Arbeiten mit Gruppen

In diesem Tutorial lernen Sie, Zugriffsrechte für zwei verschiedene ArcGIS Portal-Gruppen zu definieren. ArcGIS Portal-Gruppen ermöglichen es Ihnen, Benutzer zu organisieren und Berechtigungen für eine ausgewählte Gruppe von Benutzern zuzuweisen.

Dieses Tutorial wurde für ArcGIS Enterprise 11.5 im Dezember 2025 getestet.

Voraussetzungen

Überprüfen Sie die Voraussetzungen für dieses Tutorial:

  • security.manager NEXT ist installiert.

  • Sie können fünf Benutzerkonten verwenden:

    • Ein Administrator-Benutzerkonto zur Verwaltung von security.manager und Portal.

    • 4 Nicht-Administrator-Benutzerkonten zum Testen des Zugriffs:

      • Alex ist in groupX

      • Bob ist in groupY

      • Charlie ist in sowohl groupX als auch groupY

      • Dana ist weder in groupX noch in groupY

  • Sie können den Service SampleWorldCities für dieses Tutorial verwenden. So können Sie den Zugriff auf den Service einschränken.

Dieses Tutorial basiert auf den Tutorials von Einfache Zugriffsrechte, wo Sie authentifizierten Benutzern Zugriff auf Städte mit einer Mindestbevölkerung von 1.000.000 des Cities (0) Layers für den Service SampleWorldCities gewährt und den Zugriff auf alle Felder außer POP_CLASS und POP_RANK eingeschränkt haben. Der Service ist mit der Organisation geteilt. Sie können dieses Tutorial separat durchführen, bedenken Sie aber, dass Ihre Zugriffsrecht-Datei anders aussehen könnte.

Gruppenbasierten Zugriff festlegen

Weisen Sie zuerst groupX anstelle von enhancedSecurity_authenticated dem Zugriffsrecht des Tutorials Grundlegende Zugriffsrechte zu.

Die Gruppen-ID ermitteln

Um groupX dem Zugriffsrecht zuzuweisen, benötigen Sie die ID der ArcGIS Portal-Gruppe.

  1. Melden Sie sich bei ArcGIS Portal mit dem Administrator-Konto an.

  2. Klicken Sie auf Groups und wählen Sie groupX.

  3. Kopieren Sie die ID aus der URL.

Die Rolle ersetzen

  1. Melden Sie sich bei security.manager Manager UI mit dem Administrator-Login an.

  2. Gehen Sie zum SampleWorldCities Service und klicken Sie auf secman three dot menu menu, dann wählen Sie Edit permissions.

  3. Sie sollten das bestehende Zugriffsrecht vom einfachen Zugriffsrecht Tutorial sehen.

    Erweitern für das Zugriffsrecht der einfachen Zugriffsrecht-Tutorials 
    {
    "restrictions": {
        "population":{
            "type": "feature",
            "query": "pop >= 1000000"
        },
        "USA":{
            "type": "spatial",
            "featuretypeurl": "https://services.conterra.de/server/rest/services/security_demos/World_Countries/FeatureServer/0",
            "featurequery": "NAME = 'United States'",
            "imageoperation": "arcgis-clipping"
        },
        "reduced_fields":{
            "type": "field",
            "hiddenfields": [
                "POP_CLASS",
                "POP_RANK"
            ]
        }
    },
    "policies": [{
        "layers": [
            "0"
        ],
        "roles": ["enhancedSecurity_authenticated"],
        "restrictions": ["population", "USA", "reduced_fields"]
    }]
}

  4. Im policies Array können Sie sehen, dass ein Zugriffsrecht der vordefinierten Rolle enhancedSecurity_authenticated zugewiesen ist.

  5. Ersetzen Sie enhancedSecurity_authenticated mit der ID von groupX.

    Angenommen, die ID ist 0123456789abcdef0123456789abcdef, sieht Ihr Zugriffsrecht so aus:

    {
    "restrictions": {
        "population":{
            "type": "feature",
            "query": "pop >= 1000000"
        },
        "USA":{
            "type": "spatial",
            "featuretypeurl": "https://services.conterra.de/server/rest/services/security_demos/World_Countries/FeatureServer/0",
            "featurequery": "NAME = 'United States'",
            "imageoperation": "arcgis-clipping"
        },
        "reduced_fields":{
            "type": "field",
            "hiddenfields": [
                "POP_CLASS",
                "POP_RANK"
            ]
        }
    },
    "policies": [{
        "layers": [
            "0"
        ],
        "roles": ["0123456789abcdef0123456789abcdef"],
        "restrictions": ["population", "USA", "reduced_fields"]
    }]
}

  6. Klicken Sie Änderungen speichern und neu starten, um das modifizierte Zugriffsrecht anzuwenden.

Eigenschaften für Gruppennamen verwenden

Die direkte Verwendung der ID im Zugriffsrecht ist schwer lesbar, da Sie nicht wissen, welche Gruppe die ID 0123456789abcdef0123456789abcdef hat. Sie können stattdessen eine Eigenschaft für die ID verwenden. Dies wird Sie beim Aktualisieren von IDs oder Zugriffsrechten später unterstützen.

Falls Sie verschiedene Umgebungen für Testen, Staging und Produktion haben, können sich Gruppen-IDs unterscheiden. Die Verwendung von Eigenschaften wird Sie beim Teilen der Zugriffsrechte zwischen diesen Umgebungen unterstützen.

Eigenschaften ermöglichen es Ihnen, Variablen zu definieren, die in Ihrem gesamten Zugriffsrecht referenziert werden können, wodurch es lesbarer und wartbarer wird.

Fügen Sie eine Eigenschaft zu dem Zugriffsrecht des vorherigen Tutorials hinzu.

  1. Öffnen Sie den Berechtigungseditor in der security.manager NEXT Manager UI.

  2. Fügen Sie eine neue Zeile vor "restrictions" hinzu.

  3. Drücken Sie Ctrl+Space und wählen Sie properties > new property.

    Jetzt haben Sie ein properties-Objekt mit einem Platzhalter für eine Eigenschaft erstellt.

    {
    "properties": { (1)
        "key": "value" (2)
    },
    "restrictions": {
        "population":{
            "type": "feature",
            "query": "pop >= 1000000"
        },
        "USA":{
            "type": "spatial",
            "featuretypeurl": "https://services.conterra.de/server/rest/services/security_demos/World_Countries/FeatureServer/0",
            "featurequery": "NAME = 'United States'",
            "imageoperation": "arcgis-clipping"
        },
        "reduced_fields":{
            "type": "field",
            "hiddenfields": [
                "POP_CLASS",
                "POP_RANK"
            ]
        }
    },
    "policies": [{
        "layers": [
            "0"
        ],
        "roles": ["0123456789abcdef0123456789abcdef"],
        "restrictions": ["population", "USA", "reduced_fields"]
    }]
}
    1 Das properties-Objekt, wo Sie alle Eigenschaften definieren können.
    2 Ein Platzhalter für eine Eigenschaft. Der key ist der lesbare Name, der eindeutig sein muss, der value kann die Gruppen-ID sein.

  4. Ersetzen Sie key mit groupX und value mit der Gruppen-ID, um die Eigenschaft zu konfigurieren.

  5. Ersetzen Sie die ID im roles Array mit ${groupX}.
    ${groupX} wird verwendet, um die Eigenschaft zu referenzieren.

    Das Zugriffsrecht sollte nun so aussehen:

    {
    "properties": {
        "groupX": "0123456789abcdef0123456789abcdef"
    },
    "restrictions": {
        "population":{
            "type": "feature",
            "query": "pop >= 1000000"
        },
        "USA":{
            "type": "spatial",
            "featuretypeurl": "https://services.conterra.de/server/rest/services/security_demos/World_Countries/FeatureServer/0",
            "featurequery": "NAME = 'United States'",
            "imageoperation": "arcgis-clipping"
        },
        "reduced_fields":{
            "type": "field",
            "hiddenfields": [
                "POP_CLASS",
                "POP_RANK"
            ]
        }
    },
    "policies": [{
        "layers": [
            "0"
        ],
        "roles": ["${groupX}"],
        "restrictions": ["population", "USA", "reduced_fields"]
    }]
}

  6. Klicken Sie Änderungen speichern und neu starten.

Falls Sie oder Ihr Kollege die Berechtigungen später öffnen, können Sie leicht verstehen, dass das Zugriffsrecht der Gruppe groupX zugewiesen ist.

Eine Berechtigung für eine zweite Gruppe hinzufügen

Erstellen Sie nun ein Zugriffsrecht für groupY, das Zugriff auf

  • den Cities (0) Layer für alle Städte, die mit S beginnen, ermöglicht.

  • den Continent (1) Layer.

Eigenschaft groupY hinzufügen

Fügen Sie zuerst eine Eigenschaft für groupY hinzu.

  1. Kopieren Sie die ID von groupY im ArcGIS Portal.

  2. Öffnen Sie den Berechtigungseditor in der security.manager NEXT Manager UI.

  3. Fügen Sie ein Komma und eine neue Zeile nach der Eigenschaft groupX im properties Objekt hinzu.

  4. Erstellen Sie eine Eigenschaft groupY mit der ID als Wert.

    Jetzt beginnt Ihr Zugriffsrecht mit einem properties-Objekt mit 2 Elementen.

    {
    "properties": {
        "groupX": "0123456789abcdef0123456789abcdef",
        "groupY": "abcdef0123456789abcdef0123456789"
    },
    "restrictions": {
        "population":{
          ...

Eine Einschränkung definieren

Fügen Sie eine Objekteinschränkung hinzu, um alle Städte zu filtern, die mit S beginnen.

  1. Vor der population Einschränkung fügen Sie eine neue Zeile hinzu.

  2. Geben Sie "cities_starting_with_s": ein und wählen Sie Feature restriction, um die Vorlage zu erhalten.

    Um die Auswahl bei Bedarf erneut zu öffnen, drücken Sie Ctrl+Space.

  3. Ersetzen Sie den query-Wert mit "CITY_NAME LIKE 'S%'".

Jetzt enthält Ihr Zugriffsrecht eine zweite Objekteinschränkung. Die Datei sollte mit folgendem beginnen:

{
    "properties": {
        "groupX": "0123456789abcdef0123456789abcdef",
        "groupY": "abcdef0123456789abcdef0123456789"
    },
    "restrictions": {
        "cities_starting_with_s":{
            "type": "feature",
            "query": "CITY_NAME LIKE 'S%'"
        },
        "population": {
            "type": "feature",
            "query": "pop >= 1000000"
        },
          ...

Ein Zugriffsrecht für Cities hinzufügen

Erstellen Sie ein Zugriffsrecht, um groupY Zugriff auf den Cities (0) Layer zu gewähren, eingeschränkt auf Städtenamen, die mit S beginnen.

Während Sie ein Zugriffsrecht bearbeiten, drücken Sie Ctrl+Space, um verfügbare Beispiele, Beschreibungen und Code-Schnipsel anzuzeigen.

  1. Gehen Sie zum policies Array und fügen Sie ein Komma und eine neue Zeile nach dem bestehenden Zugriffsrecht-Objekt hinzu.

  2. Drücken Sie Ctrl+Space und wählen Sie {"layers":[],"roles":[]}, um eine Vorlage zu erhalten.

  3. Für layers fügen Sie eine 0 innerhalb der Anführungszeichen hinzu.

  4. Für roles fügen Sie eine Referenz zur groupY Eigenschaft hinzu.

  5. Fügen Sie ein Komma und eine neue Zeile nach dem roles Array hinzu.

  6. Fügen Sie ein restrictions Array hinzu.

  7. Fügen Sie "cities_starting_with_s" zum Array hinzu.

Ihr policies-Objekt enthält zwei Zugriffsrechte, eines für den Zugriff von groupX und eines für den Zugriff von groupY. Die Datei sollte mit folgendem enden:

    ...
    "policies": [
        {
            "layers": [
                "0"
            ],
            "roles": ["${groupX}"],
            "restrictions": ["population", "USA", "reduced_fields"]
        },
        {
            "layers": [
                "0"
            ],
            "roles": ["${groupY}"],
            "restrictions": ["cities_starting_with_s"]
        }
    ]
}

Ein Zugriffsrecht für Continent hinzufügen

Fügen Sie schließlich ein Zugriffsrecht hinzu, um groupY Zugriff auf den Continent (1) Layer zu gewähren.

  1. Gehen Sie zum policies Array und fügen Sie ein Komma und eine neue Zeile nach den bestehenden Zugriffsrecht-Objekten hinzu.

  2. Drücken Sie Ctrl+Space und wählen Sie {"layers":[],"roles":[]}, um eine Vorlage zu erhalten.

  3. Für layers fügen Sie eine 1 innerhalb der Anführungszeichen hinzu.

  4. Für roles fügen Sie eine Referenz zur groupY Eigenschaft hinzu.

    Die Datei sollte nun so aussehen:

    {
    "properties": {
        "groupX": "0123456789abcdef0123456789abcdef",
        "groupY": "abcdef0123456789abcdef0123456789"
    },
    "restrictions": {
        "cities_starting_with_s":{
            "type": "feature",
            "query": "CITY_NAME LIKE 'S%'"
        },
        "population":{
            "type": "feature",
            "query": "pop >= 1000000"
        },
        "USA":{
            "type": "spatial",
            "featuretypeurl": "https://services.conterra.de/server/rest/services/security_demos/World_Countries/FeatureServer/0",
            "featurequery": "NAME = 'United States'",
            "imageoperation": "arcgis-clipping"
        },
        "reduced_fields":{
            "type": "field",
            "hiddenfields": [
                "POP_CLASS",
                "POP_RANK"
            ]
        }
    },
    "policies": [
        {
            "layers": [
                "0"
            ],
            "roles": ["${groupX}"],
            "restrictions": ["population", "USA", "reduced_fields"]
        },
        {
            "layers": [
                "0"
            ],
            "roles": ["${groupY}"],
            "restrictions": ["cities_starting_with_s"]
        },
        {
            "layers": [
                "1"
            ],
            "roles": ["${groupY}"]
        }
    ]
}

  5. Klicken Sie Änderungen speichern und neu starten, um das aktualisierte Zugriffsrecht anzuwenden.

Sie haben den Zugriff auf die Gruppen eingeschränkt:

  • groupX hat Zugriff auf

    • den Cities (0) Layer eingeschränkt auf

      • Städte mit einer Bevölkerung von mindestens 1 Million

      • Objekte innerhalb der USA

      • alle Felder außer POP_CLASS und POP_RANK

  • groupY hat Zugriff auf

    • den Cities (0) Layer eingeschränkt auf

      • Städtenamen, die mit S beginnen

    • den Continent (1) Layer

Konfiguration überprüfen

Um die vorherige Konfiguration zu überprüfen, greifen Sie mit allen vier Benutzern auf den Service SampleWorldCities zu und wiederholen Sie diese Schritte mit jedem von ihnen.

  1. Öffnen Sie einen privaten Browser.

  2. Gehen Sie zum ArcGIS REST Services Directory und melden Sie sich an.

  3. Navigieren Sie zu den Service-Metadaten des Services SampleWorldCities.

  4. Klicken Sie auf ArcGIS Online Web Viewer im Bereich View In: der Service-Metadaten.

  5. Vergleichen Sie das Verhalten mit dem erwarteten Verhalten.

Benutzer Alex

Der Benutzer Alex ist in Gruppe groupX und kann nur auf folgendes zugreifen:

  • den Cities (0) Layer eingeschränkt auf

    • Städte mit Bevölkerung >= 1 Million und

    • Städte innerhalb der Vereinigten Staaten

    • Felder POP_RANK und POP_CLASS sind ausgeblendet

Benutzer Bob

Der Benutzer Bob ist in Gruppe groupY und kann nur auf folgendes zugreifen:

  • den Cities (0) Layer eingeschränkt auf

    • Städte, deren Namen mit S beginnen.

  • den Continent (1) Layer ohne Einschränkungen.

  • Alle Felder sind sichtbar und es werden keine Feld-Einschränkungen angewendet.

Benutzer Charlie

Der Benutzer Charlie ist in Gruppe groupX und groupY. security.manager wendet eine Vereinigung aller anwendbaren Zugriffsrechte an. Daher kann er auf folgendes zugreifen:

  • die Layer Cities (0) und Continent (1) (Vereinigung des Layer-Zugriffs).

  • der Layer Cities (0) ist auf Objekte eingeschränkt, die alle folgenden Einschränkungen erfüllen:

    • Städte mit Bevölkerung >= 1 Million und Städte, die mit "S" beginnen (Schnittmenge der Einschränkungen)

    • Nur innerhalb der Vereinigten Staaten (räumliche Einschränkung gilt weiterhin)

    • Felder POP_RANK und POP_CLASS bleiben ausgeblendet (Feld-Einschränkung gilt weiterhin)

  • der Layer Continent (1) ist nicht eingeschränkt.

Das Ergebnis ist, dass der Benutzer eine sehr begrenzte Anzahl von Städten auf Layer 0 sieht — nur große US-Städte, die mit "S" beginnen. Dies zeigt, dass die Kombination mehrerer Einschränkungen zu dem restriktivsten Zugriff führt.

Benutzerin Dana

Die Benutzerin Dana ist in keiner der Gruppen. Daher kann sie nicht auf den Inhalt zugreifen und sieht nur

  • die Service-Metadaten ohne Layer und

  • keine Objekte in der Karte.

Zusammenfassung

In diesem Tutorial haben Sie gelernt, wie Sie Zugriffsrechte für verschiedene Benutzergruppen definieren und welche Auswirkung dies auf einen Benutzer mit mehreren Gruppen hat. Weitere Details zu Zugriffsrechten finden Sie unter Zugriffsrechte-Format in der Referenz.

In den Tutorials Fallback-Zugriffsrecht lernen Sie, Einschränkungen für die Nutzenden zu konfigurieren, für deren Rolle keine andere Einschränkung zutrifft