Betrieb

Administrativer Zugriff

Um die Manager UI und die CLI des security.manager NEXT nutzen zu können, benötigen Sie administrative Rechte bei ArcGIS Enterprise (für föderierte ArcGIS Server). Weisen Sie einem Nutzer die Administrator-Rolle in ArcGIS Enterprise Portal zu, oder gewähren einer benutzerdefinierten Rolle die minimal notwendigen Rechte:

Version 10.8.1 und höher

Geben Sie der Rolle das administrative Recht Server.

Der Nutzer, der mit security.manager NEXT arbeitet, muss der neuen Rolle zugewiesen sein.

Es ist möglich, dass Informationen (z.B. verfügbare Layer) eines gesicherten Dienstes im Rechte Explorer der security.manager NEXT Manager UI nicht angezeigt werden können. Stattdessen wird ein Hinweis auf fehlende Administratorrechte angezeigt, obwohl die Rechte erst kürzlich gesetzt worden sind. Bitte warten Sie in diesem Fall ein paar Minuten, bis die aktuellen Rollen vom security.manager NEXT verarbeitet worden sind und versuchen Sie es dann erneut.

ArcGIS Server Speichereinstellungen

Mit der Aktivierung von security.manager NEXT für einen ArcGIS Server Service erhöht sich der Speicherbedarf des dazugehörigen SOC-Prozesses. Das Maß der Erhöhung hängt sowohl von der Größe der vom Dienst gelieferten Daten sowie von der Art der Zugriffsrechte ab, die für einen Dienst gesetzt sind. So benötigt der SOC-Prozess z.B. zusätzlich Speicher, wenn ein Zugriffsrecht räumliche Einschränkungen mit komplexen Geometrien definiert.

Um zu verhindern, dass bei der Bearbeitung von Dienstanfragen durch Speichermangel Fehler auftreten, prüfen die security.manager NEXT CLI sowie die Manager UI, wieviel Speicher einem Dienst zur Verfügung steht, wenn die security.manager NEXT SOI aktiviert wird. Handelt es sich bei einem Dienst um eine dedizierte Instanz, wird die Eigenschaft javaHeapSize des Dienstes geprüft. Im Falle einer geteilten Instanz wird hingegen die Eigenschaft javaHeapSize des DynamicMappingHost (im Dienste-Ordner System) geprüft, da diese die Speichergröße für die Instanzen des Instanzpools festlegt.

In beiden Fällen gilt: Ist der Parameter nicht definiert, wird er auf 256 MB gesetzt. Dies stellt sicher, dass die SOI genügend Speicher zur Verfügung hat. Sollte der Parameter javaHeapSize bereits mit einem (ggf. anderen) Wert festgelegt sein, wird dieser von security.manager NEXT nicht verändert, auch nicht wenn dieser niedriger als 256 MB ist.

Das Setzen von javaHeapSize auf einem Service oder Instanzpool überschreibt den Standardwert, der für eine ArcGIS Server-Maschine als SOC maximum heap size definiert ist. Dieser ist standardmäßig auf 64 MB festgelegt.

Beachten Sie, dass die Speichermenge, die tatsächlich von einem Dienst oder dem Instanzpools beansprucht werden kann, das Produkt von javaHeapSize und der jeweils möglichen Höchstzahl von Instanzen ist.

Offline-Editierung erlauben

Als Standard erlaubt security.manager NEXT keine Replikatoperationen auf geschützten Feature-Services. Diese Operationen werden verwendet, um lokale Kopien von Daten für die Offline-Nutzung zu erzeugen.

Um die Replikation von Feature-Layern zu erlauben, müssen Sie die SYNC-Eigenschaft des Feature-Servers aktivieren. Zudem muss die Nutzung von Replikatoperationen im security.manager NEXT aktiviert werden. Die Aktivierung erfolgt entweder

Einschränkungen der Replikatunterstützung

Bitte beachten Sie folgende Einschränkungen bei der Vergabe von Berechtigungen für synchronisierbare Feature-Layer:

  • Es sind immer die Berechtigungen maßgeblich, die zum Zeitpunkt des Erzeugens eines Replikats gelten.

  • Änderungen von Berechtigungen wirken sich beim Synchronisieren von Replikaten, die zum Zeitpunkt der Änderung bereits erzeugt wurden, nicht aus.

  • Sollte dies nicht gewünscht sein, sind bestehende Replikate vom Administrator zu löschen.

Für die Bearbeitung von Feature-Layern über ArcGIS Field Maps ist es notwendig, dass die bearbeitenden Nutzer Zugriff auf alle in der Webmap enthaltenen Layer besitzen. Legen Sie für unterschiedliche Nutzergruppen verschiedene Webmaps mit den Berechtigungen entsprechenden Layerzusammenstellungen an.

Wichtig:

  • Feldeinschränkungen werden bei Replikaten nicht unterstützt. Falls in der Berechtigung eine Feldeinschränkung definiert ist, wird die Erzeugung eines Replikats unterbunden.

  • Bei der Erstellung von Replikaten für Dienste, die über verknüpfte Daten in einer N-zu-M-Beziehung verfügen, ist zu beachten, dass verknüpfte Daten unabhängig von den für sie definierten Berechtigungen als Teil der Replica in ArcGIS Field Maps geladen werden. Somit ist es möglich, dass der Nutzer Objekte sehen und bearbeiten kann, für die er keine Berechtigungen besitzt. Im Zweifelsfall sollte auf N-zu-M-Beziehungen bei Diensten, die in ArcGIS Field Maps genutzt werden sollen, verzichtet werden.

Integrierte Windows Authentifizierung

Für den Betrieb in Umgebungen mit Integrierter Windows Authentifizierung (IWA) sind einige Besonderheiten bei der Konfiguration und Nutzung des security.manager NEXT zu beachten.

ArcGIS Enterprise URLs

Bei der Installation von security.manager NEXT müssen Sie in den application.properties URLs für den ArcGIS Server bzw. das ArcGIS Enterprise-Portal angeben. Verwenden Sie in einer Umgebung mit Integrierter Windows Authentifizierung immer die URLs des jeweiligen Web Adaptors, zum Beispiel https://gis.example.com/arcgis bzw. https://gis.example.com/portal. Geben Sie nicht die direkten URLs, die die Ports 6443 und 7443 bzw. 6080 und 7080 verwenden, an.

CORS Einstellungen

Sie müssen für die Microsoft Internet Information Services (IIS) das Cross Origin Request Sharing (CORS) aktivieren, wenn auf Ihre Umgebung folgendes zutrifft:

  1. Sie verwenden einen ArcGIS Server, der nicht mit einem Portal verbunden ist,
    und

  2. die Manager UI des security.manager NEXT ist nicht unter demselben Hostnamen wie der ArcGIS Server erreichbar.

In diesem Fall muss mit CORS sichergestellt werden, dass die Manager UI, die Sie im Browser zum Beispiel als https://security.example.com/secman-next aufrufen, mit dem ArcGIS Server Administrator Directory, z.B. https://gis.example.com/arcgis/admin, kommunizieren kann.

Um CORS in den IIS zu aktivieren, gehen Sie folgendermaßen vor:

  1. Installieren Sie das IIS CORS Modul , falls es noch nicht vorhanden ist.

  2. Ergänzen Sie in der Datei C:\inetpub\wwwroot\<webadaptor>\Web.config folgende Einstellung:

    <system.webServer>
    <cors enabled="true" failUnlistedOrigins="true">
      <add origin="[ORIGIN_OF_SECURITYMANAGER]"
            allowCredentials="true" >
      </add>
    </cors>
<system.webServer>

    Ersetzen Sie dabei [ORIGIN_OF_SECURITYMANAGER] mit der Basis-URL der Manager UI (ohne /secman-next). Ist die Manager UI zum Beispiel über https://security.example.com/secman-next erreichbar, verwenden Sie den Wert https://security.example.com.

Nutzung der CLI mit einem Verbundserver

Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am Portal anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl-Kommandos:

  1. Aktivieren Sie beim Ausführen aller Kommandos die Option --iwa.

  2. Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option -d (--server-url) angeben.

  3. Zur Ausführung aller Kommandos außer secmanctl login müssen Sie weiterhin ein Token angeben. Wenn Sie das Token mit secmanctl login erzeugen, aktivieren Sie die Option --iwa, und geben Sie keinen Nutzernamen und kein Passwort an.

Nutzung der CLI mit einem nicht verbundenen ArcGIS Server

Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am ArcGIS Server anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl-Kommandos:

  1. Aktivieren Sie beim Ausführen aller Kommandos die Option --iwa.

  2. Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option -d (--server-url) angeben.

  3. Sie müssen für die Ausführung der Kommandos kein Token angeben. Das heißt, dass sie das Kommando secmanctl login nicht verwenden müssen.