Skip To Content

تكوين Shibboleth

يمكنك تكوين Shibboleth الإصدار 3.2x أو 3.3 على أنه IDP (IDP) لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتين رئيسيتين: تسجيل IDP المؤسسي الخاص بك في Portal for ArcGIS وتسجيل Portal for ArcGIS بـ IDP المؤسسي.

المعلومات المطلوبة

يتطلب Portal for ArcGIS معلومات بيانات جدولية محددة لتلقيها من IDP عند دخول المستخدم باستخدام تسجيلات الدخول المؤسسية. بيانات NameID الجدولية هي بيانات جدولية إلزامية يجب إرسالها بواسطة في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. نظرًا لاستخدام Portal for ArcGIS قيمة NameID لتعريف مستخدم مسمى بشكل فريد، يُوصَى باستخدام قيمة ثابتة تقوم بتعريف المستخدم بشكل فريد. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID هي أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.

يدعم Portal for ArcGIS تدفق givenName وبيانات email address الجدولية للتسجيل المؤسس من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP. يوصى بالمرور في email address من IDP المؤسسي حيث مكن للمستخدم استقبال الإعلامات.

تسجيل Shibboleth على أنه IDP المؤسسي مع Portal for ArcGIS

  1. سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
  2. في قسم سجلات الدخول المؤسسية ، حدد خيار موفر هوية واحدة ، وانقر فوق زر تعيين تسجيل الدخول المؤسسي ، وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
    ملاحظة:‏

    يمكنك فقط تسجيل IDP مؤسسي واحد فقط، أو اتحاد واحد لـ IDPs, للبوابة الإلكترونية.

  3. اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام تسجيل الدخول المؤسسي دون أي دعوة من المسئول. يتم تسجيل الحساب مع البوابة الإلكترونية تلقائياً في أول مرة لتسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع البوابة الإلكترونية باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى البوابة الإلكترونية.
    تلميح:

    يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصى أيضًا بتعطيل زر إنشاء حساب وصفحة التسجيل (signup.html) في موقع البوابة الإلكترونية حتى يتعذر على المستخدمين إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.

  4. قم بتوفير معلومات البيانات التعريفية لـ IDP باستخدام أحد الخيارين أدناه:
    • ملف—يوفر Shibboleth ملف البيانات التعريفية IdP في SHIBBOLETH_HOME/metadata. إذا كان ملف البيانات التعريفية قابلاً للوصول، فاختر خيار ملف للبيانات التعريفية لـ IDP المؤسسي، واستعرض ملف SHIBBOLETH_HOME/metadata/idp-metadata.xml. Portal for ArcGIS يتحقق من صحة التوقيع في استجابات تأكيد SAML من Shibboleth باستخدام أول شهادة توقيع في ملف بيانات IDP التعريفية. ومع ذلك، وافتراضيًا، يكون التوقيع الأول المدرج في ملف بيانات Shibboleth IDP التعريفية لاتصال TLS للقناة الخلفية، في حين يكون التوقيع الثاني لاستجابات تأكيد التوقيع. يجب عليك إما تمييز التوقيع الأول أو نقله أدنى التوقيع الثاني، واستخدام ملف البيانات التعريفية المحدث لتسجيل Shibboleth في Portal for ArcGIS. يتم تعريف التوقيعات باستخدام عنصر <KeyDescriptor use="signing"> في ملف البيانات التعريفية.
    • المعلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو ملف بيانات تعريف الاتحاد. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة، مكودين بتنسيق BASE 64. اتصل بمسئول Shibboleth للحصول عليها.
  5. قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
    • تأكيد التشفير—تحديد الخيار الحالي إذا تم تكوين Shibboleth لتشفير استجابات التأكيد SAML.
    • تمكين طلب التسجيل—تحديد الخيار الحالي لتجيل الدخول إلى Portal for ArcGIS يتم إرسال طلب مصادقة SAML إلى Shibboleth.
    • مُعرف الهوية—تحديث القيمة الحالية لاستخدام مُعرف هوية جديدة لتعريف البوابة الإلكترونية بشكل منفرد لـ Shibboleth.
    • تحديث الملفات التعريفية عند تسجيل الدخول—حدد هذا الخيار ليتضمن Portal for ArcGIS تحديث المستخدم givenName و بيانات email address الجدولية إذا تم تغييرهم منذ أخر عملية تسجيل دخول.
    • تمكين عضوية المجموعة التي تعتمد على SAML- حدد هذا الخيار للسماح لأعضاء المؤسسة بربط مجموعات مؤسسية محددة قائمة على SAML بمجموعات Portal for ArcGIS أثناء عملية إنشاء مجموعة.

    يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.

    ملاحظة:‏

    وحاليًا، نشر تسجيل الخروج لموفر هوية وعنوان URL لتسجيل الخروج غير مدعومين.

قم بتسجيل Portal for ArcGIS باعتباره موفر الخمة الموثوقة مع Shibboleth

  1. تكوين Portal for ArcGIS كجهة اعتماد في Shibboleth.
    1. الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.

      للحصول على ملف البيانات التعريفية، سجّل الدخول كمسئول للمؤسسة، وافتح صفحة المؤسسة. انقر على زر تحرير الإعدادات وانقر على علامة تبويب التأمين وفي قسم تسجيلات الدخول المؤسسي وانقر على زر الحصول على موفر الخدمة.

    2. قم بتكوين Portal for ArcGIS باعتباره موفر الخدمة الموثوق في Shibboleth بتعريف عنصر MetadataProvider جديد في ملف SHIBBOLETH_HOME/conf/metadata-providers.xml .

      أضف القصاصة أدناه في عنصر MetadataProvider الأساسي. قم بتوفير مسار ملف XML للبيانات التعريفية للمؤسسة (تم حفظه في الخطوة 1.a أعلاه).

      <MetadataProvider id="EsriSP" xsi:type="FilesystemMetadataProvider"
      xmlns="urn:mace:shibboleth:2.0:metadata" 
      	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      	xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd"
      	failFastInitialization="true"
      	metadataFile=" <PATH_TO_THE_SAVED_METADATA>/esri-sp-metadata.xml" />
  2. تكوين مصادقة المستخدم. في المثال التالي، يتم تكوين خادم دليل LDAP كمخزن مستخدم بتحديث الخصائص الضرورية في الملف SHIBBOLETH_HOME/conf/ldap.properties:.

    idp.authn.LDAP.authenticator = bindSearchAuthenticator

    idp.authn.LDAP.ldapURL = ldaps://myldap.example.org:port

    idp.authn.LDAP.baseDN = ou=People,dc=example,dc=org

    idp.authn.LDAP.userFilter= (uid={user})

    idp.authn.LDAP.bindDN = cn=readonlyuser,dc=example,dc=org

    idp.authn.LDAP.bindDNCredential = userpassword

  3. قم بتكوين جداول بيانات المستخدم ليقوم Shibboleth بإرجاعها.
    1. تحرير SHIBBOLETH_HOME/conf/attribute-resolver.xml. قم بالتعليق على كل تعريفات جداول بيانات المثال الحالي وموصلات البيانات أو حذفها.
    2. انسخ تعريفات mail وgivenName من ملف SHIBBOLETH_HOME/conf/attribute-resolver-full.xml إلى ملف SHIBBOLETH_HOME/conf/attribute-resolver.xml.
    3. انسخ قسم موصل بيانات LDAP من SHIBBOLETH_HOME/conf/attribute-resolver-ldap.xml إلى SHIBBOLETH_HOME/conf/attribute-resolver.xml. امسح التعريف لمعرف المستخدم أو أي بيانات جدولية تريد إرجاعها كجدول بيانات NAMEID.
    4. قم بتكوين جدول البيانات لإصداره إلى موفر الخدمات. قم بتحرير الملف SHIBBOLETH_HOME/conf/attribute-filter.xml وأضف ما يلي:
    <AttributeFilterPolicy id="ArcGIS">
            <PolicyRequirementRule xsi:type="Requester" value="[The Entity ID of your Portal instance]" />
    			<AttributeRule attributeID="<NameID Attribute>">
    				<PermitValueRule xsi:type="ANY" />
    			</AttributeRule>
    			<AttributeRule attributeID="givenName">
    				<PermitValueRule xsi:type="ANY" />
    			</AttributeRule>
    			<AttributeRule attributeID="mail">
    				<PermitValueRule xsi:type="ANY" />
    			</AttributeRule>
    		</AttributeFilterPolicy>
  4. قم بتحرير الملف SHIBBOLETH_HOME/conf/relying-party.xml.
    1. انسخ كود XML أدناه والصقه داخل عناصر shibboleth.RelyingPartyOverrides ليتجاوز التكوين الافتراضي لموفر هوية Shibboleth:
      <bean parent="RelyingPartyByName" c:relyingPartyIds="[The Entity ID of your Portal instance]">
      <property name="profileConfigurations">
       <list>
        <bean parent="SAML2.SSO"    p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" />
       </list>
      </property>
      </bean>

      تقوم معلمة nameIDFormatPrecedence بتوجيه IDP لإرسال جدول بيانات معرف اسم SAML بتنسيق unspecified المطلوب بواسطة ArcGIS Online وPortal for ArcGIS.

    2. أوقف تشغيل تشفير التأكيد في موفر هوية Shibboleth بإعداد معلمة encryptAssertions إلى false.
      <bean parent="RelyingPartyByName" c:relyingPartyIds="[The Entity ID of your Portal instance]">
      		<property name="profileConfigurations">
      			<list>
      				<bean parent="SAML2.SSO" 					p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" 
      					p:encryptAssertions="false" />
      			</list>
      		</property>
      		</bean>
  5. قم بتحرير الملف SHIBBOLETH_HOME/conf/saml-nameid.xml واستبدل هذا الجزء:
    <!--
    <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
       p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
       p:attributeSourceIds="#{ {'mail'} }" />
    -->

    مع التالي:

    <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
                p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified"
                p:attributeSourceIds="#{ {'your-name-id-attribute'} }" />

  6. أعد تشغيل برنامج Shibboleth الخفي (Linux) أو الخدمة (Windows).