Betrieb

Administrativer Zugriff

Um die Manager UI und die CLI des security.manager NEXT nutzen zu können, benötigen Sie administrative Rechte bei ArcGIS Enterprise (für Verbundserver). Weisen Sie einem Nutzer die Administrator-Rolle in ArcGIS Enterprise Portal zu, oder gewähren einer benutzerdefinierten Rolle die minimal notwendigen Rechte:

Version 10.8.1 und höher: Geben Sie der Rolle das administrative Recht Server.

Der Nutzer, der mit security.manager NEXT arbeitet, muss der neuen Rolle zugewiesen sein.

Es ist möglich, dass Informationen (z.B. verfügbare Layer) eines gesicherten Dienstes im Rechte Explorer der security.manager NEXT Manager UI nicht angezeigt werden können. Stattdessen wird ein Hinweis auf fehlende Administratorrechte angezeigt, obwohl die Rechte erst kürzlich gesetzt worden sind. Bitte warten Sie in diesem Fall ein paar Minuten, bis die aktuellen Rollen vom security.manager NEXT verarbeitet worden sind und versuchen Sie es dann erneut.

ArcGIS Server Speichereinstellungen

Mit der Aktivierung von security.manager NEXT für einen ArcGIS Server Service erhöht sich der Speicherbedarf des dazugehörigen SOC-Prozesses. Das Maß der Erhöhung hängt sowohl von der Größe der vom Dienst gelieferten Daten sowie von der Art der Zugriffsrechte ab, die für einen Dienst gesetzt sind. So benötigt der SOC-Prozess z.B. zusätzlich Speicher, wenn ein Zugriffsrecht räumliche Einschränkungen mit komplexen Geometrien definiert.

Um zu verhindern, dass bei der Bearbeitung von Dienstanfragen durch Speichermangel Fehler auftreten, prüfen die security.manager NEXT CLI sowie die Manager UI, wieviel Speicher einem Dienst zur Verfügung steht, wenn die security.manager NEXT SOI aktiviert wird. Handelt es sich bei einem Dienst um eine dedizierte Instanz, wird die Eigenschaft javaHeapSize des Dienstes geprüft. Im Falle einer geteilten Instanz wird hingegen die Eigenschaft javaHeapSize des DynamicMappingHost (im Dienste-Ordner System) geprüft, da diese die Speichergröße für die Instanzen des Instanzpools festlegt.

In beiden Fällen gilt: Ist der Parameter nicht definiert, wird er auf 256 MB gesetzt. Dies stellt sicher, dass die SOI genügend Speicher zur Verfügung hat. Sollte der Parameter javaHeapSize bereits mit einem (ggf. anderen) Wert festgelegt sein, wird dieser von security.manager NEXT nicht verändert, auch nicht wenn dieser niedriger als 256 MB ist.

Das Setzen von javaHeapSize auf einem Service oder Instanzpool überschreibt den Standardwert, der für eine ArcGIS Server-Maschine als SOC maximum heap size definiert ist. Dieser ist standardmäßig auf 64 MB festgelegt.

Beachten Sie, dass die Speichermenge, die tatsächlich von einem Dienst oder dem Instanzpools beansprucht werden kann, das Produkt von javaHeapSize und der jeweils möglichen Höchstzahl von Instanzen ist.

Offline-Editierung erlauben

Als Standard erlaubt security.manager NEXT keine Replikatoperationen auf geschützten Feature-Services. Diese Operationen werden verwendet, um lokale Kopien von Daten für die Offline-Nutzung zu erzeugen.

Um die Replikation von Feature-Layern zu erlauben, müssen Sie die SYNC-Eigenschaft des Feature-Servers aktivieren. Zudem muss die Nutzung von Replikatoperationen im security.manager NEXT aktiviert werden. Die Aktivierung erfolgt entweder

durch das Setzen der Option soi.supportReplicas auf true in einer Konfigurationsdatei des Dienstes über das Kommandozeilenwerkzeug secmanctl, oder
über das Auswahlfeld Unterstützung von Replikaten aktivieren (Erweiterte Einstellungen) beim Aktivieren des security.manager für einen Dienst in der Manager UI.

Einschränkungen der Replikatunterstützung

Bitte beachten Sie folgende Einschränkungen bei der Vergabe von Berechtigungen für synchronisierbare Feature-Layer:

Es sind immer die Berechtigungen maßgeblich, die zum Zeitpunkt des Erzeugens eines Replikats gelten.
Wenn Sie die Berechtigungen nachträglich ändern, sollten Sie alle bestehenden Replikate löschen. So vermeiden Sie, dass ihr Datenbestand auf Basis nicht mehr geltender Rechte über Replikate verändert wird.
Wenn eine Berechtigung für einen Service einige Layer als nur lesbar und andere als editierbar markiert, so erfolgt die Datensynchronisation nur für die editierbaren Layer. Serverseitige Änderungen an nur lesbaren Layern werden nicht synchronisiert, wenn eine Replica erstellt wurde. Die Synchronisierung mit gemischten Berechtigungen auf einem Dienst (editierbar, nicht editierbar) ist nur möglich, wenn der Dienst die "Synchronisierung pro Layer" unterstützt.

Für die Bearbeitung von Feature-Layern über ArcGIS Field Maps ist es notwendig, dass die bearbeitenden Nutzer Zugriff auf alle in der Webkarte enthaltenen Layer besitzen. Legen Sie für unterschiedliche Nutzergruppen verschiedene Webkarten mit den Berechtigungen entsprechenden Layerzusammenstellungen an.

Im Voraus auf einer Webkarte im Portal for ArcGIS definierte Offline Kartenbereiche werden nicht unterstützt. Bereiche, welche offline genommen werden sollen, müssen direkt in der ArcGIS Field Maps App definiert werden.

Wichtig:

Feldeinschränkungen werden bei Replikaten nicht unterstützt. Falls in der Berechtigung eine Feldeinschränkung definiert ist, wird die Erzeugung eines Replikats unterbunden.
Bei der Erstellung von Replikaten für Dienste, die über verknüpfte Daten in einer N-zu-M-Beziehung verfügen, ist zu beachten, dass verknüpfte Daten unabhängig von den für sie definierten Berechtigungen als Teil der Replica in ArcGIS Field Maps geladen werden. Somit ist es möglich, dass der Nutzer Objekte sehen und bearbeiten kann, für die er keine Berechtigungen besitzt. Im Zweifelsfall sollte auf N-zu-M-Beziehungen bei Diensten, die in ArcGIS Field Maps genutzt werden sollen, verzichtet werden.

Integrierte Windows Authentifizierung

Für den Betrieb in Umgebungen mit Integrierter Windows Authentifizierung (IWA) sind einige Besonderheiten bei der Konfiguration und Nutzung des security.manager NEXT zu beachten.

ArcGIS Enterprise URLs

Bei der Installation von security.manager NEXT müssen Sie in den application.properties URLs für den ArcGIS Server bzw. das ArcGIS Enterprise-Portal angeben. Verwenden Sie in einer Umgebung mit Integrierter Windows Authentifizierung immer die URLs des jeweiligen Web Adaptors, zum Beispiel https://gis.example.com/arcgis bzw. https://gis.example.com/portal. Geben Sie nicht die direkten URLs, die die Ports 6443 und 7443 bzw. 6080 und 7080 verwenden, an.

CORS Einstellungen

Sie müssen für die Microsoft Internet Information Services (IIS) das Cross Origin Request Sharing (CORS) aktivieren, wenn auf Ihre Umgebung folgendes zutrifft:

Sie verwenden einen ArcGIS Server, der nicht mit einem Portal verbunden ist,
und
die Manager UI des security.manager NEXT ist nicht unter demselben Hostnamen wie der ArcGIS Server erreichbar.

In diesem Fall muss mit CORS sichergestellt werden, dass die Manager UI, die Sie im Browser zum Beispiel als https://security.example.com/secman-next aufrufen, mit dem ArcGIS Server Administrator Directory, z.B. https://gis.example.com/arcgis/admin, kommunizieren kann.

Um CORS in den IIS zu aktivieren, gehen Sie folgendermaßen vor:

Installieren Sie das IIS CORS Modul , falls es noch nicht vorhanden ist.
Ergänzen Sie in der Datei C:\inetpub\wwwroot\<webadaptor>\Web.config folgende Einstellung:
```
<system.webServer>
    <cors enabled="true" failUnlistedOrigins="true">
      <add origin="[ORIGIN_OF_SECURITYMANAGER]"
            allowCredentials="true" >
      </add>
    </cors>
<system.webServer>
```
Ersetzen Sie dabei [ORIGIN_OF_SECURITYMANAGER] mit der Basis-URL der Manager UI (ohne /secman-next). Ist die Manager UI zum Beispiel über https://security.example.com/secman-next erreichbar, verwenden Sie den Wert https://security.example.com.

Nutzung der CLI mit einem Verbundserver

Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am Portal anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl-Kommandos:

Aktivieren Sie beim Ausführen aller Kommandos die Option --iwa.
Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option -d (--server-url) angeben.
Zur Ausführung aller Kommandos außer secmanctl login müssen Sie weiterhin ein Token angeben. Wenn Sie das Token mit secmanctl login erzeugen, aktivieren Sie die Option --iwa, und geben Sie keinen Nutzernamen und kein Passwort an.

Nutzung der CLI mit einem nicht verbundenen ArcGIS Server

Wenn Sie security.manager NEXT CLI von einem Rechner aus verwenden, auf dem Sie sich per IWA am ArcGIS Server anmelden können, beachten Sie folgende Besonderheiten bei der Verwendung der secmanctl-Kommandos:

Aktivieren Sie beim Ausführen aller Kommandos die Option --iwa.
Verwenden Sie immer die Web Adaptor URL, wenn Sie eine ArcGIS Server URL für die Option -d (--server-url) angeben.
Sie müssen für die Ausführung der Kommandos kein Token angeben. Das heißt, dass sie das Kommando secmanctl login nicht verwenden müssen.

Upgrade von ArcGIS Enterprise 10.x auf 11.x

Dieser Abschnitt beschreibt, wie man mit dem Versionswechsel von ArcGIS Enterprise 10.x auf 11.x umgeht.

Es gibt keine SOI, die gleichzeitig ArcGIS 10 und ArcGIS 11 unterstützt. Daher müssen Sie die security.manager NEXT SOI zusammen mit ArcGIS Enterprise aktualisieren, was im Folgenden beschrieben wird.

Wenn Sie stattdessen ArcGIS Enterprise 11 auf einem separaten Server installieren, können Sie die bestehenden Zugriffsrechte Ihrer ArcGIS Enterprise 10 Installation sichern und auf der neuen ArcGIS Enterprise 11 Installation mit dem security.manager NEXT CLI wiederherstellen.

Direktes Upgrade

Das Upgrade des security.manager NEXT parallel zu dem von ArcGIS Enterprise von 10.x auf 11.x betrifft insbesondere die SOI. Bitte führen Sie das security.manager NEXT Upgrade nach dem ArcGIS Enterprise Upgrade durch. Alle Dienste mit aktiviertem security.manager werden nach dem ArcGIS- und vor dem SOI-Update vorübergehend nicht starten können.

Sichern Sie bestehende Zugriffsrechte auf der ArcGIS Enterprise 10-Installation, damit Sie diese im Falle eines Verlustes von Zugriffsrechten während des Upgrade-Prozesses wiederherstellen können.
Führen Sie das ArcGIS Enterprise Upgrade von 10.x auf 11.x durch.
Infolgedessen werden alle Dienste mit aktiviertem security.manager gestoppt. Diese Dienste können nicht gestartet werden, bevor die SOI aktualisiert wurde.
Melden Sie sich am ArcGIS Server Manager an und navigieren Sie zum Bereich Site. Öffnen Sie den Bereich Erweiterungen.
Löschen Sie die installierte SOE-Datei für ArcMap (Dateiname: ct-security-soi-arcmap.soe) über die Aktion Löschen.
Diese ist obsolet, da es in ArcGIS 11.x keine ArcMap Runtime mehr gibt.
Bitte beachten Sie, dass das Löschen der falschen SOE-Datei zum Verlust von Policies führt.
Führen Sie ein Upgrade der installierten SOE-Datei für ArcGIS Pro über die Aktion Erweiterung bearbeiten durch.
Überprüfen Sie, ob die in der Spalte Anzeigename angezeigte Version der aktualisierten Erweiterung die Version 1.7.0 enthält.
Melden Sie sich bei der security.manager NEXT Manager UI an und überprüfen Sie, ob security.manager für alle gewünschten Dienste im Service Manager aktiviert ist, was durch das Symbol angezeigt wird. Sie sollten auch überprüfen, ob Ihre Zugriffsrechte noch vorhanden sind, indem Sie auf → Berechtigungen bearbeiten für diese Dienste klicken. Falls nicht, können Sie sie mit dem Backup wiederherstellen.
Starten Sie alle gewünschten Dienste im ArcGIS Server Manager.