يمكن تكوين OpenAM 10.1.0 والإصدارات الأحدث في صورة موفر الهوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتان أساسيتان: تسجيل موفر الهوية المؤسسي مع Portal for ArcGIS وتسجيل Portal for ArcGIS مع موفر الهوية المؤسسي.
اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية. يسمح هذا بإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قِبل أدوار العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، ستصبح قادرًا على إنشاء المجموعات. مع ذلك، سيتم التحكم في قواعد العضوية من قبل Portal for ArcGIS، وليس متجر الهوية.
المعلومات المطلوبة
يتطلبPortal for ArcGIS معلومات بيانات جدولية مُحددة ليتم استقبالها من موفر التعريف عندما يُسجل المستخدم الدخول عند استخدام تسجيلات دخول مؤسسية. NameID هي بيانات جدولية إلزامية يجب إرسالها بواسطة موفر المُعرف في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
Portal for ArcGIS يدعم تدفق givenName وبيانات email address الجدولية لتسجيلات الدخول المؤسسية من موفر الهوية المؤسسي. عند تسجيل دخول المستخدم باستخدام تسجيل الدخول المؤسسي، وإذا استقبل Portal for ArcGIS مع أسماء givenname و email أو mail (في أي حالة)، يجمع Portal for ArcGIS الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم مع القيم المستلمة من موفر الهوية. يوصى بالمرور في email address من موفر المٌعرف المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
قم بتسجيل OpenAM بصفته موفر الهوية المؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في جزء تسجيلات الدخول المؤسسية انقر على زر تعيين موفر الهوية وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال، مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
يمكنك فقط تسجيل موفر هوية مؤسسي واحد للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصي أيضًا بتعطيل زر إنشاء حساب وصفحة تسجيل الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية لمُوفر الهوية باستخدام أحد الخيارات الثلاثة الموضحة أدناه:
- عنوان URL—اختر الخيار الحالي إذا تم الوصول لعنوان البيانات التعريفية المجمع OpenAM بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
ملاحظة:
إذا كان موفر الهوية المؤسسي يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند محاولة تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لموفر الهوية. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو أحد الخيارات الأخرى أدناه أو قم بتكوين موفر الهوية باستخدام شهادة موثوقة.
- ملف—إذا لم يتم الوصول لعنوان URL بواسطة Portal for ArcGIS، احفظ البيانات التعريفية التي تم الحصول عليها من عنوان URL أعلى ملف XML وقم بتحميل الملف.
- معلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو الملف. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة. اتصل بمسئول OpenAM للحصول عليها.
- عنوان URL—اختر الخيار الحالي إذا تم الوصول لعنوان البيانات التعريفية المجمع OpenAM بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير—تحديد الخيار الحالي إذا تم تكوين OpenAM لتشفير استجابات التأكيد SAML.
- تمكين طلب التسجيل—تحديد الخيار الحالي لتجيل الدخول إلى Portal for ArcGIS يتم إرسال طلب مصادقة SAML إلى OpenAM.
- مُعرف الهوية—تحديث القيمة الحالية لاستخدام مُعرف هوية جديدة لتعريف البوابة الإلكترونية بشكل منفرد لـ OpenAM.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
ملاحظة:
وحاليًا، نشر تسجيل الخروج لموفر هوية وعنوان URL لتسجيل الخروج غير مدعومين.
- اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية:
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق أمان > تكوين > Update متجر الهوية.
- ضع تكوين مجموعة JSON في المربع النصي تكوين متجر المجموعة (بتنسيق JSON).
انسخ النص التالي وبدّله ليتضمن المعلومات المحددة للموقع:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPassword, ldapURLForUsersوldapURLForRoles. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية.
إذا كان LDAP تم تكوينه ليكون حساس لحالة الأحرف، عيّن معلمة caseSensitive لتكون false.
- عند الانتهاء من إدخال JSON لتكوين متجر المستخدم، انقر على تحديث التكوين لحفظ التغييرات وإعادة تشغيل البوابة الإلكترونية.
قم بتسجيل Portal for ArcGIS باعتباره موفر الخمة الموثوقة مع OpenAM
- تكوين موفر الهوية المستضاف في OpenAM.
- تسجيل الدخول على وحدة تحكم إدارة OpenAM. يتوفر ذلك عادةً في http://servername:port/<deploy_uri>/console.
- من على علامة تبويب المهام الشائعة ، انقر على إنشاء موفر الهوية المستضاف.
- قم بإنشاء موفر الهوية المستضاف وقم بإضافته إلى دائرة الثقة. يمكن إضافتها إلى دائرة الثقة الحالية في حالة حصولك عليها بالفعل أو إنشاء أخرى جديدة.
- افتراضيًا، يتعامل موفر الهوية المستضاف مع OpenDJ، ومخزن المستخدم المضمن الذي يتم الحصول عليه مع OpenAM. إذا كنت ترغب في اتصال OpenAM بأي من مخازن المستخدم الأخرى مثل الدليل النشط، ستحتاج إلى إنشاء مصدر بيانات جديد أدنى علامة التبويب التحكم في الوصول لوحدة تحكم إدارة OpenAM الأساسية.
- قم بتكوين Portal for ArcGIS بصفته موفر الخدمة الموثوق مع OpenAM.
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
للحصول على ملف البيانات التعريفية، سجّل الدخول كمسئول للمؤسسة، وافتح صفحة المؤسسة. انقر على زر تحرير الإعدادات وانقر على علامة تبويب التأمين وفي قسم تسجيلات الدخول المؤسسي وانقر على زر الحصول على موفر الخدمة.
- في وحدة تحكم إدارة OpenAM أدنى المهام الشائعة، انقر على تسجيل موفر الخدمة البعيد.
- حدد خيار ملف للبيانات التعريفية وقم بتحميل ملف XML للبيانات التعريفية المحفوظ في الخطوة السابقة.
- أضف موفر الخدمة لنفس دائرة الثقة التي قمت بإضافة موفر الهوية لها.
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
- تكوين تنسيق NameID والبيانات الجدولية التي يتعين على OpenAM إرسالها إلى Portal for ArcGIS بعد مصادقة المستخدم.
- في وحدة تحكم إدارة OpenAM، انقر على علامة التبويب اتحاد. تتضمن علامة التبويب دائرة الثقة التي تم إضافتها مسبقًا وكذلك الخدمة وموفر الهوية.
- أدنى موفر الهوية، انقر على موفر الهوية.
- في علامة تبويب محتوى التأكيد ، تحت تنسيق مُعرف الاسم، تأكد من أن urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أعلى القائمة. هذا هو تنسيق NameID الذي سوف يتطلب Portal for ArcGIS وجوده في طلف SAML إلى OpenAM.
- تحت خريطة قيمة مُعرف الاسم، أو البيانات الجدولية من ملف المستخدم التعريفي، مثل mail أو upn، الذي سيرجع باعتباره NameID إلى Portal for ArcGIS بعد تصديق المستخدم.
مثال: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- انقر على علامة التبويب معالجة التأكيد في موفر الهوية. أسفل مُعيّن البيانات الجدولية, قم بتكوين البيانات الجدولية من الملف التعريفي للمستخدم الذي ترغب في إرساله إلى Portal for ArcGIS.
Portal for ArcGIS يدعم تدفق givenName وبيانات email address الجدولية لتسجيلات الدخول المؤسسية من موفر الهوية المؤسسي. عند تسجيل دخول المستخدم باستخدام تسجيل الدخول المؤسسي، وإذا استقبل Portal for ArcGIS مع أسماء givenname و email أو mail (في أي حالة)، يجمع Portal for ArcGIS الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم مع القيم المستلمة من موفر الهوية.
يُوصى باجتياز عنوان البريد الإلكتروني من معرف الهوية المؤسسي إلى Portal for ArcGIS. يُعد ذلك عمليًا عندما يصبح المستخدم مسئولاً لاحقًا. يمنح عنوان البريد الإلكتروني في الحساب المستخدم الحق في تلقي الإشعارات الخاصة بأي نشاط إداري وإرسال دعوات إلى مستخدمين آخرين للانضمام إلى المؤسسة.
انقر على حفظ لحفظ تنسيق NameID وتغييرات محتوى البيانات الجدولية.
- من على علامة تبويب اتحاد الخاص بلوحة تحكم إدارة OpenAM، استعرض موفر خدمة Portal for ArcGIS أسفل موفري الهوية.
- من على علامة تبويب محتوى التأكيد أسفل التشفير, حدد خيار التأكيد إذا اخترت إعدادات متقدمة تأكيد التشفير عند تسجيل OpenAM في صورة موفر الهوية مع Portal for ArcGIS.
- تحت تنسيق مُعرف الاسم، تحقق من أن urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified مُدرج بالأعلى. هذا هو تنسيق NameID الذي سوف يتطلب Portal for ArcGIS وجوده في طلف SAML إلى OpenAM..
- انقر فوق علامة التبويب معالجة التأكيد في موفر الهوية. أسفل مُعيّن البيانات الجدولية, قم بتكوين البيانات الجدولية من الملف التعريفي للمستخدم الذي ترغب في إرساله إلى Portal for ArcGIS.
- انقر على حفظ لحفظ تنسيق مُعرف الاسم وتغييرات محتوى البيانات الجدولية.
- أعد تشغيل خادم الويب حيث يتم نشر OpenAM.