Skip To Content

تكوين خدمات اتحاد الدليل النشط

يمكنك تكوين خدمات توحيد الدليل النشط الإصدار (AD FS) الإصدار 2.0 إظهار الحزمة 3 والإصدار AD FS 3.0 في نظام تشغيل Microsoft Windows Server كمُوفر هوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتان أساسيتان: تسجيل موفر الهوية المؤسسي مع Portal for ArcGIS وتسجيل Portal for ArcGIS مع موفر الهوية المؤسسي.

اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في دليل Windows النشط للبوابة الإلكترونية. يسمح هذا بإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قِبل أدوار العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، ستصبح قادرًا على إنشاء المجموعات. مع ذلك، سيتم التحكم في قواعد العضوية من قبل Portal for ArcGIS، وليس دليل Windows النشط.

المعلومات المطلوبة

يتطلبPortal for ArcGIS معلومات بيانات جدولية مُحددة ليتم استقبالها من موفر التعريف عندما يُسجل المستخدم الدخول عند استخدام تسجيلات دخول مؤسسية. NameID هي بيانات جدولية إلزامية يجب إرسالها بواسطة موفر المُعرف في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.

يدعمPortal for ArcGIS تدفق givenName والبيانات الجدولية email address للتسجيلات المؤسسية من موفر التعريف المؤسسي. عند تسجيل دخول المستخدم باستخدام تسجيل الدخول المؤسسي، وإذا استقبل Portal for ArcGIS مع أسماء givenname و email أو mail (في أي حالة)، يجمع Portal for ArcGIS الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم مع القيم المستلمة من موفر الهوية. يوصى بالمرور في email address من موفر المٌعرف المؤسسي حيث مكن للمستخدم استقبال الإعلامات.

قم بتسجيل AD FS بصفته موفر الهوية المؤسسي مع Portal for ArcGIS

  1. سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
  2. في جزء تسجيلات الدخول المؤسسية انقر على زر تعيين موفر الهوية وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال، مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
    ملاحظة:‏

    يمكنك فقط تسجيل موفر هوية مؤسسي واحد للبوابة الإلكترونية.

  3. اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
    تلميح:

    يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصي أيضًا بتعطيل زر إنشاء حساب وصفحة تسجيل الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.

  4. قم بتوفير معلومات البيانات التعريفية لمُوفر الهوية باستخدام أحد الخيارات أدناه:
    • عنوان URL‏‎—إذا كان عنوان URL لبيانات تعريف اتحاد AD FS القابلة للوصول، حدد الخيار الحالي وادخل عنوان URL (على سبيل المثال، https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
      ملاحظة:‏

      إذا كان موفر الهوية المؤسسي يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند محاولة تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لموفر الهوية. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو أحد الخيارات الأخرى أدناه أو قم بتكوين موفر الهوية باستخدام شهادة موثوقة.

    • الملف—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL. قم بتنزيل نسخة من ملف بيانات التعريفية للتوحيد أو احصل عليها من AD FS، وقم بتحميل الملف على Portal for ArcGIS باستخدام خيارات الملف.
    • المعلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو ملف بيانات تعريف الاتحاد. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة. اتصل بمسئول AD FS للحصول عليها.
  5. قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
    • تأكيد التشفير- حدد الخيار الحالي لتشفير استجابات تأكيد AD FS SAML.
    • تمكين الطلب المُسجل- حدد هذا الخيار لتسجيل Portal for ArcGIS طلب مصادقة SAML المُرسل إلى AD FS.
    • نشر تسجيل الخروج لموفر الهوية-حدد هذا الخيار ليستخدم Portal for ArcGIS عنوان URL لتسجيل الخروج بهدف تسجيل خروج المستخدم من AD FS. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا تطلب موفر الهوية عنوان URL لتسجيل الخروج بهدف تسجيله، يجب التأشير على تمكين الطلب المُسجل.
      ملاحظة:‏

      يتطلب AD FS افتراضيًا طلبات تسجيل الخروج ليتم تسجيلها باستخدام SHA-256، وبالتالي يتعين عليك التأشير على تمكين الطلب المسجل و التسجيل باستخدام SHA256.

    • عنوان URL لتسجيل الخروج- عنوان URL لموفر الهوية المُستخدم لتسجيل خروج المُستخدِم المُسجل للدخول حاليًا.
    • موفر الهوية- تحديث هذه القيمة كموفر هوية جديد لتعريف البوابة الإلكترونية على AD FS بشكل فريد.

    يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.

  6. توفر بشكل اختياري البيانات التعريفية للبوابة الإلكترونية حول المجموعات المؤسسية في دليل Windows النشط:
    1. سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
    2. انقر فوق أمان > تكوين > Update متجر الهوية.
    3. ضع تكوين مجموعة JSON في المربع النصي تكوين متجر المجموعة (بتنسيق JSON).

      يُمكن نسخ النص التالي وتبديله ليتضمن المعلومات المحددة للموقع:

      {
      "type": "LDAP",
      "properties": {
      "userPassword": "secret",
      "isPasswordEncrypted": "false",
      "user": "cn=aduser,ou=users,ou=ags,dc=example,dc=com",
      "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
      "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com",
      "usernameAttribute": "sAMAccountName",
      "caseSensitive": "false",
      "userSearchAttribute": "sAMAccountName",
      "memberAttributeInRoles": "member",
      "rolenameAttribute":"sAMAccountName"
      }
      }

      في معظم الأحيان، ستحتاج تبديل القيم إلى user, userPasswordو ldapURLForUsers، ومعلمات ldapURLForRoles. يجب على مسئول AD توفير عنوان URL لـ LDAP. يتطلب الحساب الذي تستخدمه لمعلمات user المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية.

    4. عند الانتهاء من إدخال JSON لتكوين متجر المستخدم، انقر فوق تحديث التكوين لحفظ التغييرات وإعادة تشغيل البوابة الإلكترونية.

قم بتسجيل Portal for ArcGIS كموفر الخدمة الموثوق مع AD FS.

  1. افتح وحدة تحكم إدارة AD FS.
  2. اختر علاقات ثقة جهة الاعتماد > إضافة علاقة ثقة جهى الاعتماد.
    وحدة تحكم إدارة AD FS
  3. في معالج إضافة جهة موثوقة، وانقر على زر ابدأ.
    مرحبًا
  4. فيما يتعلق بـ تحديد مصدر البيانات اختر خيارًا واحدًا للحصول على البيانات المتعلقة بجهة الاعتماد: قم بالاستيراد من عنوان URL أو من الملف أو الإدخال يدويًا. يتطلب عنوان URL وخيارات الملف اللذان تحصل عليهما البيانات التعريفية للمؤسسة. إذا لم تتمكن من الدخول إلى عنوان URL أو ملف البيانات التعريفية، يمكنك إدخال المعلومات يدويًا. في بعض الحالات، قد يُعد إدخال البيانات يدويًا الخيار الأسهل.
    • استيراد البيانات المتعلقة بالجهة الموثوقة المنشورة على شبكة الإنترنت أو على شبكة محلية

      يستخدم هذا الخيار البيانات التعريفية لعنوان URL على مؤسسة Portal for ArcGIS. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم AD FS في حقل عنوان URL لـ Webapp. لا يُدعم تحديد أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يقوم بإنشاء رمز مميز غير صحيح.

      ملاحظة:‏

      يكون arcgis جزء من عنوان URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.

    • استيراد البيانات المتعلقة بالجهة الموثوقة من ملف
      استيراد من ملف

      يستخدم هذا الخيار ملف xml للبيانات التعريفية من مؤسسة Portal for ArcGIS. هناك طريقتان يمكن من خلالهما الحصول على ملف XML للبيانات التعريفية:

      • في جزء الأمان على صفحة تحرير الإعدادات للمنظمة، انقر فوق زر الحصول على موفر الخدمة. يقدم هذا البيانات التعريفية للمؤسسة حيث يمكن الحفظ على شكل ملف XML على الكمبيوتر.
      • افتح عنوان URL للبيانات التعريفية على مؤسسة Portal for ArcGIS واحفظه على شكل ملف XML على الكمبيوتر. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم AD FS في حقل عنوان URL لـ Webapp. لا يتم دعم تحديد أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يتم إنشاء رمز مميز غير صحيح.
        ملاحظة:‏

        يكون arcgis جزء من عناوين URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.

    • إدخال البيانات المتعلقة بالجهة الموثوقة يدويًا
      إدخال البيانات يدويًا

      باستخدام هذا الخيار، يعرض معالج إضافة علاقات ثقة جهة الاعتماد نوافذ إضافية حيث يمكن إدخال البيانات يدويًا. موضح ذلك في الخطوات 6 و8 الموضحة أدناه.

  5. فيما يتعلق بتحديد اسم العرض،أدخل اسم العرض.
    مثال اسم العرض لعنوان URL أو مصدر البيانات الملفية

    يستخدم اسم العرض لتحديد جهة الاعتماد في AD FS. خارج ذلك، هذا لا يعني شيء. ينبغي تعيين ذلك إما على ArcGIS أو على اسم المؤسسة داخل ArcGIS، مثال، ArcGIS—SamlTest.

    تلميح:

    تعرض الصورة الموضحة أعلاه نافذة تحديد اسم العرض مع خطوات استيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج وتكون موضحة في الخطوات 6 و8 الموضحة أدناه. إذا تم تحديد عنوان URL أو الملف، يمكن التخطي وصولا للخطوة 9.

  6. (مصدررالبيانات يدويًا فقط) في اختيار ملف تعريفي، اختر ملف AD FS 2.0 التعريفي (أو إصدار AD FS لاحق، إذا كان ممكنًا في البيئة المستخدمة).
    اختيار ملف تعريفي
  7. (مصدر البيانات يدويًا فقط) في تكوين عنوان URL، قم بالتأشير على خانة تمكين دعم بروتوكول SAML 2.0 WebSSO وأدخل عنوان URL لخدمة SAML 2.0 SSO للجهة الموثوقة.

    ينبغي أن يكون عنوان URL لجهة الاعتماد هو عنوان URL حيث يرسل AD FS استجابة SAML بعد مصادقة المستخدم. يجب أن يكون ذلك عنوان URL لـ HTTPS: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/oauth2/saml/signin.

    ملاحظة:‏

    يكون arcgis جزء من عنوان URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.

  8. (مصدر البيانات يدويًا فقط) في تكوين المُعرّفات، وأدخل عنوان URL لمُعرّف ثقة الجهة الموثوقة.

    يجب أن يكون ذلك portal.domain.com.arcgis.

  9. في اختر قواعد مصادقة التأمين، اختر ‎السماح لكل المستخدمين بالوصول إلى هذه الجهة الموثوقة.
    اختر قواعد تخويل التأمين
    تلميح:

    تعرض الصورة الموضحة أعلاه نافذة اختيار قواعد تخويل الإصدار مع خطوات استيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج.

  10. فيما يتعلق بـ جاهز لإضافة الثقة، قم بمراجعة كافة الإعدادات الخاصة بجهة الاعتماد. يتم فقط تعبئة عنوان URL للبيانات التعريفية في حالة اختيار استيراد مصدر البيانات من عنوان URL. تعرض الصورة الموضحة أدناه نافذة الاستعداد إلى إضافة علاقات الثقة في حالة اختيار إدخال معلومات مصدر البيانات.
    مثال على "مستعد لإضافة ثقة

    انقر على التالي.

    تلميح:

    إذا تم تمكين الخيار مراقبة جهة اعتماد فإن AD FS سوف يفحص بشكل دوري عنوان URL لبيانات تعريف الاتحاد ومقارنته بالحالة الحالية لثقة جهة الاعتماد. ومع ذلك، سوف تفشل المراقبة بمجرد انتهاء صلاحية الرمز المميز في عنوان URL لبيانات تعريف الاتحاد. يتم تسجيل حالات الفشل في سجل أحداث AD FS. لمنع تلك الرسالات من العرض، يُوصى بتعطيل المراقبة أو تحديث الرمز المميز.

  11. في إنهاء، قم بالتأشير على الخانة لفتح مربع حوار تحرير قواعد المطالبة تلقائيًا بعد النقر على زر إغلاق.
    إنهاء
    تلميح:

    تعرض الصورة الموضحة أعلاه نافذة إنهاء مع خطوات لاستيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج.

  12. لتعيين قواعد المطالبة، افتح معالج تحرير قواعد المطابقة وانقر على إضافة قاعدة.
    تحرير قواعد المطالبة
  13. من تحديد قالب القاعدة، حدد قالب إرسال جداول بيانات LDAP كمطالبات لقاعدة المطالبة التي تريد إنشاؤها، وانقر على التالي.
    اختير نوع القاعدة
  14. من تكوين قاعدة المطالبة، قم بتوفير اسم القاعدة، على سبيل المثال, DefaultClaims.
    1. فيما يتعلق بمخزن البيانات الجدولية حدد الدليل النشط.
    2. فيما يتعلق بتعيين البيانات الجدولية LDAP لأنواع المطالب الصادرة،حدد البيانات الجدولية LDAP المتضمنة أسماء المستخدم (مثال، SAM-Account-Name)للبيانات الجدولية LDAP و NameID لنوع المطالب الصادرة.
      ملاحظة:‏

      NameID‎ هو البيانات الجدولية التي يرسلها AD FS في استجابة SAML لجعل الاتحاد مع أعمال ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.

  15. Portal for ArcGIS يدعم تدفق givenName وبيانات email address الجدولية لتسجيلات الدخول المؤسسية من موفر الهوية المؤسسي. عند تسجيل دخول المستخدم باستخدام تسجيل الدخول المؤسسي، وإذا استقبل Portal for ArcGIS مع أسماء givenname و email أو mail (في أي حالة)، يجمع Portal for ArcGIS الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم مع القيم المستلمة من موفر الهوية.

    اتبع التعليمات أدناه لتحرير قواعد المطالبات.

    تحرير القاعدة - DefaultClaims
    • في عمود جدول بيانات LDAP ، اختر اسم العرض (أو بيانات جدولية مختلفة من القائمة في الصف الثاني) وتخطيطه في الاسم المتوفر في عمود نوع المطالب الصادرة.
    • في عمود جدول البيانات الجدولية اختر E·Mail-Addresses وقم بتخطيطه في E·Mail Address في نوع مطالبات صادر.

    مع هذه المطالبة، يقوم AD FS بإرسال البيانات الجدولية مع الأسماء givenname و email إلى Portal for ArcGIS بعد مصادقة المستخدم. Portal for ArcGIS ثم استخدام القيم المستلمة في givenname وبيانات email الجدولية وتعبئة الاسم بالكامل وعنوان البريد الإلكتروني من حساب المستخدم.

    يُوصى باجتياز عنوان البريد الإلكتروني من معرف الهوية المؤسسي إلى Portal for ArcGIS. يُعد ذلك عمليًا عندما يصبح المستخدم مسئولاً لاحقًا. يمنح عنوان البريد الإلكتروني في الحساب المستخدم الحق في تلقي الإشعارات الخاصة بأي نشاط إداري وإرسال دعوات إلى مستخدمين آخرين للانضمام إلى المؤسسة.

  16. انقر على Finish لإنهاء تكوين موفر المُعرف AD FS لتضمين Portal for ArcGIS باعتبارها مجموعة معتمدة.

عمليات تسجيل دخول IDP المُهيأة

بعد تكوين AD FS كموفر هوية للمؤسسة، يكون لديك الخيار لزيادة عمليات تسجيل الدخول المؤسسية المُهيأة بواسطة موفر الهوية (IDP). يجب تمكين تسجيلات دخول IDP لتهيئة تسجيلات دخول IDP في AD FS و Portal for ArcGIS. إذا لم تفعل ذلك بالفعل، اتبع الخطوات التالية لتمكين عمليات تسجيل دخول IDP في AD FS. يدعمPortal for ArcGIS تسجيلات دخول IDP افتراضيًا؛ لذا لا توجد خطوات تكوين إضافية لازمة في Portal for ArcGIS، يعد التكوين في AD FS فقط ضروريًا.

  1. قم بتمكين AD FS لإرسال المعلمة RelayState في ملف web.config . يتم استخدام المعلمة لتعريف المورد المحدد الذي سيصل المستخدم إليه بعد تسجيل الدخول.
    1. افتح ملف web.config. يتم تحديد موقع الملف افتراضيًا على C:\inetpub\adfs\ls\.
    2. أضف الإدخال التالي إلى القسم microsoft.identityServer.web من الملف web.config :

      <microsoft.identityServer.web>
          ...
          <useRelayStateForIdpInitiatedSignOn enabled="true" />
      </microsoft.identityServer.web>

  2. قم بإنشاء المعلمة RelayState . يتطلب AD FS اثنين من أجزاء المعلومات لإنشاء RelayState:
    1. موفر جهة الاعتماد (RPID)—يشير هذا إلى مُعرف جهة الاعتماد لمؤسسة Portal for ArcGIS التي تم تكوينها في AD FS. للحصول على ذلك، افتح خصائص جهة Portal for ArcGIS الموثوقة من وحدة تحكم إدارة AD FS (على سبيل المثال webadaptorhost.domain.com).
      وحدة تحكم إدارة AD FS
    2. RelayState—هذا هو عنوان URL لموقع البوابة الإلكترونية حيث يتم إعادة توجيه المستخدم بعد تسجيل الدخول بنجاح في موقع AD FS 0 (على سبيل المثال، https://webadaptorhost.domain.com/webadaptorname/).
  3. قم بإنشاء المعلمة RelayState عن طريق تعريف القيم الخاصة بـ RPID و RelayState.
  4. قم بتشفير القيم الخاصة بـ RPID و RelayState، على سبيل المثال:
    • RPID: webadaptorhost.domain.com.webadaptorname
    • RelayState: https%3A%2F%2Fwebadaptorhost.domain.com%2Fwebadaptorname%2F
  5. قم بدمج القيم المشفرة التي قمت بإنشائها في الخطوة السابقة في سلسلة واحدة (على سبيل المثال، RPID=webadaptorhost.domain.com.webadaptorname&RelayState=https%3A%2F%2Fwebadaptor.domain.com%2Farcgis%2F).
  6. قم بتشفير السلسلة التي تم دمجها (على سبيل المثال، RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F).
  7. أضف المعلمة RelayState إلى السلسلة وقم بإلحاقها إلى عنوان URL لـ SSO المُهيأ بواسطة موفر الهوية IDP الخاص بـ AD FS (على سبيل المثال، https://idphost.test.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F). هذا هو عنوان URL الذي سوف يتم استخدامه لبدء عملية تسجيل الدخول في موقع AD FS:

عند تسجيل دخول المستخدم والمُصادقة بنجاح، سيقوم AD FS بإنشاء استجابة SAML وتمرير RelayState باستخدام عنوان URL للمؤسسة إلى Portal for ArcGIS. تتحقق البوابة الإلكترونية من صحة استجابة SAML وإعادة توجيه المستخدم إلى المؤسسة ومواردها.