ArcGIS Enterprise-Portal

Mithilfe des con terra Technologies Identity Service kann map.apps die Authentifizierung von Personen an das ArcGIS Enterprise-Portal delegieren. Dies bedeutet, dass diese sich mit ihrem Portal-Account bei map.apps anmelden können. Ihre Portal-Gruppe und Portal-Rollen werden in Rollen für map.apps übersetzt.

Durch eine Verbindung mit ArcGIS Enterprise-Portal entstehen folgende Möglichkeiten:

Vergabe von Rollen für die Nutzung des map.apps Managers
Absicherung von Apps
Absicherung von Werkzeugen
Nutzung von nicht öffentlichen Inhalten wie Webkarten oder Layern ohne erneute Anmeldung (Single Sign-On)

Durch eine Verbindung mit ArcGIS Enterprise-Portal kommt es zu folgenden Einschränkungen:

Mit der Funktion "Export für native Apps" exportierte Apps unterstützen keine Authentifizierung. Apps mit anonymem Zugriff funktionieren weiterhin.

Verbindung zwischen map.apps und ArcGIS Enterprise-Portal herstellen

Die Verbindung von map.apps mit ArcGIS Enterprise-Portal erfolgt in zwei Schritten.

Schritt 1: Identity Service installieren und konfigurieren

In diesem Schritt installieren und konfigurieren Sie den Identity Service als separate Web Anwendung. Folgen Sie dazu diesen Schritten aus der Dokumentation des Identity Service:

Installieren Sie den Identity Service.
Verbinden Sie den Identity Service mit ArcGIS Enterprise-Portal.
Konfigurieren Sie map.apps als vertrauenswürdigen Dienst im Identity Service.
Konfigurieren Sie den Verbundserver als vertrauenswürdigen Dienst im Identity Service.

Schritt 2: map.apps konfigurieren

Um die Delegation der Anmeldung zu aktivieren, setzen Sie die folgenden Parameter in der globalen Konfiguration:

Beispiel-Konfiguration

security.mode=IDENTITY
security.login.base=https://www.example.com/identity
esri.api.arcgisPortalUrl=https://arcgis.example.com/portal

security.mode: Der Wert IDENTITY legt fest, dass die Authentifizierung über den Identity Service delegiert werden soll.
security.login.base: Basis URL des Identity Service.
esri.api.arcgisPortalUrl: URL auf das verwendete ArcGIS Enterprise-Portal. Der Wert muss mit der Konfiguration für security.oauth.provider.arcgis.url im Identity Service übereinstimmen.

App-Übersicht nur für angemeldete Personen erlauben

Um nur Personen mit einer gültigen Anmeldung den Zugriff auf die map.apps App-Übersicht (App Overview) zu erlauben, setzen Sie folgende Konfiguration:

# this is used to specify the protected resource paths (which require authentication before use)
# add '/,/*.html' to protect the index.html
security.application.protectedResources=/,/*.html

Apps konfigurieren

Um Apps für bestimmte Rollen freizugeben, wählen Sie diese Rollen in den Einstellungen im map.apps Manager aus.

Damit Profilinformationen der angemeldeten Person in einer App angezeigt werden, fügen Sie der App das Bundle authentication hinzu. Es stellt außerdem eine Funktion bereit, die es der angemeldeten Person erlaubt sich abzumelden.

Optional können Sie jede map.apps App über die Funktion App in ArcGIS registrieren des map.apps Manager im ArcGIS Enterprise-Portal registrieren. Dieser Schritt fügt die Bundles authentication und portal-app-security zur App hinzu und ergänzt die App-Konfiguration um notwendige Einträge im Abschnitt properties. Setzen Sie zusätzliche Freigabe-Einstellungen im ArcGIS Element, das dadurch in ArcGIS Enterprise-Portal angelegt wird, um festzulegen, wer auf die App zugreifen darf. Diese Freigabe-Einstellung wirken nur ergänzend zu den Freigabeeinstellungen einer App, die Sie im map.apps Manager vorgenommen haben.

Rollen-Zuordnung

map.apps gewährt Zugriff auf geschützte Ressourcen abhängig von Rollen, denen eine Personen zugeordnet ist. Auf den map.apps Manager können zum Beispiel nur Personen zugreifen, die der Rolle maAdmin zugeordnet sind. Zusätzlich können Sie die Verfügbarkeit von Apps oder Tools von bestimmten Rollen abhängig machen.

Die Zuordnung von Rollen zu Nutzern nimmt der Identity Service vor. Wenn Sie dort ArcGIS Enterprise-Portal als Identitätsanbieter konfigurieren, übersetzt der Identity Service die Rolle aus dem Portal-Account der angemeldeten Person in interne Rollen. Zusätzlich übersetzt der Identity Service die Portal-Gruppen, denen die Personen angehört, ebenso in Rollen. Lesen Sie unten, in welche Rollen der Identity Service Portal-Rollen und -Gruppen standardmäßig übersetzt.

Die Übersetzung von ArcGIS Enterprise-Portal Rollen und Gruppen zu internen Rollen können Sie bei Bedarf mit dem Konfigurationsparameter security.oauth.provider.arcgis.roles im Identity Service anpassen.

Portal-Rollen

Die Rolle, der eine Person im ArcGIS Enterprise-Portal zugeordnet ist, übersetzt der Identity Service standardmäßig in interne Rollennamen. Diese Rollennamen können Anwendungen wie map.apps, die mit dem Identity Service verbunden sind, für die Zugriffskontrolle nutzen.

Portal-Rolle Interne Rolle Beschreibung

Portal-Rolle	Interne Rolle	Beschreibung
`org_admin`	`maAdmin`	Personen mit Administrationsrechten in ArcGIS Enterprise-Portal erhalten durch die Übersetzung in die genannten internen Rollennamen ebenso Administrationsrechte in map.apps.
`org_publisher`	`maEditor`	Portal-Publisher erhalten Redaktionsrechte in map.apps.
`rolleX`	`rolleX`	Alle anderen Rollen werden ohne Änderung vom Portal übernommen.

org_admin

maAdmin

Personen mit Administrationsrechten in ArcGIS Enterprise-Portal erhalten durch die Übersetzung in die genannten internen Rollennamen ebenso Administrationsrechte in map.apps.

org_publisher

maEditor

Portal-Publisher erhalten Redaktionsrechte in map.apps.

rolleX

Alle anderen Rollen werden ohne Änderung vom Portal übernommen.

Portal-Gruppen

Die Gruppen, denen eine Person im Portal angehört, werden ebenfalls übersetzt. Da mehrere Personen Gruppen mit gleichem Titel anlegen können, wird eine Gruppe eindeutig in eine Rolle der Form <Titel>::<Besitzer> übersetzt.

Portal-Gruppe Interne Rolle

Portal-Gruppe	Interne Rolle
`Wald` (Owner: `user1`)	`Wald::user1`
`Wasser` (Owner: `user2`)	`Wasser::user2`

Wald (Owner: user1)

Wald::user1

Wasser (Owner: user2)

Wasser::user2