Teil 3: Nutzer, Authentifizierung und Autorisierung

Im dritten Teil der Beitrags-Serie wird unter anderem zur Authentifizierung der Nutzer einer ArcGIS Online Subskription berichtet.

Siehe auch die ersten beiden Teile:

Für die Authentifizierung der Nutzer einer ArcGIS Online Subskription stehen drei Möglichkeiten zur Verfügung:

  • ArcGIS Nutzer: Die Login Daten, also Username und Passwort, werden direkt in ArcGIS verwaltet.
  • Enterprise-Anmeldenamen: Über das SAML2 Protokoll können unterschiedliche Identitiy-Provider eingebunden werden, z.B. Active Directory Federation Services oder Shibboleth.
  • Social Logins: Ab ArcGIS Online 4.4 (Mitte Dezember 2016) können auch ein Facebook oder Google+ Konto zur Authentifizierung benutzt werden.

Kennwortrichtlinie

Für die ArcGIS Nutzer können Vorgaben für die Passwörter gemacht werden und den Vorgaben für Passwörter im Unternehmen angepasst werden.

k1

k2

Social Logins (ab Mitte Dezember 2016)

k3

Nutzer können sich auch mit den Anmeldeinformation von Facebook oder Google+ gegen ArcGIS Online authentifizieren.

Diese Option ist z.B. nützlich, wenn externe Anwender (Auftragnehmer, Praktikanten) nur temporär Mitglieder der ArcGIS Online Organisation werden sollen und diese keine Enterprise Anmeldenamen bekommen sollen.

Siehe dazu den Blog-Eintrag zu Preview: Social Logins in ArcGIS Online 4.4

Enterprise-Anmeldenamen

Über das SAML2 Protokoll können Unternehmensdienste für die Authentifizierung genutzt werden.

Dieses Vorgehen hat vor allem bei Organisation mit größerer Nutzerzahl (so ab 50) einige große Vorteile:

  • Nutzer müssen sich kein neues Login merken, sondern können das normale Unternehmenslogin nutzen
  • Wenn Nutzer aus dem Unternehmen ausscheiden, wird in der Regel auch das Unternehmenslogin deaktiviert und somit auch der Zugang zur ArcGIS Subskription. Es muss also für ArcGIS Online kein Workflow für das Deaktivieren von ausgeschiedenen Mitarbeitern etabliert werden.
  • Mitarbeiter können automatisch zu ArcGIS Online hinzugefügt werden

k4

Das automatische Hinzufügen von neuen Nutzern (ein Nutzer wird automatisch beim ersten Anmelden angelegt) kann auch unterbunden werden. Der Administrator muss dann Einladungen zu ArcGIS Online verschicken. Wichtig ist hier die Festlegung der Rollen (Autorisierung innerhalb ArcGIS Online) die diese Nutzer automatisch bekommen. Empfehlung: Man sollte eine Rolle mit wenig Rechten wählen.

Sobald Enterprise-Anmeldenamen aktiviert sind, kann man die Nutzer auch zwingen, nur noch diese Methode zu wählen. Administratoren können sich aber immer noch über ArcGIS Nutzer anmelden. Empfehlung: Administratoren sollten, wenn möglich, einen von ArcGIS Online verwalteten Nutzer verwenden.

k5

Weiterführende Links zur Einrichtung von Enterprise-Anmeldenamen:

Multi-Faktor-Authentifizierung

k6

Um den Sicherheitslevel zu steigern, kann man auch einen mehrstufigen Loginprozess (Multi-Faktor Authentifizierung) aktivieren.

Ein Nutzer muss sich dann mit seinem Login anmelden (‚etwas, das er weiß‘) und einem Code von seinem Smartphone (‚etwas, das er hat‘), der sich minütlich ändert, anmelden.

k71

Empfehlung: Zumindest für Administratoren aktivieren

Nutzung von Enterprise Anmeldenamen

Es kommt immer wieder zu Verwirrungen, wie man das Unternehmens Login für ArcGIS Online nutzen kann.

Wenn man allgemein über die Seite www.arcgis.com einsteigt, bekommt man eine allgemeine Anmeldemaske:

k8

Hier kann man sich erstmal nur mit einem ArcGIS Konto anmelden. Wenn man auf ‚ENTERPRISE-KONTO‘ klickt, kann man den Namen (bzw. die URL) der eigenen Organisation angeben:

k9

Mit einem Klick auf den oberen Button wird man automatisch angemeldet, wenn man auf einem Rechner im Unternehmensnetzwerk unterwegs ist. Oder man bekommt eine Anmeldemaske damit man das Unternehmenslogin eintippen kann.

Wenn man statt mit ‚www.arcgis.com‘ gleicht mit der URL der Organisation z.B. ‚esri-de.maps.arcgis.com‘ startet, kommt man sofort zu der Anmeldeseite mit dem Unternehmenslogin.

Autorisierung

Die Rechte, die ein angemeldeter Nutzer in ArcGIS Online hat, werden über die Rolle definiert. Es gibt bereits vorgegeben Rollen wie Administrator, Publisher oder User.

Ein Administrator kann auch eigene Rollen definieren, die besser zu den Vorgaben im Unternehmen passen und den Nutzern zuordnen.

k10

Hinweis

Die Freigabeberechtigung ‚Für die Öffentlichkeit freigeben‘ überschreibt nicht die organisationsweite Einstellung für die Öffentlichkeitsfreigabe.

Die eingebaute Rolle ‚Administrator‘ kann nicht vollständig durch benutzerdefinierte Rollen nachgebildet werden.

Einige Rechte sind auch voneinander abhängig. Wenn ein Nutzer Premium-Inhalte nutzen darf (z.B. Räumlich Analyse), dann braucht er gleichzeitig das Recht ‚Erstellen, Aktualisieren und Löschen‘ von Inhalten, da Analysen Feature-Layer erzeugen.