Öffentliche Viewer und private Editoren des Feature-Service in ArcGIS Online For Organizations aktivieren?

10

Wie veröffentlicht man in ArcGIS Online für Organisationen einen gehosteten Feature-Service, der für alle zur Anzeige freigegeben ist, während die Bearbeitung auf bestimmte Benutzer oder Gruppen beschränkt wird und verschiedene Arten der Bearbeitung für verschiedene Gruppen?

In der Hilfe am Ende der Editor Berechtigungen für Feature - Service unter mehreren Stufen Zugang konfiguriert es sagt

Wenn Sie mehrere Benutzerebenen unterstützen müssen, für die jeweils unterschiedliche Vorgänge erforderlich sind, wird empfohlen, für jede Benutzerebene einen Dienst zu erstellen. Sie können beispielsweise einen Professors-Service erstellen, für den möglicherweise alle Vorgänge zulässig sind. Darüber hinaus können Sie einen weniger privilegierten Schülerdienst erstellen, bei dem nur Vorgänge zum Erstellen, Abfragen und Hochladen zulässig sind.

Was großartig ist, das muss ich tun. Was jedoch ausgelassen wird, ist die Abstimmung der mehreren Feature-Services, sodass die Schüler beim Erstellen der neuen Features durch die Professoren die neuen Datensätze sehen und umgekehrt.

Mit dem Webbrowser-Verwaltungsassistenten Create Servicekönnen Sie einen Feature-Service als Quelle für einen neuen verwenden, es wird jedoch nur das Datenmodell (Symboldefinitionen, Feldnamen und -typen usw.) verwendet, während die eigentlichen Features, der neue Service, zurückbleiben ist leer. Dies ist das beabsichtigte Verhalten .

arcgis-online security feature-service matt wilkie
quelle
Wollen Sie es in der gleichen Webkarte? Wenn Sie nicht mehr als eine Karte haben möchten. Jeder Feature-Service enthält außerdem einen Map-Service, eine Map mit dem Feature-Service und eine mit dem Map-Service = Bearbeitungssteuerung.
Brad Nesom
@brad, nein, sie müssen nicht in derselben Karte sein. Ein Feature-Service muss jedoch freigegeben werden, um in eine Webkarte aufgenommen zu werden. In diesem Fall können Benutzer die Karte umgehen und direkt zum Feature-Service wechseln, unabhängig davon, welche Freigabeeinstellungen im Web Map-Service festgelegt sind.
Matt Wilkie

Antworten:

7

Nach dem 14. Juli 2015

Die Situation ist viel besser. Der Organisationsadministrator kann eine Gruppe mit Mitgliedern erstellen , die die Berechtigung für Elemente aktualisieren können . Dadurch entfallen die Notwendigkeit gemeinsamer Anmeldeinformationen und / oder die Gewährung organisationsweiter Administratorrechte für alle Editoren * , und die Beantwortung von Gruppenberechtigungen ** ist auch für öffentliche Karten möglich.

Die neue empfohlene Vorgehensweise lautet:

  • Deaktivieren Sie die Bearbeitung des gehosteten Feature-Service vollständig
  • Als Organisationsadministrator: Erstellen Sie eine Editorengruppe und erteilen Sie die neue Berechtigung "Mitglieder können aktualisieren". Füllen Sie sie nach Bedarf aus. (Muss eine neue Gruppe sein, die nach Juli 2015 erstellt wurde).
  • Im täglichen Gebrauch verwenden die Editoren "Ebene zur Karte hinzufügen mit aktivierter Bearbeitung" auf der Seite mit den Artikeldetails, um das schreibgeschützte Flag zu überschreiben.

Ausführliche Informationen finden Sie unter Aktivieren von Kollegen zum Aktualisieren Ihrer Karten und Apps im ArcGIS-Blog und unter Best Practices für die Verwendung von Ebenen in Karten in der Online-Hilfe.

...

Ich habe einige Vorbehalte, da sich das zugrunde liegende Sicherheitsmodell anscheinend nicht geändert hat und der Feature-Service selbst kein Konzept für autorisierte Benutzer oder Gruppen hat. Ich glaube, es gibt immer noch Raum für Probleme, aber zumindest wird die Oberfläche stark reduziert und die Möglichkeit eines versehentlichen und bloßen neugierigen Datenschadens wird beseitigt.

Beachten Sie auch, dass vorhandene Dienste, die die alten Methoden verwenden, weiterhin anfällig sind. Bei meinen gestrigen Tests habe ich leicht unabsichtlich exponierte Feature-Services entdeckt, indem ich einfach auf arcgis.com nach "Feature-Service-Layer bearbeiten" gesucht habe.

Vor 2015 Juli

Wir hatten im Februar 2015 ein ausführliches Gespräch mit einigen Leuten von Esri Canada darüber. Derzeit gibt es in ArcGIS Online (derzeit) keine sichere Methode, um gleichzeitige Bearbeitungs- und schreibgeschützte Berechtigungsrollen zu steuern. Das Beste, was Sie tun können, ist, den Speicherort des bearbeitbaren Dienstes gemäß den Antworten von Brad und Bmearns hier zu verdecken und dann den Track-Editor zu aktivieren . Darauf folgen regelmäßige geplante Überprüfungen der Aufzeichnungen und die Entfernung derjenigen, die nicht von einer dazu befugten Person erstellt wurden.

Eine zusätzliche (kleine, schwache) Schutzmaßnahme kann darin bestehen, der Webkarte einen Filter hinzuzufügen, um nur Datensätze anzuzeigen, bei denen Creator is not {one space}( nicht leer ist, nicht funktioniert). Dies betrifft nur diese Webkarte. Personen, die die Webkarte umgehen und auf den Feature-Service zugreifen, sehen direkt alles.

Wenn ein gesicherter und bearbeitbarer Feature-Service erforderlich ist, müssen Sie Ihren eigenen ArcGIS-Server an einem anderen Ort ausführen, wobei die Freigabe und Bearbeitung nach Bedarf gesperrt ist, und anschließend einen schreibgeschützten Service für ArcGIS Online.

Dies ermöglicht die Nutzung der enormen Verfügbarkeit, des Caching von Inhaltsverteilungsnetzwerken, der CPU- / Speicherskalierung usw. der ArcGIS Online-Infrastruktur für einen weit verbreiteten Nur-Lese-Verbrauch mit Bearbeitungszugriff auf einem spärlicheren und kostengünstigeren Computer. Mit ArcGIS Online erhalten Sie nicht beide an einem Ort.

Update , 27. Mai 2015: Tipp "Filter nach Ersteller" hinzugefügt

matt wilkie
quelle
2

Ich habe Gruppen gegründet.
Eine Gruppe ist eine Bearbeitungsgruppe. In dieser Gruppe wird die bearbeitbare Karte (mit Feature-Service) freigegeben.
Die Gruppe ist privat und ich lade nur die Redakteure dazu ein.
Eine andere Gruppe ist für Nicht-Redakteure und ich lade andere Mitglieder dazu ein.
In dieser Gruppe wird meine (nicht bearbeitbare) Webmap für den Kartendienst freigegeben.
Es funktioniert ein bisschen wie das Zuweisen von Berechtigungen und Rollen.

Brad Nesom
quelle
Dies ist nicht effektiv, da die Bearbeitungs- / Nichtbearbeitungsberechtigungen auf Gruppenebene gesteuert werden. Jeder kann Ihre Gruppen umgehen und direkt zum bearbeitungsfähigen Funktionsdienst wechseln. Tatsächlich erstellen sie eine eigene Gruppe mit beliebigen Berechtigungen. Der zugrunde liegende Feature-Service ist entweder offen oder geschlossen, ohne Abstufung zwischen. Siehe Ben Mearns Antwort und Kommentar.
Matt Wilkie
dann sind sie kein Auftragnehmer mehr, weil sie entlassen werden. Außerdem haben sie ohne die Webmap keinen Zugriff auf den Dienst.
Brad Nesom
Ich kann niemanden feuern, der nicht für dich arbeitet. Ich habe Bens Gruppe mit eingeschränkter Bearbeitung über ein persönliches öffentliches Konto eine Funktion hinzugefügt. Im Wesentlichen handelt es sich um eine anonyme Bearbeitung. Ich brauchte oder benutzte seine Webmap nicht, um es zu tun.
Matt Wilkie
Ich kann einen Auftragnehmer entlassen. Alle meine Gruppen sind nicht öffentlich, alle meine Daten sind nicht öffentlich. Es gibt keine global gemeinsam genutzten Dienste. Sie können meine Webmap nicht bearbeiten. Ich sage dem Auftragnehmer nicht einmal, dass es eine Webmap gibt. "Ich" gebe ios-Anmeldeinformationen an und steuere das Passwort für den Benutzernamen. Damit sie eine Bearbeitung vornehmen, stoße ich ihren Benutzer an.
Brad Nesom
Wenn der Feature-Service überhaupt nicht öffentlich zugänglich ist, gilt das von mir beschriebene Problem nicht. Wenn der FS jedoch in einer öffentlichen Karte oder einer öffentlichen Karte angezeigt wird und gleichzeitig der FS für jedermann bearbeitungsfähig ist, können anonyme Benutzer mit minimalem Aufwand Daten im FS erstellen / bearbeiten / löschen. In dem Fall, dass der FS außerhalb der autorisierten Gruppe niemals auf irgendeine Weise angezeigt wird, können die Daten weiterhin anonym bearbeitet werden , aber der Versuch, die fs-ID zu ermitteln, um dorthin zu gelangen, ist nicht trivial. Die Tür wird von versteckt auf versteckt geändert, aber nicht verschlossen.
Matt Wilkie
2

(bearbeitet am 07.05.15)

Nicht ideal, erreicht aber kollaboratives Bearbeiten und öffentliches Betrachten / Nichtbearbeiten.

  1. Machen Sie Redakteure zu Administratoren unter der Organisation
  2. Ebene nicht bearbeitbar machen, aber öffentlich teilen
  3. Administratoren können "als bearbeitbare Ebene hinzufügen" für den Webadministrator und getrennte / synchronisierte Bearbeitung auf dem Desktop durchführen

Ich konnte die richtigen Berechtigungen nicht mithilfe von Rollen neu erstellen, aber dies funktioniert für uns, da die Anzahl der Editoren gering ist und ich ihnen vertraue.

Eigenschaften des Feature-Service (Bearbeitung deaktiviert) Mit aktiviertem Bearbeitungsmenü hinzufügen

Etwas wie das, was Brad vorgeschlagen hat, hat für mich funktioniert

  1. Melden Sie sich mit Publisher-Berechtigungen an
  2. Mein Inhalt> Element hinzufügen> Von meinem Computer aus> (aktivieren) Diese Datei als Feature-Layer veröffentlichen
  3. Mein Inhalt> [Feature-Layer]> Bearbeiten> (aktivieren) Bearbeiten aktivieren und den Editoren erlauben, ...
  4. Mein Inhalt> [Feature-Layer]> Freigeben> Jeder
  5. Mein Inhalt> [Feature-Layer]> Layer zur [neuen] Map hinzufügen
  6. Deaktivieren Sie auf der Karte> Für alle freigeben die Bearbeitung auf Ebene, wenn sie aus irgendeinem Grund aktiviert ist. Speichern Sie sie und veröffentlichen Sie sie über eine Webanwendung mit Freigabe, falls gewünscht
  7. Gruppen> Gruppe erstellen, Benutzer hinzufügen, um Bearbeitungsberechtigungen für die Gruppe zu haben
  8. Mein Inhalt> [Feature-Ebene]> Ebene zur [neuen] Karte hinzufügen, wobei die Bearbeitung aktiviert ist
  9. Teilen Sie diese Karte mit der Gruppe, die gerade für Redakteure erstellt wurde
Ben Mearns
quelle
Eine Person mäßig gut informiert darüber , wie ArcGIS Online - Services Arbeit oder auch nur bereit , viel Zeit Tasten zu verbringen und nach Links schieben, kann immer noch (in exponierten Schritt 4) mit dem gemeinsamen globalen bearbeitbare Feature - Service aus gehen direkt ihre eigene Karte , die Sie haben die volle Kontrolle über. Das hier beschriebene Verfahren macht es unpraktisch, an einen bearbeitbaren Ort zu gelangen, verbietet es jedoch nicht. Es bietet ein gewisses Maß an Schutz, ist jedoch nicht sicher.
Matt Wilkie
Matt, schau dir meinen Feature-Service unter udel.maps.arcgis.com/home/… an . Auf einem Konto, das nicht zur Gruppe mit einer bearbeitbaren Ebene gehört, kann ich diese nicht anzeigen oder bearbeiten. Wenn ich dieses Konto wieder zur Gruppe hinzufüge, kann ich es erneut anzeigen / bearbeiten. Die aus diesem Feature-Service erstellte Webanwendung befindet sich unter: udel.maps.arcgis.com/apps/webappviewer/… ... kann dies ein Fall sein, in dem sich die Funktionalität durch nachfolgende Updates geändert hat?
Ben Mearns
Ich bin daran interessiert, dies weiter zu verfolgen. Bitte rufen Sie mich unter [email protected] an. Ich bestätige, dass der Versuch, Artikeldetails des obigen FS-Links anzuzeigen, fehlschlägt, wenn 404 nicht gefunden wurde, ebenso für die Ebenen "Gebäude" und "Parken" mit der App. Ich möchte die Details Ihrer Konfiguration im Vergleich zu meiner (Screenshot usw.) durchgehen. Vielen Dank!
Matt Wilkie
Einen Weg gefunden. Sehen Sie sich den Feature-Service "Gebäude" an. Es gibt einen neuen Rekord NAME=Fake Building made by mattim Nordosten der Old Paper Mill Road. i.imgur.com/hi03EqU.png . Soll dieser Feature-Service für die öffentliche Bearbeitung gesperrt werden?
Matt Wilkie
und hier ist ein Screenshot in Ihrer eigenen App: i.imgur.com/ROeNA48.png
Matt Wilkie
1

Die von matt wilkie beschriebene neue empfohlene Vorgehensweise funktioniert für Benutzer in der Gruppe mit der Berechtigung "Mitglieder können aktualisieren" einwandfrei, wenn sie nur Daten im AGOL-Karten-Viewer mithilfe der Funktion "Ebene zur Karte hinzufügen mit aktivierter Bearbeitung hinzufügen" aktualisieren müssen. Ich möchte jedoch, dass die Benutzer in dieser Gruppe die Daten mit ArcGIS Collector aktualisieren können. Die Bearbeitungsberechtigungen bleiben nach dem Öffnen des gehosteten Feature-Layers im AGOL-Karten-Viewer mit aktivierter Bearbeitung und Speichern der Karte nicht bestehen. Die Karte kann für die Gruppe mithilfe der Funktion "Freigeben> Zugriffs- und Aktualisierungsfunktionen" im Bildschirm "Mein Inhalt" freigegeben werden. Es wird jedoch nicht in Collector angezeigt, auf das Mitglieder der Gruppe zugreifen können, da die Aktualisierungsfunktion nicht als Teil der Karte gespeichert wird.

Neil Curri
quelle
1
Willkommen bei der GIS SE! Nehmen Sie als neuer Benutzer unbedingt an der Tour teil, die das hier verwendete fokussierte Q & A-Format beschreibt. Ich habe Ihre Antwort einige Male gelesen und es scheint mir, dass Sie versuchen, ein etwas anderes Problem in dem Bereich darzustellen, der für direkte Antworten auf die ursprüngliche Frage reserviert ist. Normalerweise wird jede "Antwort", die dies tut, einfach gelöscht, aber in diesem Fall bin ich mir nicht ganz sicher, also lasse ich dies hier, um anderen die Möglichkeit zu geben, es ebenfalls zu überprüfen.
PolyGeo
Ich lese dies auch als ein etwas anderes Problem. Bitte aktualisieren Sie die Sprache, wenn dies nicht der Fall ist.
MaryBeth
Entschuldigung für das Missverständnis des Formats und vielen Dank, dass Sie mich auf die Tour hingewiesen haben. Ich dachte, ein Kommentar wäre relevant, da es meiner Meinung nach keinen Unterschied machen sollte, ob Sie im AGOL Map Viewer oder im Collector bearbeiten. Die Berechtigungen sollten konsistent sein. Aber ich werde das mit dem Esri-Support und / oder der ArcGIS Ideas-Site aufnehmen. Für diejenigen wie mich, die aus dem gleichen Grund wie ich auf diese Frage gestoßen sind, scheint es, dass Sie, wenn Sie möchten, dass ein Feature-Service von einer Gruppe in Collector bearbeitet und von anderen angezeigt wird, wieder mehrere Ebenen von konfigurieren müssen Zugriff.
Neil Curri
Fühlen Sie sich frei, meine "Antwort" und den nachfolgenden Kommentar zu löschen, wenn Sie nicht glauben, dass sie relevant sind.
Neil Curri
Vielen Dank für Ihren Beitrag @Neil. Ich bin damit einverstanden, dass die Verwaltung unabhängig von der Art der Bearbeitung dieselbe sein sollte, aber aus unklaren Gründen ist dies anscheinend nicht der Fall. Ihr Kommentar bezieht sich auf das Thema, fügt jedoch eine Dimension hinzu, die meiner Meinung nach am besten durch das Öffnen einer neuen Frage im Sinne von "Wie können öffentliche Zuschauer und private Redakteure mit ArcGIS Collector erreicht werden?" und verweisen Sie auf diese Frage, damit die Leute verstehen, dass es sich nicht wirklich um ein Duplikat handelt.
Matt Wilkie