يمكن تكوين NetIQ Access Manager 3.2 والإصدارات الأحدث في صورة موفر الهوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتان أساسيتان: تسجيل موفر الهوية المؤسسي مع Portal for ArcGIS وتسجيل Portal for ArcGIS مع موفر الهوية المؤسسي.
اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية. يسمح هذا بإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قِبل أدوار العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، ستصبح قادرًا على إنشاء المجموعات. مع ذلك، سيتم التحكم في قواعد العضوية من قبل Portal for ArcGIS، وليس متجر الهوية.
المعلومات المطلوبة
يتطلبPortal for ArcGIS معلومات بيانات جدولية مُحددة ليتم استقبالها من موفر التعريف عندما يُسجل المستخدم الدخول عند استخدام تسجيلات دخول مؤسسية. NameID هي بيانات جدولية إلزامية يجب إرسالها بواسطة موفر المُعرف في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
يدعمPortal for ArcGIS تدفق givenName والبيانات الجدولية email address للتسجيلات المؤسسية من موفر التعريف المؤسسي. عند تسجيل دخول مستخدم باستخدام دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemailأو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المستلمة من موفر الهوية. يوصى بالمرور في email address من موفر المٌعرف المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
قم بتسجيل NetIQ Access Manager بصفته موفر الهوية المؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في جزء تسجيلات الدخول المؤسسية انقر على زر تعيين موفر الهوية وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال، مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
يمكنك فقط تسجيل موفر هوية مؤسسي واحد للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصى أيضًا بتعطيل زر إنشاء حساب وصفحة التسجيل (signup.html) في موقع البوابة الإلكترونية حتى يتعذر على المستخدمين إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية لمُوفر الهوية باستخدام أحد الخيارات الثلاثة الموضحة أدناه:
- عنوان URL—استخدم الخيار الحالي إذا تم الوصول لعنوان URL للبيانات التعريفية المجمعة لمدير وصول NetIQ بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/nidp/saml2/metadata بالجهاز هو مكان تشغيل NetIQ Access Manager.
ملاحظة:
إذا كان موفر الهوية المؤسسي يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند محاولة تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لموفر الهوية. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو أحد الخيارات الأخرى أدناه أو قم بتكوين موفر الهوية باستخدام شهادة موثوقة.
- ملف—إذا لم يتم الوصول لعنوان URL بواسطة Portal for ArcGIS، احفظ البيانات التعريفية التي تم الحصول عليها من عنوان URL أعلى ملف XML وقم بتحميل الملف.
- معلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو الملف. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة. اتصل بمسئول NetIQ Access Manager للحصول عليه.
- عنوان URL—استخدم الخيار الحالي إذا تم الوصول لعنوان URL للبيانات التعريفية المجمعة لمدير وصول NetIQ بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/nidp/saml2/metadata بالجهاز هو مكان تشغيل NetIQ Access Manager.
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير—تحديد الخيار الحالي إذا تم تكوين مدير وصول NetIQ لتشفير استجابات التأكيد SAML.
- تمكين الطلب الموقع—تحديد الخيار الحالي للحصول على تسجيل دخول Portal for ArcGIS لطلب مصادقة SAML المرسل إلى مدير وصول NetIQ.
- نشر تسجيل الخروج لموفر الهوية- حدد هذا الخيار Portal for ArcGIS لاستخدام عنوان URL لتسجيل الخروج لتسجيل خروج المستخدم من مدير وصول Net IQ. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا تطلب موفر الهوية توقيع عنوان URL لتسجيل الخروج يجب التأشير على تمكين الطلب المُوقّع needs to be checked.
- عنوان URL لتسجيل الخروج- يتم استخدام عنوان URL لموفر الهوية لتسجيل خروج المستخدم الذي يُسجل الدخول حاليًا. يتم تعبئة هذه القيمة تلقائيًا إذا تم تعريفها في الملف التعريفي لموفر الهوية. يمكنك تحديث عنوان URL على النحو المطلوب.
- مُعرف الهوية—تحديث القيمة الحالية لاستخدام مُعرف هوية جديدة لتعريف البوابة الإلكترونية بشكل منفرد لمدير وصول NetIQ.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
- اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية:
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق أمان > تكوين > Update متجر الهوية.
- ضع تكوين مجموعة JSON في المربع النصي تكوين متجر المجموعة (بتنسيق JSON).
إذا كان مخزن الهوية دليل نشط لـ Windows، انسخ النص التالي وقم بتبديله ليحتوي على معلومات خاصة بموقعك:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
في معظم الحالات، يجب عليك فقط تبديل معلمات user وuserPassword. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية. يحتاج الحساب المُستخدم لمعلمات user لتصاريح للبحث عن أسماء مجموعة Windows على الشبكة. إن أمكن، استخدم الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
إذا كان مخزن الهوية LDAP، انسخ النص التالي وقم بتبديله ليحتوي على معلومات خاصة بموقعك:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPassword, ldapURLForUsersوldapURLForRoles. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية.
إذا كان LDAP تم تكوينه ليكون حساس لحالة الأحرف، عيّن معلمة caseSensitive لتكون false.
- عند الانتهاء من إدخال JSON لتكوين متجر المستخدم، انقر على تحديث التكوين لحفظ التغييرات وإعادة تشغيل البوابة الإلكترونية.
قم بتسجيل Portal for ArcGIS بصفته موفر خدمة معتمد مع NetIQ Access Manager
- تكوين مجموعة البيانات الجدولية.
اتبع الخطوات الموضحة أدناه لإنشاء مجموعة بيانات جديدة حيت يمكن إرسال البيانات الجدولية إلى Portal for ArcGIS كجزء من تأكيد SAML بعد مصادقة المستخدم. عند الحصول على مجموعة البيانات الجدولية الحالية التي تم تكوينها بالفعل داخل NetIQ Access Manager، يمكن استخدام هذه المجموعة أيضًا.
- قم بتسجيل الدخول على وحدة تحكم إدارة NetIQ Access Manager. يتوفر ذلك عادةً في http(s)://<host>:<port>/nps.
- استعرض خادم الهوية في وحدة تحكم إدارة NetIQ وانقر على علامة التبويب الإعدادات المشتركة. أدنى مجموعات البيانات الجدولية ، ينبغي رؤية مجموعات البيانات الجدولية التي تم إنشائها بالفعل. انقر على جديد وقم بإنشاء مجموعة بيانات جدولية جديدة. ادخل البوابة الإلكترونية تحت تحديد الاسم وانقر على التالي.
- قم بتحديد تعيينات البيانات الجدولية وأضفها إلى مجموعة البيانات الجدولية التي تم إنشائها في الخطوة السابقة.
Portal for ArcGIS يدعم تدفق givenName وبيانات email address الجدولية لتسجيلات الدخول المؤسسية من موفر الهوية المؤسسي. عند تسجيل دخول المستخدم باستخدام تسجيل الدخول المؤسسي، وإذا استقبل Portal for ArcGIS مع أسماء givenname و email أو mail (في أي حالة)، يجمع Portal for ArcGIS الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم مع القيم المستلمة من موفر الهوية.
يُوصى باجتياز عنوان البريد الإلكتروني من معرف الهوية المؤسسي إلى Portal for ArcGIS. يُعد ذلك عمليًا عندما يصبح المستخدم مسئولاً لاحقًا. يمنح عنوان البريد الإلكتروني في الحساب المستخدم الحق في تلقي الإشعارات الخاصة بأي نشاط إداري وإرسال دعوات إلى مستخدمين آخرين للانضمام إلى المؤسسة.
انقر على رابط جديد وأضف تعيينات البيانات الجدولية الجديدة. تعرض التقاطات الشاشة الموضحة أدناه إضافة تخطيط البيانات الجدولية givenName, email address، و uid. يمكن اختيار أي بيانات جدولية من مصدر المصادقة عوضًا عن هذه الأمثلة.
انقر على إنهاء في معالج إنشاء مجموعة البيانات الجدولية. يقوم ذلك بإنشاء مجموعة بيانات جدولية جديدة اسمها البوابة الإلكترونية.
- اتبع الخطوات الموضحة أدناه لإضافة Portal for ArcGIS بصفته موفر موثوق مع NetIQ Access Manager.
- قم بتسجيل الدخول على وحدة تحكم إدارة NetIQ، اختر خادم الهوية وانقر على رابط تحرير.
سيتم فتح علامة التبويب عام.
- انقر على علامة تبويب SAML 2.0 وانقر على موفر الخدمة New >.
تكون نافذة Service Provider حيث تقوم بإضافة Portal for ArcGIS باعتباره مُوفر الخدمة الموثوق مع مدير وصول NetIQ.
- في معالج إنشاء موفر الخدمة الموثوقة ، انقر على نص البيانات التعريفية في صورة المصدر والصق مؤسسة Portal for ArcGIS في خانة النص.
يمكن الحصول على البيانات التعريفية من مؤسسة Portal for ArcGIS عن طريق الوصول إلى المؤسسة في صورة مسئول، والنقر فوق زر تحرير الإعدادات ، وعلامة تبويب الأمان وزر موفر الحصول على خدمة. احفظ البيانات التعريفية بصفتها ملف XML.
انقر على التالي وانقر فوق إنهاء للانتهاء من إضافة موفر الخدمة الموثوقة.
- قم بتسجيل الدخول على وحدة تحكم إدارة NetIQ، اختر خادم الهوية وانقر على رابط تحرير.
- اتبع الخطوات الموضحة أدناه لتكوين خصائص اتحاد Portal for ArcGIS ومدير وصول NetIQ.
- من على علامة التبويب SAML 2.0 ، انقر على رابط موفر الخدمة أدنى موفري الخدمة. يتم فتح علامة التبويب تكوين. انقر على علامة تبويب البيانات التعريفية وتأكد من أن البيانات التعريفية لمؤسسة Portal for ArcGIS صحيحة.
- انقر على علامة التبويب تكوين للعودة إلى جزء الثقة من التكوين. حدد خيار تأكيد التشفير إذا اخترت الإعداد المتقدم تأكيد التشفير عند تسجيل NetIQ Access Manager في صورة موفر هوية مؤسسي مع Portal for ArcGIS.
- انقر على علامة التبويب البيانات الجدولية.
في هذه الخطوة، يمكنك إضافة تعيين البيانات الجدولية من المجموعة التي قمت بإنشائها سلفًا وبالتالي يمكن لـ NetIQ Access Manager إرسال البيانات الجدولية إلى Portal for ArcGIS في تأكيد SAML.
حدد مجموعة البيانات الجدولية التي تم تعريفها في الخطوة 2.1 الموضحة أعلاه. بعد تحديد مجموعة البيانات الجدولية، ستظهر البيانات الجدولية التي تم تحديدها في المجموعة في الخانة المتاحة. حرك givenName والبيانات الجدولية email إلى مربع إرسال مع التصديق .
- انقر على علامة التبويب استجابة المصادقة أدنى علامة التبويب تكوين لموفر الخدمة وقم بتعيين استجابة المصادقة.
انقر على نشر من القائمة المنسدلة ربط.
في عمود معرف الاسم ، قم بالتأشير فوق الخانة المجاورة إلى غير محدد.
في عمود الافتراضي حدد زر الراديو بجوار غير مُحدد.
في عمود القيمة اختر Ldap Attribute uid.
ملاحظة:
يمكن تكوين أي بيانات جدولية فريدة أخرى في مجموعة البيانات الجدولية من مصدر المصادقة ليتم إرساله على أنه NameID. وسيتم استخدام قيمة هذه المعلمة على أنها اسم المستخدم في المؤسسة.
انقر على تطبيق.
- أدنى تكوين، انقر على علامة التبويب خيارات واختر عقد مصادقة المستخدم، مثال Name/Password - Form وانقر على تطبيق.
- أعد تشغيل NetIQ Access Manager باستعراض خادم الهوية والنقر فوق رابط تحديث الكل.