Limitierungen

Einige Funktionen unterschiedlicher Dienstetypen werden durch den security.manager NEXT nicht vollumfänglich unterstützt. Dies ist abhängig vom Diensttyp und/oder vom eingesetzten Berechtigungstyp. Dies umfasst Layerzugriff, Objekteinschränkungen, Feldeinschränkungen und räumliche Einschränkungen. Alle bekannten Limitierungen bei der Verwendung von security.manager NEXT mit den verschiedenen Dienstetypen werden hier aufgelistet.

Allgemeine Limitierungen

  • Gehostete Services werden nicht unterstützt.

  • Gekachelte (tiled) Services werden nicht unterstützt.

  • OGC API Features Services werden nicht unterstützt.

  • Es werden nur die REST-Schnittstellen unterstützt, die SOAP-Schnittstellen werden geblockt.

  • Der Zugriff auf die Miniaturansicht eines Dienstes über /info/thumbnail kann mithilfe des security.manager NEXT nicht eingeschränkt werden. Die Miniaturansicht, die z.B. in der Galerie von ArcGIS Enterprise-Portal standardmäßig für einen Dienst angezeigt wird, könnte aber sensible Informationen preisgeben. Ersetzen Sie in diesem Fall die Miniaturansicht durch ein neutrales Bild, bevor Sie den Dienst veröffentlichen. Anweisung dazu, wie Sie die Miniaturansicht erstellen, finden Sie in der offiziellen Produktdokumentation von Esri ArcGIS Pro.

  • Anfragen werden abgelehnt, wenn sie WKT2-Strings zur Definition von Raumbezugssystemen verwenden.

  • Wird eine räumliche Einschränkung verwendet, kann es zu Fehlern beim Paging von Diensten in ArcGIS Enterprise kommen (Esri Case 03700042). Dies kann in der Folge zu einem Fehler in ArcGIS Pro führen, wenn die Attribute-Tabelle geöffnet wird (Esri Case 03700077).

Die meisten der unten genannten Limitierungen können für bestimmte Nutzerrollen aufgehoben werden, indem für diese ein Vollzugriff gewährt wird und auf die Nutzung von Einschränkungen verzichtet wird.

Kartendienste

  • Der Zugriff auf Kacheln von gecachten Kartendiensten kann per SOI nicht beeinflusst werden und unterliegt daher keinen Einschränkungen.

  • Anfragen, die Dynamic Layers definieren

    • Berechtigungen wie Layerzugriff, Objekteinschränkungen, Feldeinschränkungen und räumliche Einschränkungen werden nur für Dynamic Map Layers durchgesetzt.

    • Der Zugriff auf Dynamic Data Layers wird immer verweigert.

  • Feldeinschränkungen

    • HTML-Popup-Anfragen werden geblockt.

    • Ein Dienst kann mit Regeln für Beschriftungen oder Symbolisierungen von Objekten veröffentlicht worden sein, die Referenzen auf Felder enthalten, die mit einer Feldeinschränkung vor dem Client versteckt werden sollen. In diesem Fall offenbart der Dienst weiterhin Informationen über die Existenz oder Werte von Feldern in Legenden, Beschriftungen oder die Symbolisierungen von Objekten.

    • Feldeinschränkungen für die reservierten Feldnamen FID, AREA, LEN, POINTS, NUMOFPTS, ENTITY, EMINX, EMINY, EMAXX, EMAXY, EMINZ, EMAXZ, MIN_MEASURE und MAX_MEASURE werden nicht unterstützt, wenn diese als voll-qualifizierte Namen mehrfach in einem Layer vorkommen.
      Falls z.B. ein Layer die Felder egdb.sde.cities.AREA und egdb.sde.countries.AREA enthält, werden Feldeinschränkungen weder für egdb.sde.cities.AREA noch für egdb.sde.countries.AREA unterstützt.

  • Räumliche Einschränkungen

    • Räumliche Einschränkungen sind nicht möglich, wenn an einem Kartenservice-Layer, der Curve-Geometrien enthält, eine Anfrage mit der Option returnTrueCurves=true gestellt wird

    • queryRelatedRecords-Anfragen sind nicht möglich, wenn für den Kartenservice eine räumliche Einschränkung definiert wurde

    • Abfragen (Query) mit dem Parameter spatialRel=esriSpatialRelRelation werden für räumliche Einschränkungen nicht unterstützt.

  • Abfrage-Layer: Abfrage-Layer, die mit Hilfe von ArcGIS Pro veröffentlicht wurden, werden nicht unterstützt und sollten nicht über security.manager NEXT geschützt oder zugänglich gemacht werden. Dies betrifft die folgenden Parameter der Operationen export, identify, find und query:

    • mapRangeValues

    • layerRangeValues

    • layerParameterValues

    • rangeValues

    • parameterValues

  • Die Operation <layerID>/query unterstützt Abfragen, die den Parameter lod verwenden, nicht. Dieser kommt beim Feature-Binning zum Einsatz.

Feature-Service

  • Die Operationen createReplica und synchronizeReplica werden nur eingeschränkt unterstützt. Mit der aktuellen Unterstützung wird sichergestellt, dass Daten mit den ArcGIS Field Maps synchronisiert werden können.

    • Für eine detaillierte Beschreibung der damit verbundenen Einschränkungen, siehe Betrieb.

    • Die einseitige Synchronisation von Feature-Service zu Feature-Service ist ebenfalls nicht unterstützt.

  • Hinzufügen, Ändern und Löschen von Feature Attachments über ArcMap ist nicht möglich.

  • Geteilte Editiervorlagen (shared templates) werden nicht unterstützt.

  • Dateiuploads zu /FeatureServer/uploads/upload können nicht mithilfe von security.manager NEXT verhindert werden. Alle Benutzer mit Zugriff auf den Feature-Service können grundsätzlich Dateien hochladen, unabhängig der gesetzten Zugriffsrechte.

  • Feldeinschränkungen:

    • Ein Dienst kann mit Regeln für Beschriftungen oder Symbolisierungen von Objekten veröffentlicht worden sein, die Referenzen auf Felder enthalten, die mit einer Feldeinschränkung vor dem Client versteckt werden sollen. In diesem Fall offenbart der Dienst weiterhin Informationen über die Existenz oder Werte von Feldern in Legenden, Beschriftungen oder die Symbolisierungen von Objekten.

    • Die asynchrone Ausführung der applyEdits Operation wird nicht unterstützt, wenn eine Feldeinschränkung vorliegt. Entsprechende Dienstanfragen, für die eine Feldeinschränkung Anwendung finden würde, werden geblockt.

    • Die Erzeugung von Replikaten wird unterbunden, wenn Feldeinschränkungen vorhanden sind.

    • Feldeinschränkungen für die reservierten Feldnamen FID, AREA, LEN, POINTS, NUMOFPTS, ENTITY, EMINX, EMINY, EMAXX, EMAXY, EMINZ, EMAXZ, MIN_MEASURE und MAX_MEASURE werden nicht korrekt durchgesetzt, wenn diese als voll-qualifizierte Namen mehrfach in einem Layer vorkommen.
      Falls z.B. ein Layer die Felder egdb.sde.cities.AREA und egdb.sde.countries.AREA enthält, werden Feldeinschränkungen weder für egdb.sde.cities.AREA noch für egdb.sde.countries.AREA korrekt durchgesetzt.

  • Räumliche Einschränkungen:

    • Abfragen (Query) mit dem Parameter spatialRel=esriSpatialRelRelation werden für räumliche Einschränkungen nicht unterstützt.

  • Die Operation applyEdits wird nicht unterstützt, wenn der Parameter editsUploadId verwendet wird.

  • Die Operation <layerID>/query unterstützt Abfragen, die den Parameter lod verwenden, nicht. Dieser kommt beim Feature-Binning zum Einsatz.

  • Nicht unterstützte Operationen:

    • extractChanges

    • getEstimates

    • queryAnalytic

    • queryContingentValues, dadurch können Clients die Regeln von Gruppenwerten (contingent values) nicht umsetzen.

    • queryDataElements

  • Nicht unterstützte Layer-Typen:

    • Catalog Layer

    • Topology-Layer, die mit einem Feature Layer veröffentlicht wurden

    • Trace Network Layers die mit einem Feature Layer veröffentlicht wurden

    • Utility Network Layers können nicht durch die SOI abgesichert werden und werden wie reguläre Feature-Service behandelt, da ArcGIS Pro keine Services mit Utility Network Layers unterstützt, bei denen die Option disableCaching auf true gesetzt ist.

    • Validation-Layer. Diese werden in den Dienste-Metadaten als "validationSystemLayers" aufgelistet

Version Management Service

  • Operationen, welche mit dem Parameter async=true asynchron ausgeführt werden, sind nicht unterstützt.

  • Benutzer können möglicherweise bestimmte Konflikte nicht lösen, Änderungen nicht zurückschreiben oder Änderungen in Verzweigungsversionen nicht sehen, weil sie keine Berechtigung dazu haben. Dies ist der Fall, wenn eingeschränkte Layer, Features oder Attribute von den Änderungen betroffen sind. Benutzer mit einer höheren Berechtigung können diese Probleme beheben.

  • Wenn Sie Änderungen in die Default-Version zurückschreiben, führt security.manager NEXT aus Sicherheitsgründen einen automatischen Abgleichvorgang durch. Das bedeutet, dass Änderungen, die in der Default-Version vorgenommen wurden, sofort nach dem Zurückschreiben auch in der aktuellen Verzweigungsversion sichtbar sind. Dies weicht vom Standardverhalten von ArcGIS Server ab.

  • Die Operation /differences unterstützt nicht den Parameter fromMoment.

  • Die Operationen /purgeLock und /locks werden nicht unterstützt.

  • Die Operation /diagnostics/verify und der Endpunkt diagnostics werden nicht unterstützt.

Web Map Services (WMS)

  • Die Rückgabewerte der Operationen GetLegendGraphic und GetStyles lassen sich nicht einschränken.

  • Für GetFeatureInfo Anfragen können keine Einschränkungen vom Typ field durchgesetzt werden. Entsprechende Anfragen werden abgelehnt.

  • Bei der Verwendung von Gruppen-Layern können nur Sub-Layer eingeschränkt werden. Das Capabilities Dokument listet Eltern-Layer auch dann auf, wenn entweder der direkte Zugriff auf sie verboten oder der Zugriff auf alle Sub-Layer verboten wurde.

  • Gekachelte Web Map Services (WMTS) werden nicht unterstützt.

  • Die Operation queryAnalytic wird nicht unterstützt.

OGC API Features services

  • Zugriffe auf die Daten von OGC API Features Diensten z.B. über /OGCFeatureServer/collections/0/items, werden blockiert.

    Durch eine Einschränkung von ArcGIS Enterprise ist es nicht möglich, Metadaten-Anfragen wie /OGCFeatureServer/collections oder /OGCFeatureServer/collections/0 zu blockieren, weshalb hierüber Layerinformationen zu nicht autorisierten Layern preisgegeben werden können. Darum deaktivieren Sie die OGC API Features, wenn für den Dienst der security.manager NEXT aktiviert ist.