يمكن تكوين Okta في صورة موفر الهوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتين رئيسيتين: تسجيل IDP المؤسسي الخاص بك في Portal for ArcGIS وتسجيل Portal for ArcGIS بـ IDP المؤسسي.
اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية. يسمح هذا بإنشاء المجموعات في البوابة الإلكترونية التي تزيد المجموعات المؤسسية الحالية في مخزن الهوية. عند تسجيل دخول الأعضاء على البوابة الإلكترونية، قم بالوصول إلى المحتويات والعناصر والبيانات التي يتم التحكم فيها من قِبل أدوار العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، ستصبح قادرًا على إنشاء المجموعات. مع ذلك، سيتم التحكم في قواعد العضوية من قبل Portal for ArcGIS، وليس متجر الهوية.
المعلومات المطلوبة
يتطلب Portal for ArcGIS معلومات بيانات جدولية محددة لتلقيها من IDP عند دخول المستخدم باستخدام تسجيلات الدخول المؤسسية. بيانات NameID الجدولية هي بيانات جدولية إلزامية يجب إرسالها بواسطة في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
يدعم Portal for ArcGIS تدفق givenName وبيانات email address الجدولية للتسجيل المؤسس من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP. يوصى بالمرور في email address من IDP المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
تسجيل Okta كـ IDP المؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في جزء تسجيلات الدخول المؤسسية عبر SAML انقر على زر تعيين موفر الهوية وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال، مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
لا يمكنك إلا تسجيل IDP مؤسسي واحد للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصي أيضًا بتعطيل زر إنشاء حساب وصفحة تسجيل الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية ل، IDP باستخدام أحد الخيارات أدناه:
- الملف- قم بتنزيل نسخة من ملف بيانات التعريفية للاتحاد أو احصل عليه من Okta، وقم بتحميل الملف إلى Portal for ArcGIS باستخدام خيار ملف.
ملاحظة:
إذا كانت هذه هي المرة الأولى تسجيل موفر خدمة مع Okta، فسيجب عليك الحصول على ملف البيانات التعريفية بعد تسجيل Portal for ArcGIS مع Okta. - المعلمات- اختر هذا الخيار إذا كان يتعذر الوصول إلى الباينات التعريفية للاتحاد. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة. اتصل بمسئول Okta للحصول عليها.
- الملف- قم بتنزيل نسخة من ملف بيانات التعريفية للاتحاد أو احصل عليه من Okta، وقم بتحميل الملف إلى Portal for ArcGIS باستخدام خيار ملف.
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير- حدد الخيار الحالي لتشفير استجابات تأكيد Okta SAML.
- تمكين طلب التسجيل- تحديد هذا الخيار للحصول لتوقيع Portal for ArcGIS على طلب مصادقة SAML المُرسَل إلى Okta.
- نشر تسجيل الخروج إلى موفر الهوية-حدد هذا الخيار ليستخدم Portal for ArcGIS عنوان URL لتسجيل خروج المستخدم من Okta. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا تطلب IDP عنوان URL لتسجيل الخروج يجب التأشير على تمكين الطلب المُوقّع.
- عنوان URL لتسجيل الخروج- عنوان IDP URL المُستخدَم لتسجيل خروج المُستخدِم المُسجل للدخول حاليًا.
- مُعرف الهوية- حدّث هذه القيمة لاستخدام مُعرف هوية جديد لتعريف البوابة الإلكترونية بشكل منفرد لـ Okta.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
- عند الانتهاء، انقر على تحديث موفر الهوية.
- انقر على الحصول على موفر الخدمة لتنزيل الملف التعريفي للبوابة الإلكترونية. سيتم استخدام المعلومات في هذا الملف لتسجيل البوابة الإلكترونية على أنها موفر الخدمة الموثوق مع Okta.
- اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية:
- سجل الدخول إلى دليل Portal for ArcGIS بصفتك مسئول المؤسسة. عنوان URL بتنسيق https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- انقر فوق أمان > تكوين > Update متجر الهوية.
- ضع تكوين مجموعة JSON في المربع النصي تكوين متجر المجموعة (بتنسيق JSON).
إذا كان مخزن الهوية دليل نشط لـ Windows، انسخ النص التالي وقم بتبديله ليحتوي على معلومات خاصة بموقعك:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
في معظم الحالات، يجب عليك فقط تبديل معلمات user وuserPassword. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية. يحتاج الحساب المُستخدم لمعلمات user لتصاريح للبحث عن أسماء مجموعة Windows على الشبكة. إن أمكن، استخدم الحساب الذي تكون كلمة المرور الخاصة به غير منتهية الصلاحية.
إذا كان مخزن الهوية LDAP، انسخ النص التالي وقم بتبديله ليحتوي على معلومات خاصة بموقعك:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
في معظم الحالات، فقط تحتاج تبديل القيم لمعلمات user, userPassword, ldapURLForUsersوldapURLForRoles. يتعين على مسئول LDAP توفير عنوان URL إلى LDAP.
في المثال أعلاه، يشير عنوان URL لـ LDAP إلى المستخدمين مع OU محدد (ou=مستخدمين). في حالة تواجد مستخدمين في أكثر من OUs، يمكن لعنوان URL الخاص بـ LDAP أن يشير إلى مستوى أعلى OU أو حتى المستوى الجذري إذا تطلب ذلك. في هذه الحالة، يظهر عنوان URL بدلاً من ذلك كما يلي:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
يتطلب الحساب الذي تستخدمه لمعلمات المستخدم أذونات البحث عن اسماء المجموعات في المؤسسة. على الرغم من كتابة كلمة المرور بنص واضح، يتم تشفيرها عند التخزين أو العرض في دليل تكوين البوابة الإلكترونية.
إذا كان LDAP تم تكوينه ليكون حساس لحالة الأحرف، عيّن معلمة caseSensitive لتكون false.
- عند الانتهاء من إدخال JSON لتكوين متجر المستخدم، انقر على تحديث التكوين لحفظ التغييرات وإعادة تشغيل البوابة الإلكترونية.
سجّل Portal for ArcGIS كمُوفر الخدمة الموثوق مع Okta
- سجل الدخول إلى مؤسسة Okta كعضو بامتيازات إدارية.
- في علامة تبويب التطبيقات، انقر على زر إضافة تطبيق.
- انقر على إنشاء تطبيق جديد وحدد خيار SAML 2.0. انقر على إنشاء.
- في الإعدادات العامة، أدخل اسم التطبيق في نشر البوابة الإلكترونية، ثم انقر على التالي.
- في علامة تبويب تكوين SAML، افعل ما يلي:
- أدخل قيمة عنوان URL لتسجيل دخول مفرد، مثل، https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. يمكن نسخ هذه القيمة من الملف التعريفي لموفر الخدمة الذي تم تنزيلها من البوابة الإلكترونية.
- أدخل قيمة عنوان URL للجمهور. يتم تعيين القيمة الافتراضية إلى portalhostname.domain.com.portalcontext. يمكن نسخ هذه القيمة من الملف التعريفي لموفر الخدمة الذي تم تنزيلها من البوابة الإلكترونية.
- قم بتعيين تنسيق معرف الاسم ليكون غير محدد.
- أدنى الإعدادات المتقدمة، غيّر خيار توقيع التأكيد إلى غير موقع.
- في جزء عبارات البيانات الجدولية، أضف عبارات البيانات الجدولية التالية:
تم تعيين givenName إلى user.firstName + " " + user.lastName
تم تعيين email إلى user.email
- انقر على التالي ثم انقر على إنهاء.
- سترى الآن جزء تسجيل الدخول في تطبيق SAML المنشأ حديثًا. للحصول على البيانات التعريفية لـ Okta IDP، انقر على علامة تبويب تسجيل الدخول ثم انقر على رابط البيانات التعريفية لموفر الهوية.
- انقر بزر الماوس الأيمن على علامة تبويب الأشخاص وقم بتكوين مستخدمي Okta الموثوقين الذين سيتمكنون من الوصول إلى بوابتك الإلكترونية.