verwenden, das für den Microsoft IIS-Webserver bereitgestellt wird.

Hinweis:

Mehr Details zur Konfiguration entnehmen Sie aus der ArcGIS Onlinehilfe im Kapitel Verwenden der integrierten Windows-Authentifizierung im Portal.

 

ArcGIS und Portal mit integrierter Windows-Authentifizierung: Web Adaptoren (IIS) entsprechend anpassen

ArcGIS und Portal mit integrierter Windows-Authentifizierung: Web Adaptoren (IIS) entsprechend anpassen

 

Wichtiger Hinweis:

Bei Verwendung von IWA muss der Windows-Dienst Apache Tomcat unter einem Domänen-Benutzer laufen.

Dieser Tomcat Domänen-Benutzer muss Mitglied in der Organisation im Portal sein.

Zum Anlegen dieses Tomcat Domänen-Benutzers im Portal kann das Portal-Administratorverzeichnis über die URL https://webadaptorhost.domain.com/webadaptorname/portaladmin aufgerufen werden, da hier bestimmte administrative Funktionen ausgeführt werden können (z.B. Angabe von Email-Adresse, wenn keine im Active Directory hinterlegt ist), die auf der ArcGIS Enterprise Portal-Website nicht zur Verfügung stehen. Mehr Informationen zu diesem Thema siehe Kapitel Portal-Administratorverzeichnis in der ArcGIS Online-Hilfe

 

Hinweis:

Die Inhalte, auf die Tomcat/WebOffice im Portal zugreift, müssen dem Tomcat-Benutzer im Portal freigegeben werden (entweder Freigabe in der gesamten Portal Organisation oder innerhalb einer Portal Gruppe). Der Hauptkartendienst des WebOffice 10.7 SP1 Projekts sowie das SynOutputService werden für die Initialisierung des WebOffice 10.7 SP1 Projekts benötigt.

Mögliche beispielhafte Umsetzung, damit der Hauptkartendienst nicht der ganzen Organisation freigegeben werden muss:

Einrichtung einer neuen Gruppe „WebOffice Applikation“ und den Tomcat-Benutzer dieser Gruppe zuweisen.

Freigabe eines Portal-Items (z.B. Hauptkartendienst) an diese Gruppe notwendig.

 

In Verwendung des Szenarios Authentifizierungstyp NTLM ist zu beachten, dass jener Tomcat Benutzer auch in die Liste von ArcGIS Server Publisher-Benutzern eingetragen ist.

 

 

3. Benutzer erstmals am Portal aktivieren bzw. am Portal neu anlegen

Hinweis:

Für diesen Schritt ist es notwendig das Portal für Windows Active Directory zu konfigurieren. Diese Schritte sind auf der Portal-Administratorseite Ihres Portals zu konfigurieren; die URL hat das Format https://webadaptorhost.domain.com/portal/portaladmin/. Hier müssen Sie die Windows Active Directory-Benutzerkonfigurationsinformationen Ihrer Organisation (im JSON-Format) hinzufügen.

Mehr Details finden Sie im ArcGIS Onlinehandbuch im Kapitel Verwenden der integrierten Windows-Authentifizierung im Portal

 

Öffnen Sie Ihre Portal-Website. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/home.

Nach Aufrufen der URL überprüfen Sie, ob Sie aufgefordert werden, Ihre Anmeldeinformationen für das ArcGIS Enterprise-Konto einzugeben, oder ob Sie automatisch angemeldet werden. Wenn Sie nicht automatisch angemeldet werden, überprüfen Sie, ob das Windows-Konto, mit dem Sie sich bei dem Computer angemeldet haben, zu dem Portal hinzugefügt wurde.

Mittels Integrierter Windows Authentifizierung (IWA) wird automatisch ein Benutzer-Konto im Portal erstellt, wenn der Benutzer das erste mal die Portal-URL aufruft. Voraussetzung ist, dass Sie Mitglieder über den Enterprise-Identitätsspeicher Ihrer Organisation verwalten und der Benutzer ein Mitglied Ihrer Organisation ist.

Benutzer wird einmalig und automatisch an der Portal-Website aktiviert (Beispiel: SynerGIS Portal)

Benutzer wird einmalig und automatisch an der Portal-Website aktiviert (Beispiel: SynerGIS Portal)

 

 

4. Weitere Einstellungen im Portal for ArcGIS

Die Karten-Services, welche verwendet werden sollen, müssen am Verbundserver gehostet sein.

Hinweis: 

Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Registrieren von Services.

 

Der angemeldete Benutzer muss Mitglied in einer Gruppe im Portal sein, in der die entsprechenden Karten-Services freigegeben sind.

Hinweis: 

Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Was ist eine Gruppe? Die Gruppen im Portal können ebenfalls mit Gruppen aus dem Windows AD verknüpft werden; für mehr Details siehe Abschnitt Verknüpfen von Enterprise-Gruppen von einem IDP.

 

Gruppeninhalte, die für den angemeldeten Portal-User sichtbar sind

Gruppeninhalte, die für den angemeldeten Portal-User sichtbar sind

 

Öffnen Sie zur Überprüfung Ihrer Berechtigungen die URL der Rest Schnittstelle im Browser. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/rest/services.

Wenn durch die Integrierte Windows Authentifizierung Ihr Benutzerkonto im Portal erfolgreich angelegt wurde und sofern Sie Mitglied einer Gruppe sind, die am Verbundserver gehostete Kartendienste beinhaltet, sollten Sie nach Aufrufen der URL automatisch angemeldet werden und jene Services, für die Ihr Benutzer berechtigt ist, werden aufgelistet:

Aufrufen der Servces über die REST-Schnittstelle zur Überprüfung der Berechtigungen

Aufrufen der Servces über die REST-Schnittstelle zur Überprüfung der Berechtigungen

 

Hinzufügen einer neuen Anwendung

Als nächstes muss im Portal eine neue Anwendung (Web Map Application) für Ihre WebOffice 10.7 SP1 Applikation angelegt werden.

Diese Portal-App soll später im Hintergrund die automatische Benutzer-Authentifizierung beim Aufrufen des WebOffice 10.7 SP1 Projektes, welches Karten-Services vom Verbundserver konsumiert, steuern. Dadurch ist es möglich, dass ein Anwender ein WebOffice 10.7 SP1 Projekt aufrufen kann, ohne dass in der  WebOffice 10.7 SP1 Projektkonfiguration ein spezifischer Dienst-Benutzer plus Kennwort für die Karten-Services vom Verbundserver angegeben werden müssen.

Hinweise: 

Wenn der Benutzer kein Portal-Konto besitzt sowie in keiner Portal-Gruppe Mitglied ist, wird nach dem Aufrufen des WebOffice 10.7 SP1 Projekts eine Fehlermeldung erscheinen, da der Benutzer keine Berechtigung für die Karten-Services vom Verbundserver hat.

Mehr Informationen zu diesem Thema finden Sie im ArcGIS Onlinehandbuch im Abschnitt Hinzufügen von Anwendungen im Kapitel Hinzufügen von Elementen.

 

Überprüfen Sie zu Beginn, ob Sie angemeldet sind und über Berechtigungen zum Erstellen von Inhalten verfügen.

Klicken Sie in Eigene Inhalte auf Element hinzufügen und danach auf Eine Anwendung.

Hinzufügen eine neuen Anwendung im Portal

Hinzufügen eine neuen Anwendung im Portal

 

Eine Anwendung hinzufügen - Konfiguration

Eine Anwendung hinzufügen - Konfiguration

 

Die nachfolgende Tabelle listet so wie in der Abbildung davor jene Parameter auf, die Sie für diese notwendige Konfiguration auswählen bzw. vergeben müssen.

Parameter

Beschreibung

Typ

Web Mapping (Eine Web-App, die mit einer Web-API wie JavaScript erstellt wurde)

Verwendung

Konfigurierbar (Vollständig funktionsfähige App, die durch Konfigurieren einer Datei bereitgestellt werden kann)

API

Wählen Sie hier "Andere"

URL

URL zu Ihrer WebOffice Applikation

Titel

Geben Sie einen Titel ein (z.B. den Namen Ihrer WebOffice Applikation)

Tags

Geben Sie Tags ein, die das Element beschreiben. Trennen Sie Begriffe durch Kommas

 

Klicken Sie auf Element hinzufügen.

Nachdem Sie Ihre Anwendung hinzugefügt haben, öffnet sich automatisch die Seite der neu erstellten Anwendung mit den Bereichen Übersicht und Einstellungen.

 

Registrieren der Anwendung

Im nächsten Schritt muss die neu erstellte Anwendung noch registriert werden. Wechseln Sie dazu zum Reiter Einstellungen für die Allgemeinen Einstellungen der Web Mapping Application.

Klicken Sie auf die Registerkarte "Einstellungen"

Klicken Sie auf die Registerkarte "Einstellungen"

 

Im unteren Bereich dieser Seite gibt es den Abschnitt App-Registrierung. Hier auf Registrieren klicken, um die Anwendung zu registrieren.

Führen Sie einen Bildlauf bis zum Abschnitt App-Registrierung durch, und klicken Sie auf "Registrieren"

Führen Sie einen Bildlauf bis zum Abschnitt App-Registrierung durch, und klicken Sie auf "Registrieren"

 

Der App-Typ lautet Browser und als Umleitungs-URI muss jene URL der WebOffice 10.7 SP1 Anwendung vergeben werden.

Geben Sie die Adresse im Format https://<server>/<WebOffice-Applikation> an.

Hinweis: 

Umleitungs-URIs sind gültige Adressen, zu denen die Benutzer Ihrer App umgeleitet werden können, nachdem sie sich erfolgreich angemeldet haben.

 

Klicken Sie auf Hinzufügen und Registrieren.

Registrieren der Anwendung mit Umleitungs-URI zu Ihrer WebOffice Anwendung

Registrieren der Anwendung mit Umleitungs-URI zu Ihrer WebOffice Anwendung

 

Anzeigen von Informationen zur App-Registrierung

Im Bereich App-Registrierung werden nun Parameter aufgelistet, die für die Konfiguration der Authentifizierung in der WebOffice 10.7 SP1 Anwendungskonfiguration notwendig sind.

Sie können folgende Details anzeigen:

App-ID

geheimer Zugriffsschlüssel der App

App-Typ

Umleitungs-URIs

Hinweis: 

Zum Aktualisieren der Umleitungs-URIs klicken Sie auf Aktualisieren.

 

Klicken Sie auf Geheimen Zugriffsschlüssel der App anzeigen: Dieser Key sowie die App-ID werden anschließend kopiert und in der WebOffice 10.7 SP1 Anwendungskonfiguration eingefügt.

 

Anzeigen von Informationen zur App-Registrierung

Anzeigen von Informationen zur App-Registrierung

 

Ihre Portal-Anwendung mit Umleitung auf Ihre WebOffice 10.7 SP1 Anwendung ist erfolgreich angelegt und registriert. Fahren Sie für die nächsten Schritte nun im WebOffice author fort.

 

 

5. Anpassungen in der WebOffice Anwendungskonfiguration
Öffnen Sie im WebOffice author standalone die Anwendungskonfiguration.

Zuerst ist es notwendig das Benutzerkonto eines Portal-Mitglieds, welcher einen Benutzertyp mit der Rolle Administrator hat (z.B. Portaladmin), in die Liste von ArcGIS Server Publisher-Benutzern der WebOffice Anwendungskonfiguration hinzuzufügen sowie die Server URL zur ArcGIS Server Site einzutragen.

Hinweise: 

Mehr zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Initiales Administratorkonto.

In einem Verbundserver-Szenario muss in der Anwendungskonfiguration der Parameter "Verbundserver = true" gesetzt sein.

 

Konfiguration in Anwendungskonfiguration - Hinzufügen von Portal Benutzer mit Administrator-Rechte zur Liste der ArcGIS Server Benutzer

Konfiguration in Anwendungskonfiguration - Hinzufügen von Portal Benutzer mit Administrator-Rechte zur Liste der ArcGIS Server Benutzer

 

Am Knoten WebOffice muss ein neuer Subknoten ankonfiguriert werden: Liste von ArcGIS-Enterprise OAuth Authorisierungskopplungen

Hinweise: 

OAuth 2.0 (Open Authorization) ist ein offenes Protokoll, das eine standardisierte, sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubt.

Mehr Informationen zum Thema OAuth 2.0 entnehmen Sie bitte der Website.

 

Die Parameter dieses Subknotens müssen mit den Informationen der zuvor im Portal erstellten und registrierten Web Mapping Application befüllt werden.

 

Konfiguration in Anwendungskonfiguration - Authentifizierungstyp OAuth2

Konfiguration in Anwendungskonfiguration - Authentifizierungstyp OAuth2

 

Hinweis: 

Die WebAdaptor-URL des Zugriffsinformationsdienstes sowie Authentifizierungsdienstes ist bei standardmäßiger Konfiguration jene WebAdaptor-URL der verwendeten Portal-Website; z.B.:

https://webadaptorhost.domain.com/portal/sharing/oauth2/token sowie

https://webadaptorhost.domain.com/portal/sharing/oauth2/authorize.

 

Danach die WebOffice 10.7 SP1 Anwendungskonfiguration speichern und die WebOffice 10.7 SP1 Anwendung neu laden.

Hinweis:

Mehr Details zur Konfiguration in WebOffice author standalone siehe Kapitel Liste von ArcGIS-Enterprise OAuth Authorisierungskopplungen.

 

 

6. Anpassungen in der WebOffice Projektkonfiguration

In den jeweiligen Projektkonfigurationen müssen die Kartendienstverbindungen entsprechend an die https URLs angepasst werden.

In einem Verbundserver-Szenario ist es mit dem WebOffice author standalone nicht möglich in einer WebOffice 10.7 SP1 Projektkonfiguration entsprechende User-Credentials für eine ArcGIS Server Kartendienstverbindung zu vergeben.

 

Die notwendigen Konfigurationen sind nun soweit abgeschlossen und es kann mit dem Testen fortgefahren werden.

 

 

7. Anwendung

Nach der Konfiguration erfolgt das Testen im Anwendungsfall beim Aufrufen eines WebOffice Projektes, welches Karten-Services von einem Verbundserver konsumiert.

Wird das WebOffice 10.7 SP1 Projekt im Browser aufgerufen, erscheint nun folgende Berechtigungsmeldung im Browser:

Berechtigungsmeldung beim Aufrufen vom WebOffice Projekt

Berechtigungsmeldung beim Aufrufen vom WebOffice Projekt

 

Diese muss genehmigt werden, um die Karten-Services vom Verbundserver abrufen zu können und somit das WebOffice 10.7 SP1 Projekt öffnen zu können.

 

8. Hinzufügen der App im App-Startprogramm

Will man diese Anforderungsnachricht zur Berechtigung ausblenden, muss folgendermaßen vorgegangen werden:

Im Portal muss die Web-App zu dem App-Startprogramm hinzugefügt werden.

Hinweis: 

Mehr Informationen zu diesem Thema finden Sie in der ArcGIS Onlinehilfe im Kapitel Verwalten von Apps im App-Startprogramm.

Das hat zur Folge, dass Mitglieder aus dem Portal nicht mehr zur Genehmigung im Dialogfeld aufgefordert werden, sobald ein WebOffice 10.7 SP1 Projekt gestartet wird.

 

Öffnen Sie in Ihrem Portal den Bereich Organisation > Einstellungen bearbeiten > Allgemein.

Navigieren Sie zum Abschnitt App-Startprogramm auf der Seite und klicken Sie auf App hinzufügen.

 

App zur WebOffice Anwendung muss zum App-Startprogramm hinzugefügt werden

App zur WebOffice Anwendung muss zum App-Startprogramm hinzugefügt werden

 

Wählen Sie Ihre vorhin erstellte App zur WebOffice Anwendung aus der Dropdown-Liste App auswählen auf der Registerkarte Registrierte App aus. Diese Liste zeigt nur aktuell im Portal registrierte Apps an.

Auswahl Ihrer registrierten App

Auswahl Ihrer registrierten App

 

Geben Sie eine Beschriftung für die App ein, und klicken Sie auf Weiter. Das App-Startprogramm zeigt ein Symbol zur Darstellung der jeweiligen App an. Legen Sie die Anzeige auf maximal vier Zeichen fest oder laden Sie eine Grafik zur Darstellung der App hoch.

In den hier hinzugefügten Apps werden Mitglieder nicht zur Eingabe im Dialogfeld "Berechtigungen anfordern" aufgefordert.

Die hinzugefügten Apps werden den Mitgliedern mit Zugriff auf das App-Element im App-Startprogramm auf der Portalseite angezeigt.

 

Apps im App-Startprogramm der Portalseite

Apps im App-Startprogramm der Portalseite

 

Durch diese Konfiguration leitet das Portal App-Startprogramm auf die registrierte WebOffice 10.7 SP1 Applikation automatisch um, sobald ein Projektaufruf gemacht wird.

Bei Klick auf die App im App-Startprogramm erfolgt eine Umleitung auf die WebOffice 10.7 SP1 Landing Page, auf der das WebOffice 10.7 SP1 Projekt gestartet werden kann

Bei einer direkten Eingabe der URL im Browser zum WebOffice 10.7 SP1 Projekt erfolgt der direkte Einstieg in das WebOffice 10.7 SP1 Projekt

In beiden Fällen wird das Dialogfenster unterdrückt und die Genehmigung für den Benutzer passiert automatisch im Hintergrund

 

Klick auf die App im App-Startprogramm - Umleitung auf Landing Page

Klick auf die App im App-Startprogramm - Umleitung auf Landing Page

 

Das WebOffice Projekt konnte für den Benutzer erfolgreich aufgerufen werden

Das WebOffice Projekt konnte für den Benutzer erfolgreich aufgerufen werden

 

 

Conclusio:

Mit ArcGIS Enterprise und WebOffice 10.7 SP1, beides konfiguriert auf integrierte Windows Authentifizierung (IWA), kann WebOffice vollwertig und mit dem selben Nutzungskomfort verwendet werden wie bisher, dabei aber auf zahlreiche Zusatzfunktionen und Anwendungen aus ArcGIS Enterprise zugegriffen werden.

WebOffice 10.7 SP1 konsumiert abgesicherte ArcGIS Enterprise Services von einem Verbundserver, ohne dass in der WebOffice Projektkonfiguration für die entsprechenden Services ein Dienst-Benutzer konfiguriert wird.

Aufgrund der integrierte Windows Authentifizierung (IWA) und der entsprechenden Konfigurationen in Portal for ArcGIS sowie in der WebOffice Anwendungskonfiguration kann ein Benutzer (Voraussetzung ist, dass er Mitglied im Windows Active Directory sowie Portal for ArcGIS ist und entsprechende Gruppenberechtigungen hat) das WebOffice Projekt aufrufen und ohne weitere Anmeldezwischenseiten erfolgreich verwenden und die vom Portalverbund gehosteten Services im WebOffice Projekt konsumieren.