Please activate JavaScript!
Please install Adobe Flash Player, click here for download
ePaper created 2014-07-11, 15:36:54 | version 1.32.00
s c h w e r p u n k t 25 Die steigende Verbreitung von ArcGIS Services über das Internet führt dazu, dass intelligente Lösungen für die Kontrolle des Zugriffs auf die bereitgestellten Geodienste zunehmend zu einer unternehmenskriti- schen Anforderung werden. Dies gilt insbesondere für dezentral auf- gestellte Organisationen, in denen unterschiedliche Nutzergruppen mit unterschiedlichen Zugriffsrechten auf zentrale Datenbestände ausgestattet werden müssen. Für solche Anwendungsfälle bietet der security.manager der con terra GmbH die Möglichkeit, individuelle und feingranulare Zugriffsrechte zu definieren und durchzusetzen. Zwei typi- sche Beispiele aus der Praxis verdeutlichen die Möglichkeiten der Ab- sicherung, die neben der rein räumlichen Autorisierung zur Einschrän- kung von Funktionen und Inhalten bestehen, und belegen die Effizienz des gewählten Lösungsansatzes. Menschen – ein Bistum Das Bistum Münster ist mit fast zwei Millionen Katholiken die drittgrößte Diözese Deutschlands. Es umfasst knapp 280 Pfarreien und reicht von Weeze am Niederrhein bis Wadersloh an den Beckumer Bergen und von Werne am nordöstlichen Ruhrgebietsrand bis zur Nordseeinsel Wange rooge. Die Bistumsverwaltung versorgt die einzelnen Pfarreien mit geo- grafischen Informationen über eine ArcGIS Infrastruktur. Viele Daten- sätze liegen dabei bistumsweit vor, sollen in bestimmten Fällen den Pfarreien jedoch nur für ihr eigenes Gebiet zugänglich gemacht werden. Ohne ein leistungsfähiges Rechtemanagement für die Nutzer hätte dies bedeutet, dass für jede Pfarrei ein eigener Dienst notwendig geworden wäre. Außerdem gibt es Nutzergruppen innerhalb des Bistums, die Daten mehrerer Pfarreien zur Verfügung gestellt bekommen, was zu einer weiteren Erhöhung der Komplexität führt. Es ist leicht vorstellbar, dass eine solche Menge an individuellen Diensten ohne ein intelligentes Nutzermanagement kaum praktikabel ist. Dem Bistum ist daran gelegen, lediglich einen Dienst zu betreiben und den Zugriff über die Zuordnung von Berechtigungen an die unterschied- lichen Nutzer zu steuern. Dabei soll für jeden Nutzer definiert werden können, auf welche Gemeindekennziffern er zugreifen kann. Des Wei- teren wird auch eine Vielzahl bestimmter Objekte über den Bistums- dienst publiziert. Sie tragen unter anderem ein Attribut, das über die Gemeindekennziffer die Zugehörigkeit zu einer bestimmten Gemeinde beschreibt. Mithilfe des security.manager wurde eine denkbar einfache Lösung ent- wickelt. Für alle Standardnutzer wurde nur ein einziges Recht definiert, das bewirkt, dass sie lediglich auf diejenigen Objekte zugreifen dürfen, deren Gemeindekennziffer mit der dem Nutzer im Active Directory zu- geordneten Kennziffer übereinstimmt. Somit konnte eine Anforderung, die sonst nur durch Bereitstellung von 280 verschiedenen Diensten reali sierbar gewesen wäre, mit nur einem Dienst und einem geeigneten Recht im security.manager erfüllt werden. Der notwendige Administrationsauf- wand reduziert sich somit enorm. IT.NRW – Flächenmonitoring Dass es sich bei der Lösung des Bistums Münster keineswegs um eine Spezialanforderung handelt, zeigt ein weiteres Beispiel des Landes betriebs Information und Technik Nordrhein-Westfalen (IT.NRW), dem IT-Dienstleister für die Landesverwaltung Nordrhein-Westfalen. IT.NRW stellt eine Anwendung zum Flächenmonitoring zur Verfügung, über die die 396 Städte und Gemeinden in Nordrhein-Westfalen freie Flächen kennzeichnen und klassifizieren können. Dabei ist grundsätzlich für Mit- arbeiter der Gemeinden ein Zugriffsrecht für gemeindeeigene Objekte vorgesehen. Allerdings können einzelne Gemeinden Nutzern anderer Gemeinden Lesezugriffe auf die eigenen Daten gewähren. Somit benö tigen Nutzer also umfassende Rechte für Objekte der eigenen Gemeinde und Leserechte für eine beliebige Menge weiterer Gemeinden. Diese Anforderung mit dezidierten Diensten für jede denkbare Kom- bination von Gemeinden umzusetzen erscheint nahezu unmöglich, da- her ist auch hier eine feingranulare Autorisierungslogik notwendig. Mit- dem security.manager reicht auch hier ein Dienst, um diesen komplexen Sachverhalt zu realisieren. Allerdings sind nun zwei verschiedene Rechte notwendig. Das erste Recht beschreibt, analog zum Anwendungsfall des Bistums Münster, die Rechte für den Zugriff auf die Objekte der eigenen Gemeinde, das zweite Recht hingegen beinhaltet die Lesebe- rechtigung für weitere Gemeinden, ohne das Editieren dieser Objekte zuzulassen. Hierfür können Nutzern über ein Aufzählungsattribut im Nutzer-Datensatz weitere Gemeinden zugeordnet werden. Ihnen wird damit das Leserecht für die Daten der Gemeinden gewährt, die in dem Attribut aufgeführt sind. Neben den rein technischen Möglichkeiten der Zugriffskontrolle ist die Fähigkeit einer solchen Lösung zur Integration in ein bestehendes Sys- tem natürlich von zentraler Bedeutung. Der security.manager übernimmt die Autorisierung von ArcGIS Diensten, ohne dabei die Interoperabi- lität mit existierenden Client-Anwendungen zu gefährden. Dies wird dadurch sichergestellt, dass das Verhalten der geschützten Dienste exakt dem Verhalten nativer ArcGIS Dienste entspricht. Dabei ist es sogar möglich, dass der security.manager auf der gleichen Nutzerver- waltung wie ArcGIS Server oder ArcGIS Online arbeitet. Die Beispiele verdeutlichen anschaulich, dass sich ArcGIS problemlos um einen einfach zu handhabenden, flexiblen und feingranularen Zu- griffsschutz erweitern lässt und dass durch den gewählten Lösungsansatz enorme Einsparungspotenziale entstehen. Rüdiger Gartmann con terra GmbH Münster www.conterra.de ++ Intelligente Sicherheitslösungen bieten verlässlichen Zugriffsschutz