يمكنك تكوين خدمات توحيد الدليل النشط الإصدار (AD FS) الإصدار 2.0 إظهار الحزمة 3 والإصدار AD FS 3.0 في نظام تشغيل Microsoft Windows Server كمُوفر هوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتين رئيسيتين: تسجيل IDP المؤسسي الخاص بك في Portal for ArcGIS وتسجيل Portal for ArcGIS بـ IDP المؤسسي.
المعلومات المطلوبة
يتطلب Portal for ArcGIS معلومات بيانات جدولية محددة لتلقيها من IDP عند دخول المستخدم باستخدام تسجيلات الدخول المؤسسية. بيانات NameID الجدولية هي بيانات جدولية إلزامية يجب إرسالها بواسطة في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. نظرًا لاستخدام Portal for ArcGIS قيمة NameID لتعريف مستخدم مسمى بشكل فريد، يُوصَى باستخدام قيمة ثابتة تقوم بتعريف المستخدم بشكل فريد. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID هي أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
يدعم Portal for ArcGIS تدفق givenName وبيانات email address الجدولية للتسجيل المؤسس من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP. يوصى بالمرور في email address من IDP المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
قم بتسجيل AD FS في صورة IDP مؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في قسم سجلات الدخول المؤسسية ، حدد خيار موفر هوية واحدة ، وانقر فوق زر تعيين تسجيل الدخول المؤسسي ، وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
يمكنك فقط تسجيل IDP مؤسسي واحد فقط، أو اتحاد واحد لـ IDPs, للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصي أيضًا بتعطيل زر إنشاء حساب وصفحة تسجيل الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية ل، IDP باستخدام أحد الخيارات أدناه:
- عنوان URL—إذا كان عنوان URL لبيانات تعريف اتحاد AD FS القابلة للوصول، حدد الخيار الحالي وادخل عنوان URL (على سبيل المثال، https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
ملاحظة:
إذا كان IDP المؤسسي يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند محاولة تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لـ IDP. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو استخدم أحد الخيارات الأخرى أدناه أو قم بتكوين IDP باستخدام شهادة موثوقة.
- الملف—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL. قم بتنزيل نسخة من ملف بيانات التعريفية للتوحيد أو احصل عليها من AD FS، وقم بتحميل الملف على Portal for ArcGIS باستخدام خيارات الملف.
- المعلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو ملف بيانات تعريف الاتحاد. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة، مكودين بتنسيق BASE 64. اتصل بمسئول AD FS للحصول عليها.
- عنوان URL—إذا كان عنوان URL لبيانات تعريف اتحاد AD FS القابلة للوصول، حدد الخيار الحالي وادخل عنوان URL (على سبيل المثال، https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير- حدد الخيار الحالي لتشفير استجابات تأكيد AD FS SAML.
- تمكين الطلب المُسجل- حدد هذا الخيار لتسجيل Portal for ArcGIS طلب مصادقة SAML المُرسل إلى AD FS.
- نشر تسجيل الخروج لموفر الهوية-حدد هذا الخيار ليستخدم Portal for ArcGIS عنوان URL لتسجيل الخروج بهدف تسجيل خروج المستخدم من AD FS. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا تطلب IDP عنوان URL لتسجيل الخروج يجب التأشير على تمكين الطلب المُوقّع.
ملاحظة:
يتطلب AD FS افتراضيًا طلبات تسجيل الخروج ليتم تسجيلها باستخدام SHA-256، وبالتالي يتعين عليك التأشير على تمكين الطلب المسجل و التسجيل باستخدام SHA256.
- تحديث الملفات التعريفية عند تسجيل الدخول—حدد هذا الخيار ليتضمن Portal for ArcGIS تحديث المستخدم givenName و بيانات email address الجدولية إذا تم تغييرهم منذ أخر عملية تسجيل دخول.
- تمكين عضوية المجموعة التي تعتمد على SAML- حدد هذا الخيار للسماح لأعضاء المؤسسة بربط مجموعات مؤسسية محددة قائمة على SAML بمجموعات Portal for ArcGIS أثناء عملية إنشاء مجموعة.
- عنوان URL لتسجيل الخروج- عنوان IDP URL المُستخدَم لتسجيل خروج المُستخدِم المُسجل للدخول حاليًا.
- موفر الهوية- تحديث هذه القيمة كموفر هوية جديد لتعريف البوابة الإلكترونية على AD FS بشكل فريد.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
قم بتسجيل Portal for ArcGIS كموفر الخدمة الموثوق مع AD FS.
- افتح وحدة تحكم إدارة AD FS.
- اختر علاقات ثقة جهة الاعتماد > إضافة علاقة ثقة جهى الاعتماد.
- في معالج إضافة جهة موثوقة، وانقر على زر ابدأ.
- فيما يتعلق بـ تحديد مصدر البيانات اختر خيارًا واحدًا للحصول على البيانات المتعلقة بجهة الاعتماد: قم بالاستيراد من عنوان URL أو من الملف أو الإدخال يدويًا. يتطلب عنوان URL وخيارات الملف اللذان تحصل عليهما البيانات التعريفية للمؤسسة. إذا لم تتمكن من الدخول إلى عنوان URL أو ملف البيانات التعريفية، يمكنك إدخال المعلومات يدويًا. في بعض الحالات، قد يُعد إدخال البيانات يدويًا الخيار الأسهل.
- استيراد البيانات المتعلقة بالجهة الموثوقة المنشورة على شبكة الإنترنت أو على شبكة محلية
يستخدم هذا الخيار البيانات التعريفية لعنوان URL على مؤسسة Portal for ArcGIS. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم AD FS في حقل عنوان URL لـ Webapp. لا يُدعم تحديد أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يقوم بإنشاء رمز مميز غير صحيح.
ملاحظة:
يكون arcgis جزء من عنوان URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.
- استيراد البيانات المتعلقة بالجهة الموثوقة من ملف
يستخدم هذا الخيار ملف xml للبيانات التعريفية من مؤسسة Portal for ArcGIS. هناك طريقتان يمكن من خلالهما الحصول على ملف XML للبيانات التعريفية:
- في جزء الأمان على صفحة تحرير الإعدادات للمنظمة، انقر فوق زر الحصول على موفر الخدمة. يقدم هذا البيانات التعريفية للمؤسسة حيث يمكن الحفظ على شكل ملف XML على الكمبيوتر.
- افتح عنوان URL للبيانات التعريفية على مؤسسة Portal for ArcGIS واحفظه على شكل ملف XML على الكمبيوتر. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة
إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم AD FS في حقل عنوان URL لـ Webapp. لا يُدعم تحديد أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يقوم بإنشاء رمز مميز غير صحيح.
ملاحظة:
يكون arcgis جزء من عناوين URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.
- إدخال البيانات المتعلقة بالجهة الموثوقة يدويًا
باستخدام هذا الخيار، يعرض معالج إضافة علاقات ثقة جهة الاعتماد نوافذ إضافية حيث يمكن إدخال البيانات يدويًا. موضح ذلك في الخطوات 6 و8 الموضحة أدناه.
- استيراد البيانات المتعلقة بالجهة الموثوقة المنشورة على شبكة الإنترنت أو على شبكة محلية
- فيما يتعلق بتحديد اسم العرض،أدخل اسم العرض.
يستخدم اسم العرض لتحديد جهة الاعتماد في AD FS. خارج ذلك، هذا لا يعني شيء. ينبغي تعيين ذلك إما على ArcGIS أو على اسم المؤسسة داخل ArcGIS، مثال، ArcGIS—SamlTest.
تلميح:
تعرض الصورة الموضحة أعلاه نافذة تحديد اسم العرض مع خطوات استيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج وتكون موضحة في الخطوات 6 و8 الموضحة أدناه. إذا تم تحديد عنوان URL أو الملف، يمكنك المضي وصولاً للخطوة 9.
- (مصدررالبيانات يدويًا فقط) في اختيار ملف تعريفي، اختر ملف AD FS 2.0 التعريفي (أو إصدار AD FS لاحق، إذا كان ممكنًا في البيئة المستخدمة).
- (مصدر البيانات يدويًا فقط) في تكوين عنوان URL، قم بالتأشير على خانة تمكين دعم بروتوكول SAML 2.0 WebSSO وأدخل عنوان URL لخدمة SAML 2.0 SSO للجهة الموثوقة.
ينبغي أن يكون عنوان URL لجهة الاعتماد هو عنوان URL حيث يرسل AD FS استجابة SAML بعد مصادقة المستخدم. يجب أن يكون ذلك عنوان URL لـ HTTPS: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/oauth2/saml/signin.
ملاحظة:
يكون arcgis جزء من عنوان URL العينة المذكور أعلاه هو الاسم الافتراضي لتطبيق محول الويب. إذا كان اسم محول الويب شيء ما خلاف arcgis، استبدل الجزء الحالي من عنوان URL باسم محول الويب.
- (مصدر البيانات يدويًا فقط) في تكوين المُعرّفات، وأدخل عنوان URL لمُعرّف ثقة الجهة الموثوقة.
يجب أن يكون ذلك portal.domain.com.arcgis.
- في اختر قواعد مصادقة التأمين، اختر السماح لكل المستخدمين بالوصول إلى هذه الجهة الموثوقة.
تلميح:
تعرض الصورة الموضحة أعلاه نافذة اختيار قواعد تخويل الإصدار مع خطوات استيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج.
- فيما يتعلق بـ جاهز لإضافة الثقة، قم بمراجعة كافة الإعدادات الخاصة بجهة الاعتماد. يتم فقط تعبئة عنوان URL للبيانات التعريفية في حالة اختيار استيراد مصدر البيانات من عنوان URL. تعرض الصورة الموضحة أدناه نافذة الاستعداد إلى إضافة علاقات الثقة في حالة اختيار إدخال معلومات مصدر البيانات.
انقر على التالي.
تلميح:
إذا تم تمكين الخيار مراقبة جهة اعتماد فإن AD FS سوف يفحص بشكل دوري عنوان URL لبيانات تعريف الاتحاد ومقارنته بالحالة الحالية لثقة جهة الاعتماد. ومع ذلك، سوف تفشل المراقبة بمجرد انتهاء صلاحية الرمز المميز في عنوان URL لبيانات تعريف الاتحاد. يتم تسجيل حالات الفشل في سجل أحداث AD FS. لمنع تلك الرسالات من العرض، يُوصى بتعطيل المراقبة أو تحديث الرمز المميز.
- في إنهاء، قم بالتأشير على الخانة لفتح مربع حوار تحرير قواعد المطالبة تلقائيًا بعد النقر على زر إغلاق.
تلميح:
تعرض الصورة الموضحة أعلاه نافذة إنهاء مع خطوات لاستيراد مصدر البيانات من عنوان URL أو من الملف. إذا اخترت إدخال معلومات مصدر البيانات يدويًا، ترى خطوات إضافية إلى الجانب الأيسر من المعالج.
- لتعيين قواعد المطالبة، افتح معالج تحرير قواعد المطابقة وانقر على إضافة قاعدة.
- من تحديد قالب القاعدة، حدد قالب إرسال جداول بيانات LDAP كمطالبات لقاعدة المطالبة التي تريد إنشاؤها، وانقر على التالي.
- من تكوين قاعدة المطالبة، قم بتوفير اسم القاعدة، على سبيل المثال, DefaultClaims.
- فيما يتعلق بمخزن البيانات الجدولية حدد الدليل النشط.
- فيما يتعلق بتعيين البيانات الجدولية LDAP لأنواع المطالب الصادرة،حدد البيانات الجدولية LDAP المتضمنة أسماء المستخدم (مثال، SAM-Account-Name)للبيانات الجدولية LDAP و NameID لنوع المطالب الصادرة.
ملاحظة:
NameID هو البيانات الجدولية التي يرسلها AD FS في استجابة SAML لجعل الاتحاد مع أعمال ArcGIS. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID البيانات الجدولية أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
- يدعم Portal for ArcGIS تدفق بيانات givenName، وemail address، وgroup الجدولية للتسجيل المؤسسي من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP. إذا حددت خيار تمكين عضوية المجموعة التي تعتمد على SAML عند تسجيل AD FS على أنه IDP المؤسسي، يتم الحصول على عضوية كل مستخدم من استجابة تأكيد SAML التي يتم استقبالها من موفر الهوية في كل مرة يسجل فيها المستخدم الدخول بنجاح.
اتبع التعليمات أدناه لتحرير قواعد المطالبات.
- في عمود جدول بيانات LDAP ، اختر اسم العرض (أو بيانات جدولية مختلفة من القائمة في الصف الثاني) وتخطيطه في الاسم المتوفر في عمود نوع المطالب الصادرة.
- في عمود جدول البيانات الجدولية اختر عناوين البريد الإلكتروني وقم بتخطيطه في عنوان البريد الإلكتروني في عمود نوع المطالبة الصادر.
- في عمود جدول البيانات الجدولية اختر عناوين البريد الإلكتروني وقم بتخطيطه في عنوان البريد الإلكتروني في عمود نوع المطالبة الصادر.
مع هذه المطالبة، يقوم AD FS بإرسال البيانات الجدولية مع الأسماء givenname و email إلى Portal for ArcGIS بعد مصادقة المستخدم. Portal for ArcGIS ثم استخدام القيم المستلمة في givenname وبيانات email الجدولية وتعبئة الاسم بالكامل وعنوان البريد الإلكتروني من حساب المستخدم. يتم استخدام القيم في جدول بيانات المجموعة لتحديث عضوية مجموعة المستخدم. لمعلومات عن ربط المجموعات المؤسسية، راجع موضوع إنشاء المجموعات.
يُوصى باجتياز عنوان البريد الإلكتروني من IDP المؤسسي إلى Portal for ArcGIS. يُعد ذلك عمليًا عندما يصبح المستخدم مسئولاً لاحقًا. يمنح عنوان البريد الإلكتروني في الحساب المستخدم الحق في تلقي الإشعارات الخاصة بأي نشاط إداري وإرسال دعوات إلى مستخدمين آخرين للانضمام إلى المؤسسة.
- انقر فوق إنهاء لإنهاء تكوين AD FS IDP ليتضمن Portal for ArcGIS كجهة اعتماد.