Skip To Content

قم بتكوين اتحاد موفري الهوية مع البوابة الإلكترونية

يمكن للمؤسسة الخاصة بك استخدام لغة ترميز تأكيد الأمان (SAML) لمصادقة مستخدمي الكمبيوتر ومصادقة الوصول إلى الموارد التي يتم تمكينها على الويب. لإتمام هذا، يتم تكوين موفر هوية أحادي متوافق مع SAML (IDP) لمعالجة مصادقة المستخدم. يتم استضافة موارد الويب للمؤسسة على أحد موفري الخدمات أو أكثر من موفر، التي تعالج مصادقة الوصول إلى موارد الويب. تتضمن المؤسسة تحكم كامل للإدارة لـ IDP وموفري الهوية. لدعم مصادقة تستند إلى SAML، يجب تسجيل كل موفري خدمات المؤسسة للعمل مع IDP. يمكن فقط تسجيل كل موفر خدمة مع IDP أحادي.

يمكنك أيضاً استخدام SAML لمشاركة الموارد عبر العديد من المؤسسات التي يتم تنظيمها بشكل مستقل. وقد أصبح هذا ممكناً من قبل كيانات إدارة الاتحاد، والتي تتيح المشاركة المستندة إلى SAML للموارد بين مؤسسات الأعضاء. مؤسسة العضو التي تريد مشاركة موارد الويب مع الاتحاد الذي يحتفظ بموفر واحد أو أكثر من موفري الخدمة للعمل داخل الاتحاد فقط. للوصول إلى مورد مُؤمن يتم مشاركته مع الاتحاد، يقوم المستخدم مصادقة الهوية مع IDP للمؤسسة الرئيسية. بمجرد المصادقة بنجاح، يتم تمثيل الهوية التي تم التحقق من صحتها على موفر الخدمة الذي يستضيف المورد المؤمن. وعندها يقوم موفر الخدمة بمنح الوصول إلى المورد بعد التحقق من امتيازات وصول المستخدم.

في الإصدار 10.6.1، يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية مع اتحاد IDP المستند إلى SAML. تمنح البوابة الإلكترونية الوصول إلى خدمة الاكتشاف المستضافة بواسطة الاتحاد، التي توفر قائمة من موفري الهوية وموفري الخدمة المشاركين في الاتحاد.

بعض اتحادات موفر الهوية العامة المستند إلى SAML InCommon, eduGAIN, SWITCHaai, DFN-AAI, و اتحاد إدارة الدخول التابع للمملكة المتحدة.

قم بتكوين الاتحاد مع البوابة الإلكترونية

اتبع تلك الخطوات لتكوين اتحاد موفري الهوية المستند إلى SAML مع البوابة الإلكترونية.

  1. سجّل الدخول على موقع البوابة الإلكتروني في صورة مسؤول وانقر فوق المؤسسة > إعدادات > الأمان.
  2. في قسم تسجيلات الدخول المؤسسية ، حدد خيار اتحاد موفر الهوية ، وانقر فوق زر إعداد تسجيل الدخول المؤسسي ، وأدخل وصف الاتحاد في النافذة التي تظهر. يتم عرض هذا الوصف للمستخدمين الذي لديهم إمكانية الوصول إلى موقع البوابة الإلكترونية كجزء من خيار تسجيل دحول SAML.
  3. اختر كيفية انضمام المستخدمين لمؤسسة البوابة الإلكترونية.
    • تلقائياً—تمكين المستخدمين من تسجيل الدخول على المؤسسة باستخدام تسجيل الدخول المؤسسة بدون الحاجة إلى إذن من المسؤول، كما يتم تسجيل الحساب تلقائياً مع البوابة الإلكترونية في المرة الأولى التي يقومون خلالها بتسجيل الدخول
    • عند الدعوة من المسؤول—بتطلب من مسؤول البوابة الإلكترونية تسجيل الحسابات اللازمة مع المؤسسة باستخدام الأداة المساعدة لسطر الأوامر أو برنامج بايثون النصي
    ملاحظة:‏

    توصي Esri بتعيين حساب مؤسسي واحد على الأقل في صورة مسؤول البوابة الإلكترونية، وتعطيل زر إنشاء حساب وصفحة التسجيل (signup.html) في موقع البوابة الإلكتروني وبالتالي يتعذر على المستخدمين إنشاء حسابات خاصة بهم. للحصول على مزيد من المعلومات، راجع قسم تعيين حساب مؤسسي في صورة مسؤول أدناه

  4. قم بتوفير عنوان URL على خدمة اكتشاف IDP المركزي والمستضاف بواسطة الاتحاد، مثل https://wayf.samplefederation.com/WAYF.
  5. قم بتوفير عنوان URL للبيانات الوصفية للاتحاد، التي تكون تجمع للبيانات الوصفية لجميع موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
  6. قم بنسخ الشهاددة، المشفرة في تنسيق Base64، ولصقها مما يتيح للبوابة الإلكترونية التحقق من صحة البيانات الوصفية للاتحاد.
  7. قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
    1. تأكيد التشفير—حدد هذا الخيار للإشارة إلى موفر هوية SAML الذي من خلاله تدعم البوابة الإلكترونية استجابات تأكيد SAML المشفرة. عند تمكين هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن البوابة الإلكترونية عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
    2. تمكين الطلب المُسجّل- حدد هذا الخيار لتسجيل البوابة الإلكترونية طلب مصادقة SAML المُرسل إلى AD FS. تسجيل طلب تسجيل الدخول الأولي المرسل بواسطة البوابة الإلكترونية يتيح لموفر الهوية التحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر الخدمة الموثوق.
    3. نشر تسجيل الخروج لموفر الهوية- حدد هذا الخيار لتستخدم البوابة الإلكترونية عنوان URL لتسجيل خروج المستخدم من IDP. إذا قمت بتحديده، أدخل عنوان URL للاستخدام في إعداد عنوان URL لتسجيل الخروج . إذا تطلب موفر الهوية عنوان URL لتسجيل الخروج لتسجيله، يجب أيضًا التأشير على خيار تمكين الطلب المُسجل. في حالة عدم تحديد هذا الخيار، فإن النقر فوق تسجيل الخروج في البوابة الإلكترونية سيقوم بتسجيل خروج المستخدم من البوابة الإلكترونية، لكن ليس من موفر الهوية IDP. إذا لم يتم مسح ذاكرة التخزين المؤقتة لمستعرض ويب المستخدم لتسجيل الدخول مرة أخرى على الفور في البوابة الإلكترونية باستخدام خيار تسجيل الدخول المؤسسي سوف يؤدي إلى تسجيل دخول فوري دون الحاجة إلى توفير بيانات اعتماد المستخدم إلى موفر هوية IDP. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه بسهولة.
    4. تحديث ملفات التعريف عند تسجيل الدخول—حدد هذا الخيار لتضمين givenName الخاص بالمستخدم عند تحديث البوابة الإلكترونية وبيانات العنوان الإلكترونية إذا تم تغييرهم منذ أخر عملية تسجيل دخول. يتم تحديد هذا افتراضيًا.
    5. مُعرف الهوية—تحديث هذه القيمة لاستخدام مُعرف هوية جديدة لتعريف مؤسسة البوابة الإلكترونية بشكل منفرد لاتحاد SAML.

سجّل البوابة الإلكترونية مع اتحاد SAML في صورة موفرة خدمة موثوق

لاكتمال عملية التكوين، قم بتأسيس ثقة مع دليل الاكتشاف الخاص بالاتحاد وموفر الهوية المؤسسة عن طريق تسجيل البيانات الوصفية لموفر البوابة الإلكترونية معهم. يوجد طريقان للحصول على هذه البيانات الوصفية:

  • في جزء الأمان على صفحة تحرير الإعدادات للمنظمة، انقر فوق زر الحصول على موفر الخدمة. يعرض ذلك البيانات التعريفية للمؤسسة حيث يمكن الحفظ كملف XML على الكمبيوتر.
  • افتح عنوان URL للبيانات التعريفية باعتبارها ملف XML على الجهاز. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم موفر الهوية في حقل عنوان URL لـ Webapp. لا يتم دعم اختيار أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يقوم بإنشاء رمز مميز غير صحيح.

بمجرد أن تنتهي من تحميل البيانات التعريفية لموفر الخدمة، اتصل بمسؤولي اتحاد SAML للحصول على تعليمات عن كيفية دمج بياناتك التعريفية في ملف البيانات التعريفية المجمَّع للاتحاد. سوف تحتاج منهم أيضًا إلى تعليمات لتسجيل موفر الهوية (IDP) الخاص بك مع الاتحاد.

تعيين حساب مؤسسي كمسئول

تعتمد كيفية تعيين الحساب المؤسسي باعتباره مسئول البوابة الإلكترونية على قدرة المستخدمين الانضمام للمؤسسة تلقائياً أو أو بعد إضافة حسابات للبوابة الإلكترونية.

الانضمام إلى المؤسسة تلقائيًا

إذا اخترت خيار السماح للمستخدمين بالانضمام للمؤسسة تلقائيًا، افتح صفحة البداية لموقع البوابة الإلكترونية أثناء تسجيل الدخول بالحساب المؤسسي الذي تود استخدامه كمسئول البوابة الإلكترونية.

عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، فإنه يتم تعيين دور "مستخدم" إليه. يمكن لمسئول المؤسسة فقط تغيير دور الحساب، لذلك يجب تسجيل الدخول للبوابة الإلكترونية باستخدام حساب المسئول الأولي وتعيين حساب مؤسسي لدور المسئول.

  1. افتح موقع البوابة الإلكترونية، وانقر على الخيار لتسجيل الدخول في موفر هوية SAML، وأدخل بيانات اعتماد الحساب المؤسسي التي تود استخدامه كمسئول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
  2. تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
  3. أثناء فتح المستعرض، افتح موقع البوابة الإلكترونية على الويب، وانقر على خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المُدمج، وأدخل بيانات اعتماد حساب المسئول الأولية التي قمت بإنشائها عند إعداد Portal for ArcGIS.
  4. اعثر على الحساب المؤسسي الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسئول. انقر على تسجيل الخروج.

أصبح الحساب المؤسسي الذي اخترته الآن مسئول البوابة الإلكترونية.

أضف الحسابات المؤسسية إلى البوابة الإلكترونية يدويًا

إذا اخترت خيار السماح للمستخدمين بالانضمام للمؤسسة بعد إضافة حسابات للبوابة الإلكترونية، فستحتاج لتسجيل الدخول للحسابات اللازمة مع المؤسسة باستخدام أداة خط الأمر المساعدة أو برنامج Python النصي البسيط. تأكد من اختيار دور المسئول للحساب المؤسسي الذي سيستخدم لإدارة البوابة الإلكترونية.

تخفيض حساب المسئول الأولي أو حذفه

الآن وعند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكنك تعيين حساب المسئول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسئول الأولي لمزيد من المعلومات.

منع المستخدمين من إنشاء حساباتهم الخاصة

بعد تأمين الوصول إلى البوابة الإلكترونية، يُوصَى بتعطيل زر إنشاء حساب وصفحة الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. وهو ما يعني أنه يمكن لجميع الأعضاء تسجيل الدخول إلى البوابة الإلكترونية باستخدام الحساب المؤسسي وبيانات الاعتماد، ويتعذر إنشاء حسابات مضمنة غير ضرورية. راجع موضوع "تعطيل إمكانية المستخدمين لإنشاء حسابات البوابة الإلكترونية الداخلية" لمزيد من التعليمات.

تعطيل تسجيل الدخول في حسابات ArcGIS

إذا أردت منع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، يمكنك تعطيل زر استخدام حساب ArcGIS في صفحة تسجيل الدخول باستخدام الخطوات التالية.

  1. سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
  2. في جزء خيارات تسجيل الدخول ، اختر زر الخيار لحساب SAML IDP فقط, حيث يتنوع IDP بناءً على ما قمت بتكوينه للبوابة الإلكترونية.
  3. انقر حفظ.

تعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يتوفر زر تسجيل الدخول إلى استخدام حساب ArcGIS. يمكنك إعادة تمكين تسجيلات دخول العضو بواسطة حسابات ArcGIS باختيار حساب SAML IDP أو حساب Portal for ArcGIS أدنى خيارات تسجيل الدخول ، حيث يتنوع IDP واسم البوابة الإلكترونية بناءً على ما قمت بتكوينه.

تعديل أو إزالة موفر الهوية SAML

يمكنك تحديث إعدادات الاتحاد باستخدام زر تحرير تسجيل الدخول المؤسسي ، أو إزالة الاتحاد من البوابة الإلكترونية عن طريق استخدام زر إزالة تسجيل الدخول المؤسسي . تظهر تلك الأزرار بمجرد إعداد الاتحاد مع البوابة الإلكترونية. بمجرد إزالته، يمكنك إعداد موفر هوية جديد أو اتحاد لموفر الهوية عند الرغبة.