يمكن تكوين Shibboleth 3.2x في صورة موفر الهوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتان أساسيتان: تسجيل موفر الهوية المؤسسي مع Portal for ArcGIS وتسجيل Portal for ArcGIS مع موفر الهوية المؤسسي.
اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية. يسمح هذا بإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قِبل أدوار العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، ستصبح قادرًا على إنشاء المجموعات. مع ذلك، سيتم التحكم في قواعد العضوية من قبل Portal for ArcGIS، وليس متجر الهوية.
المعلومات المطلوبة
يتطلبPortal for ArcGIS معلومات بيانات جدولية مُحددة ليتم استقبالها من موفر التعريف عندما يُسجل المستخدم الدخول عند استخدام تسجيلات دخول مؤسسية. NameID هي بيانات جدولية إلزامية يجب إرسالها بواسطة موفر المُعرف في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
Portal for ArcGIS يدعم تدفق givenName وبيانات email address الجدولية لتسجيلات الدخول المؤسسية من موفر الهوية المؤسسي. عند تسجيل دخول مستخدم باستخدام دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemailأو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المستلمة من موفر الهوية. يوصى بالمرور في email address من موفر المٌعرف المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
قم بتسجيل Shibboleth بصفته موفر الهوية المؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في جزء تسجيلات الدخول المؤسسية انقر على زر تعيين موفر الهوية وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال، مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
يمكنك فقط تسجيل موفر هوية مؤسسي واحد للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصى أيضًا بتعطيل زر إنشاء حساب وصفحة التسجيل (signup.html) في موقع البوابة الإلكترونية حتى يتعذر على المستخدمين إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية لمُوفر الهوية باستخدام أحد الخيارين أدناه:
- ملف—يوفر Shibboleth ملف البيانات التعريفية IdP في SHIBBOLETH_HOME/metadata. إذا كان ملف البيانات التعريفية قابل للوصول، اختر خيار ملف من أجل البيانات التعريفية لموفر التعريف المؤسسي وتصفح لملف SHIBBOLETH_HOME/metadata/idp-metadata.xml.
- معلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى الملف. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة. اتصل بمسئول Shibboleth للحصول عليها.
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير—تحديد الخيار الحالي إذا تم تكوين Shibboleth لتشفير استجابات التأكيد SAML.
- تمكين طلب التسجيل—تحديد الخيار الحالي لتجيل الدخول إلى Portal for ArcGIS يتم إرسال طلب مصادقة SAML إلى Shibboleth.
- مُعرف الهوية—تحديث القيمة الحالية لاستخدام مُعرف هوية جديدة لتعريف البوابة الإلكترونية بشكل منفرد لـ Shibboleth.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
ملاحظة:
وحاليًا، نشر تسجيل الخروج لموفر هوية وعنوان URL لتسجيل الخروج غير مدعومين.
- اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية:
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق أمان > تكوين > Update متجر الهوية.
- ضع تكوين مجموعة JSON في المربع النصي تكوين متجر المجموعة (بتنسيق JSON).
انسخ النص التالي وبدّله ليتضمن المعلومات المحددة للموقع:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPassword, ldapURLForUsersوldapURLForRoles. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية.
إذا كان LDAP تم تكوينه ليكون حساس لحالة الأحرف، عيّن معلمة caseSensitive لتكون false.
- عند الانتهاء من إدخال JSON لتكوين متجر المستخدم، انقر على تحديث التكوين لحفظ التغييرات وإعادة تشغيل البوابة الإلكترونية.
قم بتسجيل Portal for ArcGIS باعتباره موفر الخمة الموثوقة مع Shibboleth
- تكوين Portal for ArcGIS كجهة اعتماد في Shibboleth.
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
للحصول على ملف البيانات التعريفية، سجّل الدخول كمسئول للمؤسسة، وافتح صفحة المؤسسة. انقر على زر تحرير الإعدادات وانقر على علامة تبويب التأمين وفي قسم تسجيلات الدخول المؤسسي وانقر على زر الحصول على موفر الخدمة.
- قم بتكوين Portal for ArcGIS باعتباره موفر الخدمة الموثوق في Shibboleth بتعريف عنصر MetadataProvider جديد في ملف SHIBBOLETH_HOME/conf/metadata-providers.xml .
أضف القصاصة أدناه في عنصر MetadataProvider الأساسي. قم بتوفير مسار ملف XML للبيانات التعريفية للمؤسسة (تم حفظه في الخطوة 1.a أعلاه).
<MetadataProvider id="EsriSP" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd" failFastInitialization="true" metadataFile=" <PATH_TO_THE_SAVED_METADATA>/esri-sp-metadata.xml" />
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
- تكوين مصادقة المستخدم. في المثال التالي، يتم تكوين خادم دليل LDAP كمخزن مستخدم بتحديث الخصائص الضرورية في الملف SHIBBOLETH_HOME/conf/ldap.properties:.
idp.authn.LDAP.authenticator = bindSearchAuthenticator
idp.authn.LDAP.ldapURL = ldaps://myldap.example.org:port
idp.authn.LDAP.baseDN = ou=People,dc=example,dc=org
idp.authn.LDAP.userFilter= (uid={user})
idp.authn.LDAP.bindDN = cn=readonlyuser,dc=example,dc=org
idp.authn.LDAP.bindDNCredential = userpassword
- قم بتكوين جداول بيانات المستخدم ليقوم Shibboleth بإرجاعها.
- تحرير SHIBBOLETH_HOME/conf/attribute-resolver.xml. قم بالتعليق على كل تعريفات جداول بيانات المثال الحالي وموصلات البيانات أو حذفها.
- انسخ تعريفات mail وgivenName من ملف SHIBBOLETH_HOME/conf/attribute-resolver-full.xml إلى ملف SHIBBOLETH_HOME/conf/attribute-resolver.xml. ومن ثمّ، أضف الإدخال التالي لجدول البيانات الذي سيستخدم كمُعرّف الاسم:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="<NameID attribute>" sourceAttributeID ="<NameID attribute>"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" /> </resolver:AttributeDefinition>
- انسخ قسم موصل بيانات LDAP من SHIBBOLETH_HOME/conf/attribute-resolver-ldap.xml إلى SHIBBOLETH_HOME/conf/attribute-resolver.xml.
- قم بتكوين جدول البيانات لإصداره إلى موفر الخدمات. قم بتحرير الملف SHIBBOLETH_HOME/conf/attribute-filter.xml وأضف ما يلي:
ملاحظة:
استبدل mygis.maps.arcgis.com بمعرف الوحدة في مؤسستك.
<AttributeFilterPolicy id="ArcGIS"> <PolicyRequirementRule xsi:type="Requester" value="mygis.maps.arcgis.com" /> <AttributeRule attributeID="<NameID Attribute>"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="givenName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="mail"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy>
- قم بتحرير الملف SHIBBOLETH_HOME/conf/relying-party.xml.
- انسخ كود XML أدناه والصقه داخل عناصر shibboleth.RelyingPartyOverrides ليتجاوز التكوين الافتراضي لموفر هوية Shibboleth:
<util:list id="shibboleth.RelyingPartyOverrides"> <bean parent="RelyingPartyByName" c:relyingPartyIds="mygis.maps.arcgis.com"> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" /> </list> </property> </bean> </util:list>
ملاحظة:
استبدل mygis.maps.arcgis.com بمعرف الوحدة في مؤسستك.
تقوم المعلمة nameIDFormatPrecedence بتوجيه موفر الهوية لإرسال جدول بيانات معرف الاسم بتنسيق unspecified المطلوبة بواسطة ArcGIS Online و Portal for ArcGIS.
- أوقف تشغيل تشفير التأكيد في موفر هوية Shibboleth بإعداد معلمة encryptAssertions إلى false.
<bean parent="RelyingPartyByName" c:relyingPartyIds="mygis.maps.arcgis.com"> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" p:encryptAssertions="false" /> </list> </property> </bean>
- انسخ كود XML أدناه والصقه داخل عناصر shibboleth.RelyingPartyOverrides ليتجاوز التكوين الافتراضي لموفر هوية Shibboleth:
- قم بتحرير الملف SHIBBOLETH_HOME/conf/saml-nameid.xml واستبدل هذا الجزء:
<!-- <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> -->
مع التالي:
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" p:attributeSourceIds="#{ {'your-name-id-attribute'} }" />
- أعد تشغيل برنامج Shibboleth الخفي (Linux) أو الخدمة (Windows).