Skip To Content

قم بتكوين اتحاد موفري الهوية مع البوابة الإلكترونية

يمكن للمؤسسة الخاصة بك استخدام لغة ترميز تأكيد الأمان (SAML) لمصادقة مستخدمي الكمبيوتر ومصادقة الوصول إلى الموارد التي يتم تمكينها على الويب. لإتمام هذا، يتم تكوين موفر هوية أحادي متوافق مع SAML (IDP) لمعالجة مصادقة المستخدم. يتم استضافة موارد الويب للمؤسسة على أحد موفري الخدمات أو أكثر من موفر، التي تعالج مصادقة الوصول إلى موارد الويب. تتضمن المؤسسة تحكم كامل للإدارة لـ IDP وموفري الهوية. لدعم مصادقة تستند إلى SAML، يجب تسجيل كل موفري خدمات المؤسسة للعمل مع IDP. يمكن فقط تسجيل كل موفر خدمة مع IDP أحادي.

يمكنك أيضاً استخدام SAML لمشاركة الموارد عبر العديد من المؤسسات التي يتم تنظيمها بشكل مستقل. وقد أصبح هذا ممكناً من قبل كيانات إدارة الاتحاد، والتي تتيح المشاركة المستندة إلى SAML للموارد بين مؤسسات الأعضاء. مؤسسة العضو التي تريد مشاركة موارد الويب مع الاتحاد الذي يحتفظ بموفر واحد أو أكثر من موفري الخدمة للعمل داخل الاتحاد فقط. للوصول إلى مورد مُؤمن يتم مشاركته مع الاتحاد، يقوم المستخدم مصادقة الهوية مع IDP للمؤسسة الرئيسية. بمجرد المصادقة بنجاح، يتم تمثيل الهوية التي تم التحقق من صحتها على موفر الخدمة الذي يستضيف المورد المؤمن. وعندها يقوم موفر الخدمة بمنح الوصول إلى المورد بعد التحقق من امتيازات وصول المستخدم.

في الإصدار 10.6.1، يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية مع اتحاد IDP المستند إلى SAML. تمنح البوابة الإلكترونية الوصول إلى خدمة الاكتشاف المستضافة بواسطة الاتحاد، التي توفر قائمة من موفري الهوية وموفري الخدمة المشاركين في الاتحاد.

بعض اتحادات موفر الهوية العامة المستند إلى SAML InCommon, eduGAIN, SWITCHaai, DFN-AAI, و اتحاد إدارة الدخول التابع للمملكة المتحدة.

قم بتكوين الاتحاد مع البوابة الإلكترونية

اتبع تلك الخطوات لتكوين اتحاد موفري الهوية المستند إلى SAML مع البوابة الإلكترونية.

  1. سجّل الدخول على موقع البوابة الإلكتروني في صورة مسؤول وانقر فوق المؤسسة > إعدادات > الأمان.
  2. في القسم عمليات تسجيل الدخول ضمن المؤسسة، انقر فوق زر تعيين تسجيل الدخول المؤسسي وحدد الخيار اتحاد موفري الهوية. في صفحة تحديد الخصائص، أدخل اسم الاتحاد الخاص بك. يتم عرض الوصف للمستخدمين الذي لديهم إمكانية الوصول إلى موقع البوابة الإلكترونية كجزء من خيار تسجيل دخول SAML.
  3. اختر كيفية انضمام المستخدمين لمؤسسة البوابة الإلكترونية.
    • تلقائياً—تمكين المستخدمين من تسجيل الدخول على المؤسسة باستخدام تسجيل الدخول المؤسسة بدون الحاجة إلى إذن من المسؤول، كما يتم تسجيل الحساب تلقائياً مع البوابة الإلكترونية في المرة الأولى التي يقومون خلالها بتسجيل الدخول
    • عند الدعوة من المسؤول—بتطلب من مسؤول البوابة الإلكترونية تسجيل الحسابات اللازمة مع المؤسسة باستخدام الأداة المساعدة لسطر الأوامر أو برنامج بايثون النصي
    ملاحظة:‏

    توصي Esri بتعيين حساب مؤسسي واحد على الأقل في صورة مسؤول البوابة الإلكترونية، وتعطيل زر إنشاء حساب في موقع البوابة الإلكتروني وبالتالي يتعذر على المستخدمين إنشاء حسابات خاصة بهم. للحصول على مزيد من المعلومات، راجع قسم تعيين حساب مؤسسي في صورة مسؤول أدناه.

  4. قم بتوفير عنوان URL على خدمة اكتشاف IDP المركزي والمستضاف بواسطة الاتحاد، مثل https://wayf.samplefederation.com/WAYF.
  5. قم بتوفير عنوان URL للبيانات الوصفية للاتحاد، التي تكون تجمع للبيانات الوصفية لجميع موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
  6. قم بنسخ الشهاددة، المشفرة في تنسيق Base64، ولصقها مما يتيح للبوابة الإلكترونية التحقق من صحة البيانات الوصفية للاتحاد.
  7. قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
    1. تأكيد التشفير—قم بتمكين هذا الخيار للإشارة إلى موفر هوية SAML الذي من خلاله تدعم البوابة الإلكترونية استجابات تأكيد SAML المشفرة. عند تمكين هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن البوابة الإلكترونية عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
    2. تمكين الطلب المُسجّل—قم بتمكين هذا الخيار لتسجيل البوابة الإلكترونية طلب مصادقة SAML المُرسل إلى IDP. تسجيل طلب تسجيل الدخول الأولي المرسل بواسطة البوابة الإلكترونية يتيح لموفر الهوية التحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر الخدمة الموثوق.
    3. نشر تسجيل الخروج لموفر الهوية—قم بتمكين هذا الخيار لتستخدم البوابة الإلكترونية عنوان URL لتسجيل خروج المستخدم من IDP. إذا قمت بتحديده، أدخل عنوان URL للاستخدام في إعداد عنوان URL لتسجيل الخروج . إذا تطلب موفر الهوية عنوان URL لتسجيل الخروج لتسجيله، يجب أيضًا التأشير على خيار تمكين الطلب المُسجل. في حالة عدم تحديد هذا الخيار، فإن النقر فوق تسجيل الخروج في البوابة الإلكترونية سيقوم بتسجيل خروج المستخدم من البوابة الإلكترونية، لكن ليس من موفر الهوية IDP. إذا لم يتم مسح ذاكرة التخزين المؤقتة لمستعرض ويب المستخدم لتسجيل الدخول مرة أخرى على الفور في البوابة الإلكترونية باستخدام خيار تسجيل الدخول المؤسسي سوف يؤدي إلى تسجيل دخول فوري دون الحاجة إلى توفير بيانات اعتماد المستخدم إلى موفر هوية IDP. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه بسهولة.
    4. تحديث ملفات التعريف عند تسجيل الدخول—قم بتمكين هذا الخيار لتقوم البوابة الإلكترونية بتحديث givenName الخاص بالمستخدم وبيانات عنوان البريد الإلكترونية إذا كانت قد تم تغييرها منذ أخر عملية تسجيل دخول. يتم تحديد هذا افتراضيًا.
    5. مُعرف الهوية—تحديث هذه القيمة لاستخدام مُعرف هوية جديدة لتعريف مؤسسة البوابة الإلكترونية بشكل منفرد لاتحاد SAML.

سجّل البوابة الإلكترونية مع اتحاد SAML في صورة موفرة خدمة موثوق

لاكتمال عملية التكوين، قم بتأسيس ثقة مع دليل الاكتشاف الخاص بالاتحاد وموفر الهوية المؤسسة عن طريق تسجيل البيانات الوصفية لموفر البوابة الإلكترونية معهم. يوجد طريقان للحصول على هذه البيانات الوصفية:

  • في قسم الأمان في صفحة الإعدادات لمؤسستك، انقر على زر تنزيل البيانات التعريفية لموفر الخدمة لتقوم بتنزيل ملف البيانات التعريفية لمؤسستك.
  • افتح عنوان URL للبيانات التعريفية باعتبارها ملف XML على الجهاز. يعتبر عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز ، حدد اسم المجال المؤهل كليةً لخادم موفر الهوية في حقل عنوان URL لـ Webapp. لا يتم دعم اختيار أي خيار آخر، مثل عنوان IP أو عنوان IP للأصل المطلوب،وقد يقوم بإنشاء رمز مميز غير صحيح.

بمجرد أن تنتهي من تحميل البيانات التعريفية لموفر الخدمة، اتصل بمسؤولي اتحاد SAML للحصول على تعليمات عن كيفية دمج بياناتك التعريفية في ملف البيانات التعريفية المجمَّع للاتحاد. سوف تحتاج منهم أيضًا إلى تعليمات لتسجيل موفر الهوية (IDP) الخاص بك مع الاتحاد.

تعيين حساب مؤسسي كمسئول

ستعتمد كيفية تعيين الحساب المؤسسي باعتباره مسئول البوابة الإلكترونية على قدرة المستخدمين الانضمام للمؤسسة تلقائياً أو عند تلقي الدعوة من أحد المسئولين.

الانضمام إلى المؤسسة تلقائيًا

إذا اخترت خيار السماح للمستخدمين بالانضمام للمؤسسة تلقائيًا، افتح صفحة البداية لموقع البوابة الإلكترونية أثناء تسجيل الدخول بالحساب المؤسسي الذي تود استخدامه كمسئول البوابة الإلكترونية.

عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، فإنه يتم تعيين دور "مستخدم" إليه. يمكن لمسئول المؤسسة فقط تغيير دور الحساب، لذلك يجب تسجيل الدخول للبوابة الإلكترونية باستخدام حساب المسئول الأولي وتعيين حساب مؤسسي لدور المسئول.

  1. افتح موقع البوابة الإلكترونية، وانقر على الخيار لتسجيل الدخول في موفر هوية SAML، وأدخل بيانات اعتماد الحساب المؤسسي التي تود استخدامه كمسئول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
  2. تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
  3. أثناء فتح المستعرض، افتح موقع البوابة الإلكترونية على الويب، وانقر على خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المُدمج، وأدخل بيانات اعتماد حساب المسئول الأولية التي قمت بإنشائها عند إعداد Portal for ArcGIS.
  4. اعثر على الحساب المؤسسي الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسئول. انقر على تسجيل الخروج.

أصبح الحساب المؤسسي الذي اخترته الآن مسئول البوابة الإلكترونية.

أضف الحسابات المؤسسية إلى البوابة الإلكترونية يدويًا

إذا اخترت خيار السماح للمستخدمين بالانضمام للمؤسسة عند تلقي الدعوة من أحد المسئولين، فستحتاج لتسجيل الدخول للحسابات اللازمة مع المؤسسة باستخدام أداة خط الأمر المساعدة أو برنامج Python النصي البسيط. تأكد من اختيار دور المسئول للحساب المؤسسي الذي سيستخدم لإدارة البوابة الإلكترونية.

تخفيض حساب المسئول الأولي أو حذفه

الآن وعند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكنك تعيين حساب المسئول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.

منع المستخدمين من إنشاء حساباتهم الخاصة

يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.

تعطيل تسجيل الدخول في حسابات ArcGIS

إذا أردت منع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، يمكنك تعطيل زر استخدام حساب ArcGIS في صفحة تسجيل الدخول باستخدام الخطوات التالية.

  1. سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسؤول بالمؤسسة، وانقر فوق المؤسسة > الإعدادات > الأمان.
  2. في قسم عمليات تسجيل الدخول، ضمن خيارات تسجيل الدخول، قم بتعطيل تبديل عمليات تسجيل الدخول <اسم المؤسسة>.

تعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يتوفر زر تسجيل الدخول إلى استخدام حساب ArcGIS. يمكنك إعادة تمكين تسجيل دخول الأعضاء باستخدام حسابات ArcGIS من خلال التبديل في عمليات تسجيل الدخول <اسم المؤسسة> ضمن خيارات تسجيل الدخول > لعمليات تسجيل الدخول.

تعديل أو إزالة موفر الهوية SAML

عندما تقوم بإعداد اتحاد، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق زر المزيد من الخيارات المزيد من الخيارات بجانبه والنقر فوق تحرير. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول المؤسسة. تظهر تلك الأزرار بمجرد إعداد الاتحاد مع البوابة الإلكترونية.

لإزالة الاتحاد من البوابة الخاصة بك، انقر فوق الزر المزيد من الخيارات المزيد من الخيارات بجانبه وانقر فوق حذف. بمجرد إزالته، يمكنك إعداد موفر هوية جديد أو اتحاد لموفر الهوية عند الرغبة.