Konfigurieren von Sicherheitseinstellungen

Standardadministratoren und Benutzer mit den entsprechenden Berechtigungen können Sicherheitseinstellungen für Richtlinien, Freigabe- und Suchoptionen, Kennwortrichtlinien, Anmeldeoptionen, Multi-Faktor-Authentifizierung, Zugriffshinweise vertrauenswürdige Server, Portal-Zugriff usw. konfigurieren.

Tipp:

Detaillierte Informationen zu Sicherheit, Datenschutz und Compliance finden Sie unter ArcGIS Trust Center.

  1. Vergewissern Sie sich, dass Sie als Standardadministrator oder als Mitglied einer benutzerdefinierten Rolle mit aktivierter Administratorberechtigung zur Verwaltung der Sicherheit und Infrastruktur angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Klicken Sie links auf der Seite auf Sicherheit.
  4. Konfigurieren Sie die folgenden Sicherheitseinstellungen:

Zugriff und Berechtigungen

Ändern Sie bei Bedarf eine der folgenden Richtlinieneinstellungen:

  • Anonymen Zugriff auf die Website von Organisation erlauben: Aktivieren Sie diese Option, um Benutzern den anonymen Zugriff auf die Website Ihrer Organisation zu ermöglichen. Wenn diese Option deaktiviert ist, anonyme Benutzer können nicht auf die Website zugreifen. Außerdem können sie Ihre Karten nicht mit Bing Maps anzeigen (wenn Ihre Organisation für Bing Maps konfiguriert ist). Wenn Sie den anonymen Zugriff aktivieren, stellen Sie sicher, dass die für die Site-Konfiguration ausgewählten Gruppen für die Öffentlichkeit freigegeben sind. Andernfalls können anonyme Benutzer die öffentlichen Inhalte dieser Gruppen möglicherweise nicht ordnungsgemäß anzeigen oder öffnen.

    Hinweis:

    Überprüfte Organisationen müssen den anonymen Zugriff auf die Organisation zulassen. Überprüfte Organisationen, die anonymen Zugriff deaktivieren möchten, müssen zuerst den Status "Überprüft" entfernen lassen.

  • Zeigen Sie eine Option im Fenster "Anmelden" an, mit der sich Mitglieder anderer Organisationen mit ihren ArcGIS Online-Anmeldeinformationen anmelden und auf Organisationsinhalte, die Mitglieder Ihrer Organisation für sie freigegeben haben, zugreifen können: Aktivieren Sie dieses Kontrollkästchen, damit Mitglieder anderer ArcGIS Online-Organisationen auf Elemente zugreifen können, die für sie von Mitgliedern Ihrer Organisation freigegeben wurden. Wenn diese Option aktiviert ist, wird im unteren Bereich des Anmeldefensters ein separater Anmeldelink angezeigt. Damit können sich die Benutzer über www.arcgis.com anmelden und auf die für sie freigegebenen Elemente zugreifen.
  • Mitgliedern erlauben, biografische Informationen zu bearbeiten und festzulegen, wer deren Profil sehen kann: Aktivieren Sie diese Option, damit Mitglieder die biografischen Informationen in ihrem Profil ändern und festlegen können, wer Zugriff auf ihr Profil hat.
  • Mitgliedern erlauben, lizenzierte Esri-Anwendungen wie ArcGIS Pro über ihre Einstellungsseite herunterzuladen: Aktivieren Sie diese Option, um zuzulassen, dass Organisationsmitglieder mit der erforderlichen Lizenz die App über einen Link auf ihrer Einstellungsseite herunterladen können. Durch Deaktivieren dieser Option wird der Download-Link für Mitglieder ausgeblendet.

Hinweis:

Es wird Ihnen ggf. auch folgende Option angezeigt, wenn Ihre Organisation vor Mitte September 2018 erstellt wurde und diese Einstellung in der Konfiguration deaktiviert wurde. Es wird empfohlen, diese Sicherheitseinstellung zu aktivieren:

  • Zugriff auf die Organisation nur über HTTPS zulassen: Aktivieren Sie diese Option, um sicherzustellen, dass sowohl Ihre Daten als auch alle temporären Identifizierungstoken, die Zugriff auf Daten gewähren, bei der Kommunikation über das Internet verschlüsselt werden. Überprüfen Sie nach der Aktivierung, ob es Beeinträchtigungen in Ihrer Organisation gibt, z. B. auf der Startseite oder in den Karten, Szenen und Apps. Sie müssen eventuell die Layer in Ihren Karten und Szenen für die Verwendung von HTTPS aktualisieren.

Nach Ablauf von 60 Tagen nach der Aktivierung dieser Einstellung steht die Deaktivierungsoption nicht mehr auf der Seite Organisation zur Verfügung.

Freigabe und Suche

Ändern Sie bei Bedarf die folgenden Freigabe- und Sucheinstellungen:

  • Mitglieder können Inhalte öffentlich freigeben: Aktivieren Sie diese Option, um Mitgliedern zu gestatten, ihr Profil für die Öffentlichkeit (alle Benutzer) sichtbar zu machen, ihre Web-Apps und andere Elemente für die Öffentlichkeit freizugeben und ihre Karten oder Gruppen in Websites einzubetten.

    Wenn Sie dieses Kontrollkästchen deaktivieren, können Mitglieder weder ihre Profile veröffentlichen, noch ihre Inhalte öffentlich freigeben oder in Websites einbetten. Schaltflächen für Social Media sind ebenfalls deaktiviert. Als Administrator können Sie die Elemente von Mitgliedern für die Öffentlichkeit freigeben. Außerdem können Sie das Profil eines Mitglieds für alle (öffentlich) sichtbar machen, damit das Mitglied in Gruppen außerhalb der Organisation eingeladen werden kann.

    Wenn Sie den anonymen Zugriff auf Ihre Organisation deaktivieren, können Sie Webkarten, Apps und Gruppen freigeben, indem Sie das entsprechende Element für alle Benutzer (öffentlich) freigeben und die URL des Elements von der privaten URL Ihrer Organisation in die öffentliche ArcGIS Online-URL (www.arcgis.com) ändern. Sie können beispielsweise eine Karte Ihrer Organisation für anonyme Benutzer freigeben, indem Sie die URL von https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 in https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 ändern.

  • Mitglieder können nach Inhalten außerhalb der Organisation suchen: Aktivieren Sie diese Option, damit Mitglieder Karten, Layer, Apps und Dateien anzeigen können, die sich im Besitz von Benutzern außerhalb der Organisation befinden.

    Wenn Sie dieses Kontrollkästchen deaktivieren, können Mitglieder nicht auf Inhalte außerhalb der Organisation zugreifen. Als Administrator haben Sie die Möglichkeit, nach Elementen außerhalb der Organisation zu suchen.

  • Links zu Social Media für Element- und Gruppenseiten anzeigen: Aktivieren Sie diese Option, damit Links zu Facebook und Twitter auf Element- und Gruppenseiten einbezogen werden.

Kennwortrichtlinie

Wenn Mitglieder ihre Kennwörter ändern, müssen diese der Richtlinie der Organisation entsprechen. Sollte dies nicht der Fall sein, wird eine Meldung mit den Richtliniendetails angezeigt. Die Kennwortrichtlinie der Organisation gilt nicht für organisationsspezifische Anmeldenamen wie SAML-Anmeldungen oder für App-Anmeldeinformationen, die App-IDs und geheime App-Zugriffsschlüssel verwenden.

Die Standard-ArcGIS-Kennwortrichtlinie erfordert, dass Kennwörter mindestens acht Zeichen lang sind und mindestens einen Buchstaben und eine Zahl enthalten. Wenn Sie die Kennwortrichtlinie für Ihre Organisation aktualisieren möchten, klicken Sie auf Kennwortrichtlinie verwalten, um die Kennwortlänge, Komplexität und Verlaufsanforderungen für Mitglieder mit ArcGIS-Konten zu konfigurieren. Sie können die Zeichenlänge festlegen, ob das Kennwort mindestens eines der folgenden Elemente enthalten muss: Großbuchstabe, Kleinbuchstabe, Zahl oder Sonderzeichen. Sie können auch die Anzahl der Tage bis zum Ablauf des Kennworts sowie die Anzahl der vorherigen Kennwörter konfigurieren, die das Mitglied nicht erneut verwenden darf. Zum Zurücksetzen auf die ArcGIS-Standardrichtlinie können Sie jederzeit auf ArcGIS-Standardrichtlinie verwenden klicken.

Hinweis:

Unsichere Kennwörter werden nicht akzeptiert. Ein Kennwort gilt als unsicher, wenn es sich um ein gängiges Kennwort wie Kennwort1 handelt oder wenn es sich wiederholende Zeichen wie aaaabbbb bzw. Zeichenfolgen wie 1234abcd enthält.

Anmeldenamen

Sie können die Anmeldeseite der Organisation so anpassen, dass sich Mitglieder mit einer der folgenden Methoden anmelden können: ArcGIS-Anmeldenamen, Security Assertion Markup Language (SAML)-Anmeldenamen (ehemals Enterprise-Anmeldenamen), OpenID Connect-Anmeldenamen und Anmeldedaten für soziale Netzwerke.

Aktivieren Sie die Umschalttaste ArcGIS-Anmeldename, um zuzulassen, dass Benutzer sich über ihre ArcGIS-Anmeldenamen bei ArcGIS anmelden.

Verwenden Sie die Schaltfläche SAML-Anmeldung einrichten, um SAML-Anmeldungen zu konfigurieren, wenn sich Mitglieder mit dem vorhandenen SAML-Identity-Provider der Organisation bei ArcGIS anmelden sollen.

Verwenden Sie die Schaltfläche OpenID Connect-Anmeldungen einrichten, um OpenID Connect-Anmeldungen zu konfigurieren, wenn sich Mitglieder mit dem vorhandenen OpenID Connect-Identity-Provider der Organisation anmelden sollen.

In diesem Video werden die Vorteile bei der Verwendung von organisationsspezifischen Anmeldungen wie SAML- und OpenID Connect-Anmeldungen erläutert.

Sie können Organisationsmitgliedern erlauben, sich mit ihren Anmeldenamen für soziale Netzwerke wie Facebook, Google, GitHub und Apple bei ArcGIS zu registrieren und anzumelden. Um die Anmeldung mit Anmeldedaten für soziale Netzwerke zu ermöglichen, aktivieren Sie die Umschaltfläche Anmeldedaten für soziale Netzwerke, und aktivieren Sie die Umschaltflächen für die gewünschten sozialen Netzwerke.

Multi-Faktor-Authentifizierung

Organisationen, die ihren Mitgliedern die Option zum Einrichten einer Multi-Faktor-Authentifizierung für die Anmeldung bei ArcGIS geben möchten, können die Umschaltfläche Mitgliedern erlauben auszuwählen, ob sie Multi-Faktor-Authentifizierung für ihre persönlichen Konten einrichten möchten aktivieren. Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsstufe, indem bei der Anmeldung von Mitgliedern neben dem Benutzernamen und Kennwort auch ein Verifizierungscode abgefragt wird.

Wenn Sie diese Einstellung aktivieren, können Organisationsmitglieder über ihre Profilseite eine Multi-Faktor-Authentifizierung einrichten und Verifizierungscodes auf ihren Mobilgeräten oder Tablets über eine unterstützte Authentifizierungs-App empfangen (derzeit Google Authenticator für Android und iOS und Authenticator für Windows Phone). Die Multi-Faktor-Authentifizierung wird für SAML-Anmeldenamen, OpenID Connect-Anmeldenamen oder ArcGIS-Organisationskonten, die mit den Anmeldeinformationen für das soziale Netzwerk erstellt wurden, nicht unterstützt. Für Mitglieder, die die Multi-Faktor-Authentifizierung aktiviert haben, enthält die Spalte "Multi-Faktor-Authentifizierung" Multi-Faktor-Authentifizierung der Tabelle Mitglieder auf der Registerkarte Mitglieder auf der Seite Organisation ein Häkchen.

Wenn Sie die Multi-Faktor-Authentifizierung für Ihre Organisation aktivieren, müssen Sie mindestens zwei Administratoren ernennen, an die E-Mail-Anfragen zur Deaktivierung der Multi-Faktor-Authentifizierung in Mitgliederkonten gesandt werden können. ArcGIS Online versendet E-Mails im Namen von Mitgliedern, die über den Link Probleme beim Anmelden mit dem Code? (auf der Seite, auf der das Mitglied aufgefordert wird, den Authentifizierungscode einzugeben) um Unterstützung bei der Multi-Faktor-Authentifizierung bitten. Es sind mindestens zwei Administratoren erforderlich, um sicherzustellen, dass mindestens eine Person für die Unterstützung von Mitgliedern bei Fragen zur Multi-Faktor-Authentifizierung bereitsteht.

Die Multi-Faktor-Authentifizierung ist für ArcGIS-Konten in Esri Apps möglich, die OAuth 2.0 unterstützen. Dazu zählen die ArcGIS Online-Website, ArcGIS Desktop 10.2.1 und höher, ArcGIS-Apps, My Esri sowie Apps in ArcGIS Marketplace. In ArcGIS Desktop 10.2.1 und höher kann die Multi-Faktor-Authentifizierung dafür genutzt werden, vom Knoten für sofort einsatzfähige Services im Fenster "Katalog" eine Verbindung zu ArcGIS Online-Services herzustellen.

Für den Zugriff auf Apps, die OAuth 2.0 nicht unterstützen, muss die Multi-Faktor-Authentifizierung deaktiviert werden. Für manche Apps mit OAuth-2.0-Unterstützung, wie z. B. ArcGIS Desktop 10.2.1 und höher, muss auch weiterhin vor dem Herstellen einer Verbindung von ArcGIS Desktop zu ArcGIS-Server-Services, die als Teil von ArcGIS Online verfügbar sind, die Multi-Faktor-Authentifizierung deaktiviert werden. Dazu zählen Geokodierungs- und Geoverarbeitungsservices, mit denen Routen- und Höhenanalysen durchgeführt werden. Die Multi-Faktor-Authentifizierung muss außerdem beim Speichern von Anmeldedaten mit Esri Premium-Inhalten deaktiviert werden.

Zugriffshinweis

Sie können einen Hinweis mit Bestimmungen für Benutzer, die auf Ihre Site zugreifen, konfigurieren und anzeigen.

Sie können einen Zugriffshinweis für Mitglieder der Organisation oder/und alle Benutzer, die auf die Organisation zugreifen, konfigurieren. Wenn Sie einen Zugriffshinweis für Organisationsmitglieder festlegen, wird den Mitgliedern der Hinweis angezeigt, nachdem sie sich angemeldet haben. Wenn Sie einen Zugriffshinweis für alle Benutzer festlegen, wird der Hinweis jedem Benutzer angezeigt, der auf Ihre Site zugreift. Wenn Sie beide Zugriffshinweise festlegen, werden für Organisationsmitglieder zwei Hinweise angezeigt.

Um einen Zugriffshinweis für Organisationsmitglieder oder alle Benutzer zu konfigurieren, klicken Sie im entsprechenden Abschnitt auf Zugriffshinweis festlegen. Aktivieren Sie die Umschalttaste zum Anzeigen des Zugriffshinweises, und geben Sie einen Titel und Text für den Hinweis ein. Wählen Sie die Option "ANNEHMEN" und "ABLEHNEN" aus, wenn Benutzer den Zugriffshinweis akzeptieren sollen, bevor sie auf die Site zugreifen können, oder wählen Sie Nur "OK" aus, wenn Sie möchten, dass die Benutzer zum Fortfahren nur auf OK klicken müssen. Klicken Sie anschließend auf Speichern.

Um den Zugriffshinweis für Organisationsmitglieder oder alle Benutzer zu bearbeiten, klicken Sie im entsprechenden Abschnitt auf Zugriffshinweis bearbeiten, und nehmen Sie unter "Optionen" Änderungen an den Schaltflächen "Titel", "Text" oder "Aktion" vor. Wenn der Zugriffshinweis nicht mehr angezeigt werden soll, können Sie ihn mit der Umschalttaste deaktivieren. Nach der Deaktivierung des Zugriffshinweises bleiben der zuvor eingegebene Text und die Konfiguration erhalten, für den Fall, dass der Zugriffshinweis zu einem späteren Zeitpunkt wieder aktiviert wird. Klicken Sie anschließend auf Speichern.

Informationsbanner

Sie können alle Benutzer, die auf Ihre Organisation zugreifen, mit Informationsbannern über den Status und Inhalt Ihrer Site informieren. Informieren Sie Benutzer beispielsweise über Wartungszeitpläne, Hinweise auf vertrauliche Informationen und schreibgeschützte Modi, die im oberen und unteren Bereich Ihrer Site angezeigt werden. Das Banner wird auf den Seiten "Startseite", "Galerie", "Map Viewer", "Scene Viewer", "Gruppen", "Inhalt" und "Organisation" angezeigt.

Um das Informationsbanner für Ihre Organisation zu aktivieren, klicken Sie auf Informationsbanner festlegen, und aktivieren Sie Informationsbanner anzeigen. Fügen Sie im Feld Bannertext Text hinzu, und wählen Sie Hintergrund- und Schriftfarbe aus. Für die ausgewählte Schrift- und Hintergrundfarbe wird ein Kontrastverhältnis angezeigt. Das Kontrastverhältnis ist eine Maßeinheit für die Lesbarkeit entsprechend den Barrierefreiheitsstandards gemäß WCAG 2.1. Es wird ein Kontrastverhältnis von mindestens 4,5 empfohlen, um diese Standards zu erfüllen.

Sie können im Bereich Vorschau eine Vorschau des Informationsbanners anzeigen. Klicken Sie auf Speichern, um Ihrer Organisation das Banner hinzuzufügen.

Klicken Sie zum Bearbeiten des Informationsbanners auf Informationsbanner bearbeiten, und nehmen Sie Änderungen am Text oder Style des Banners vor. Wenn das Informationsbanner nicht mehr angezeigt werden soll, können Sie ihn mit der Umschalttaste deaktivieren. Nach der Deaktivierung des Informationsbanners bleiben der zuvor eingegebene Text und die Konfiguration erhalten, für den Fall, dass das Informationsbanner zu einem späteren Zeitpunkt wieder aktiviert wird. Klicken Sie anschließend auf Speichern.

Vertrauenswürdige Server

Konfigurieren Sie für Vertrauenswürdige Server die Liste der vertrauenswürdigen Server, an die Ihre Clients Anmeldeinformationen senden soll, wenn CORS-Anforderungen (Cross-Origin Resource Sharing) für den Zugriff auf Services getätigt werden, die mit Authentifizierung auf Webebene gesichert sind. Dies gilt vor allem für die Bearbeitung sicherer Feature-Services von einem eigenständigen (nicht verbundenen) ArcGIS Server oder für das Anzeigen sicherer OGC-Services. ArcGIS Server, auf denen mit tokenbasierter Sicherheit gesicherte Services gehostet werden, müssen dieser Liste nicht hinzugefügt werden. Server, die der Liste der vertrauenswürdigen Server hinzugefügt wurden, müssen CORS unterstützen. Zudem muss CORS so konfiguriert sein, dass bestimmte Domänen zulässig sind, die für die Kommunikation mit dem Server verwendet werden, z. B. Ihre ArcGIS Online-Organisationsdomäne. Layer, die auf Servern ohne CORS-Unterstützung gehostet werden, funktionieren möglicherweise nicht ordnungsgemäß. ArcGIS Server unterstützt CORS standardmäßig ab Version 10.1 und höher. Weitere Informationen zum Konfigurieren von CORS auf anderen Servern als ArcGIS-Servern finden Sie in der Dokumentation des Anbieters Ihres Webservers.

Die Hostnamen müssen einzeln eingegeben werden. Platzhalterzeichen können nicht verwendet werden und werden nicht akzeptiert. Der Hostname kann mit oder ohne das davor befindliche Protokoll eingegeben werden. Der Hostname secure.esri.com etwa kann als secure.esri.com oder https://secure.esri.com eingegeben werden.

Hinweis:

Die Bearbeitung von Feature-Services, die durch Authentifizierung auf Webebene gesichert sind, erfordert die Verwendung eines CORS-fähigen Webbrowsers. CORS ist in allen unterstützten Browsern aktiviert.

Startpunkte zulassen

Die ArcGIS-REST-API ist standardmäßig für CORS (Cross-Origin Resource Sharing) Anforderungen von Webanwendungen in einer beliebigen Domäne geöffnet. Wenn Ihre Organisation die Webanwendungsdomänen, die über CORS auf die ArcGIS-REST-API zugreifen können, beschränken möchte, müssen Sie diese Domänen explizit angeben. Um z. B. den CORS-Zugriff auf Webanwendungen auf acme.com zu beschränken, klicken Sie auf Hinzufügen, geben Sie im Textfeld https://acme.com ein, und klicken Sie auf Domäne hinzufügen. Sie können bis zu 100 vertrauenswürdige Domänen für die Organisation angeben. arcgis.com muss nicht als vertrauenswürdige Domäne angegeben werden, da Anwendungen, die in der Domäne arcgis.com ausgeführt werden, stets eine Verbindung zur ArcGIS REST API erlaubt ist.

Portal-Zugriff zulassen

Konfigurieren Sie eine Liste der Portale (z. B. https://otherportal.domain.com/arcgis), für die Sie sichere Inhalte freigeben möchten. Dies ermöglicht Mitgliedern Ihrer Organisation die Verwendung ihrer organisationsspezifischen Anmeldenamen (einschließlich SAML-Anmeldenamen), um auf die sicheren Inhalte zuzugreifen, wenn sie über diese Portale angezeigt werden. Dies gilt nur für Portale ab Portal for ArcGIS 10.5 und höher. Diese Einstellung ist für die Freigabe gesicherter Inhalte zwischen ArcGIS Online-Organisationen nicht erforderlich. Weitere Informationen zur privaten Freigabe von Elementen zwischen Organisationen finden Sie unter Freigeben von Elementen für eine andere Organisation.

Die Portal-URLs müssen einzeln eingegeben werden und das Protokoll enthalten. Platzhalterzeichen können nicht verwendet werden und werden nicht akzeptiert. Wenn das hinzugefügte Portal HTTP- und HTTPS-Zugriff zulässt, müssen für dieses Portal zwei URLs hinzugefügt werden (z. B. http://otherportal.domain.com/arcgis und https://otherportal.domain.com/arcgis). Jedes der Liste hinzugefügte Portal wird zunächst überprüft und muss daher über den Browser zugänglich sein.