Betrieb
Administrativer Zugriff
Um die Manager UI und die CLI des security.manager NEXT nutzen zu können, benötigen Sie administrative Rechte bei ArcGIS Enterprise (für Verbundserver). Weisen Sie einem Nutzer die Administrator-Rolle in ArcGIS Enterprise Portal zu, oder gewähren einer benutzerdefinierten Rolle die minimal notwendigen Rechte:
- Version 10.8.1 und höher
-
Geben Sie der Rolle das administrative Recht Server.
Der Nutzer, der mit security.manager NEXT arbeitet, muss der neuen Rolle zugewiesen sein.
Es ist möglich, dass Informationen (z.B. verfügbare Layer) eines gesicherten Dienstes im Rechte Explorer der security.manager NEXT Manager UI nicht angezeigt werden können. Stattdessen wird ein Hinweis auf fehlende Administratorrechte angezeigt, obwohl die Rechte erst kürzlich gesetzt worden sind. Bitte warten Sie in diesem Fall ein paar Minuten, bis die aktuellen Rollen vom security.manager NEXT verarbeitet worden sind und versuchen Sie es dann erneut. |
ArcGIS Server Speichereinstellungen
Mit der Aktivierung von security.manager NEXT für einen ArcGIS Server Service erhöht sich der Speicherbedarf des dazugehörigen SOC-Prozesses. Das Maß der Erhöhung hängt sowohl von der Größe der vom Dienst gelieferten Daten sowie von der Art der Zugriffsrechte ab, die für einen Dienst gesetzt sind. So benötigt der SOC-Prozess z.B. zusätzlich Speicher, wenn ein Zugriffsrecht räumliche Einschränkungen mit komplexen Geometrien definiert.
Um zu verhindern, dass bei der Bearbeitung von Dienstanfragen durch Speichermangel Fehler auftreten, prüfen die security.manager NEXT CLI sowie die Manager UI, wieviel Speicher einem Dienst zur Verfügung steht, wenn die security.manager NEXT SOI aktiviert wird.
Handelt es sich bei einem Dienst um eine dedizierte Instanz, wird die Eigenschaft javaHeapSize
des Dienstes geprüft.
Im Falle einer geteilten Instanz wird hingegen die Eigenschaft javaHeapSize
des DynamicMappingHost
(im Dienste-Ordner System
) geprüft, da diese die Speichergröße für die Instanzen des Instanzpools festlegt.
In beiden Fällen gilt: Ist der Parameter nicht definiert, wird er auf 256 MB gesetzt.
Dies stellt sicher, dass die SOI genügend Speicher zur Verfügung hat.
Sollte der Parameter javaHeapSize
bereits mit einem (ggf. anderen) Wert festgelegt sein, wird dieser von security.manager NEXT nicht verändert, auch nicht wenn dieser niedriger als 256 MB ist.
Das Setzen von javaHeapSize
auf einem Service oder Instanzpool überschreibt den Standardwert, der für eine ArcGIS Server-Maschine als SOC maximum heap size definiert ist.
Dieser ist standardmäßig auf 64 MB festgelegt.
Beachten Sie, dass die Speichermenge, die tatsächlich von einem Dienst oder dem Instanzpools beansprucht werden kann, das Produkt von javaHeapSize
und der jeweils möglichen Höchstzahl von Instanzen ist.
Offline-Editierung erlauben
Als Standard erlaubt security.manager NEXT keine Replikatoperationen auf geschützten Feature-Services. Diese Operationen werden verwendet, um lokale Kopien von Daten für die Offline-Nutzung zu erzeugen.
Um die Replikation von Feature-Layern zu erlauben, müssen Sie die SYNC-Eigenschaft des Feature-Servers aktivieren. Zudem muss die Nutzung von Replikatoperationen im security.manager NEXT aktiviert werden. Die Aktivierung erfolgt entweder
-
durch das Setzen der Option
soi.supportReplicas
auftrue
in einer Konfigurationsdatei des Dienstes über das Kommandozeilenwerkzeugsecmanctl
, oder -
über das Auswahlfeld Unterstützung von Replikaten aktivieren (Erweiterte Einstellungen) beim Aktivieren des security.manager für einen Dienst in der Manager UI.
Einschränkungen der Replikatunterstützung
Bitte beachten Sie folgende Einschränkungen bei der Vergabe von Berechtigungen für synchronisierbare Feature-Layer:
Für die Bearbeitung von Feature-Layern über ArcGIS Field Maps ist es notwendig, dass die bearbeitenden Nutzer Zugriff auf alle in der Webmap enthaltenen Layer besitzen. Legen Sie für unterschiedliche Nutzergruppen verschiedene Webmaps mit den Berechtigungen entsprechenden Layerzusammenstellungen an. Wichtig:
|
Integrierte Windows Authentifizierung
Für den Betrieb in Umgebungen mit Integrierter Windows Authentifizierung (IWA) sind einige Besonderheiten bei der Konfiguration und Nutzung des security.manager NEXT zu beachten.
ArcGIS Enterprise URLs
Bei der Installation von security.manager NEXT müssen Sie in den application.properties
URLs für den ArcGIS Server bzw. das ArcGIS Enterprise-Portal angeben.
Verwenden Sie in einer Umgebung mit Integrierter Windows Authentifizierung immer die URLs des jeweiligen Web Adaptors, zum Beispiel https://gis.example.com/arcgis
bzw. https://gis.example.com/portal
.
Geben Sie nicht die direkten URLs, die die Ports 6443 und 7443 bzw. 6080 und 7080 verwenden, an.
CORS Einstellungen
Sie müssen für die Microsoft Internet Information Services (IIS) das Cross Origin Request Sharing (CORS) aktivieren, wenn auf Ihre Umgebung folgendes zutrifft:
-
Sie verwenden einen ArcGIS Server, der nicht mit einem Portal verbunden ist,
und -
die Manager UI des security.manager NEXT ist nicht unter demselben Hostnamen wie der ArcGIS Server erreichbar.
In diesem Fall muss mit CORS sichergestellt werden, dass die Manager UI, die Sie im Browser zum Beispiel als https://security.example.com/secman-next
aufrufen, mit dem ArcGIS Server Administrator Directory, z.B. https://gis.example.com/arcgis/admin
, kommunizieren kann.
Um CORS in den IIS zu aktivieren, gehen Sie folgendermaßen vor:
-
Installieren Sie das IIS CORS Modul , falls es noch nicht vorhanden ist.
-
Ergänzen Sie in der Datei
C:\inetpub\wwwroot\<webadaptor>\Web.config
folgende Einstellung:<system.webServer> <cors enabled="true" failUnlistedOrigins="true"> <add origin="[ORIGIN_OF_SECURITYMANAGER]" allowCredentials="true" > </add> </cors> <system.webServer>
Ersetzen Sie dabei
[ORIGIN_OF_SECURITYMANAGER]
mit der Basis-URL der Manager UI (ohne/secman-next
). Ist die Manager UI zum Beispiel überhttps://security.example.com/secman-next
erreichbar, verwenden Sie den Werthttps://security.example.com
.
Nutzung der CLI mit einem Verbundserver
Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am Portal anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl
-Kommandos:
-
Aktivieren Sie beim Ausführen aller Kommandos die Option
--iwa
. -
Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option
-d
(--server-url
) angeben. -
Zur Ausführung aller Kommandos außer
secmanctl login
müssen Sie weiterhin ein Token angeben. Wenn Sie das Token mitsecmanctl login
erzeugen, aktivieren Sie die Option--iwa
, und geben Sie keinen Nutzernamen und kein Passwort an.
Nutzung der CLI mit einem nicht verbundenen ArcGIS Server
Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am ArcGIS Server anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl
-Kommandos:
-
Aktivieren Sie beim Ausführen aller Kommandos die Option
--iwa
. -
Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option
-d
(--server-url
) angeben. -
Sie müssen für die Ausführung der Kommandos kein Token angeben. Das heißt, dass sie das Kommando
secmanctl login
nicht verwenden müssen.