Security Assertion Markup Language (SAML) هو معيار مفتوح يُستخدم لتبادل بيانات المصادقة والتخويل بشكل آمن بين موفر الهوية الخاص بالمؤسسة ومقدم الخدمة (في هذه الحالة، مؤسسة ArcGIS Enterprise). يعرف هذا النهج بتسجيل الدخول الفردي على الويب SAML.
تتوافق المؤسسة مع SAML 2.0 وتتكامل مع مزود الهوية الذي يدعم عملية تسجيل الدخول الفردي على الويب على SAML 2. تكمُن الميزة من إعداد SAML في عدم الحاجة إلى إنشاء عمليات تسجيل دخول للمستخدمين للوصول إلى مؤسستك؛ بدلاً من ذلك، يمكنهم استخدام عمليات تسجيل الدخول التي تم إعدادها بالفعل في مخزن هوية. يتم وصف هذه العملية في الوثائق على أنها إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة.
اختياريًا، يمكنك توفير بيانات التعريف للبوابة الإلكترونية حول مجموعات SAML في مخزن الهوية الخاص بك. يتيح لك ذلك إنشاء مجموعات في البوابة الإلكترونية تستخدم مجموعات SAML الحالية في مخزن الهوية الخاص بك.
عندما يقوم الأعضاء بتسجيل الدخول إلى البوابة الإلكترونية، يتم التحكم في إمكانية الوصول إلى المحتوى والعناصر والبيانات بواسطة قواعد العضوية المحددة في مجموعة SAML. إذا لم تقم بتوفير بيانات التعريف الضرورية لمجموعة SAML، فلا يزال بإمكانك إنشاء مجموعات. ومع ذلك، يتم التحكم في قواعد العضوية بواسطة بوابة ArcGIS Enterprise الإلكترونية، وليس مخزن الهوية.
مطابقة أسماء المستخدمين ArcGIS Online في بوابة ArcGIS Enterprise الإلكترونية
إذا تم استخدام موفر هوية متوافق مع SAML في مؤسسة ArcGIS Online وكذلك في البوابة الإلكترونية، فإنه يمكن تكوين أسماء المستخدمين الخاصة بالمؤسسة للمطابقة. تحتوي جميع أسماء المستخدمين الخاصة بالمؤسسة في ArcGIS Online على اسم مؤسسة قصير ملحق في النهاية. يمكن استخدام نفس أسماء المستخدمين الخاصة بالمؤسسة في البوابة الإلكترونية عن طريق تحديد خاصية defaultIDPUsernameSuffix في تكوين الأمان لبوابة ArcGIS Enterprise الإلكترونية وإعداده لمطابقة الاسم المختصر للمؤسسة. يتم اللجوء إلى ذلك إذا تم تمكين تعقب المحرر في خدمة معلم يتم تحريرها بواسطة مستخدمي المؤسسة من كل من ArcGIS Online والبوابة الإلكترونية.
تسجيل دخول SAML
يدعم ArcGIS Enterprise موفر الخدمة (SP) الذي قام بتهيئة تسجيلات الدخول الخاصة بالمؤسسة وموفر الهوية (IDP) الذي قام بتهيئة تسجيلات الدخول الخاصة بالمؤسسة. يختلف استخدام عملية تسجيل الدخول بين كل مستخدم.
موفر الخدمة الذي قام بتهيئة عمليات تسجيل الدخول
بتسجيلات دخول موفر الخدمة المُهيأة، يتمكن المستخدمون من الوصول إلى البوابة الإلكترونية مباشرةً ويحصلون على خيارات تسجيل الدخول بـ حسابات مُدمجة (تُديره البوابة الإلكترونية) أو حسابات يتم إدارتها في موفر هوية متوافق مع SAML. إذا اختار العضو خيار موفر هوية SAML، يتم إعادة توجيهه إلى صفحة ويب (المعروفة باسم مدير عملية تسجيل الدخول) حيث يتم مطالبته بتقديم اسم مستخدم وكلمة مرور SAML. استنادًا إلى عملية التحقق من بيانات اعتماد تسجيل دخول المستخدم، فإن موفر الهوية المتوافق مع SAML يُبلغ ArcGIS Enterprise بالهوية التي تم التحقق من صحتها للمستخدم الذي يُسجّل الدخول، ويتم إعادة توجيه المستخدم إلى موقع البوابة الإلكترونية.
إذا اختار المستخدم خيار الحساب المضمن، يتم فتح صفحة تسجيل الدخول لموقع بوابة ArcGIS Enterprise الإلكترونية. يقوم المستخدم بعد ذلك بإدخال اسم مستخدم وكلمة المرور المضمنة للوصول إلى الموقع الإلكتروني. يمكنك استخدام خيار الحساب المُدمج كتأمين في حالة عدم توفر مُوفر هوية متوافق مع SAML، بشرط عدم تعطيل خيار تسجيل الدخول باستخدام حساب ArcGIS.
موفر الهوية الذي قام بتهيئة عمليات تسجيل الدخول
باستخدام عمليات تسجيل الدخول المُهيأة بواسطة موفر الخدمة، يتمكن المستخدمين من الوصول إلى مدير تسجيل الدخول مباشرةً وتسجيل الدخول عن طريق الحساب. عندما يرسل المستخدم معلومات حسابه، يُرسل موفر الهوية استجابة SAML مباشرةً إلى ArcGIS Enterprise. ومن ثم يتم تسجيل دخول المستخدم وإعادة توجيهه إلى موقع البوابة الإلكترونية حيث يمكنه الوصول إلى الموارد على الفور بدون القيام بتسجيل الدخول على المؤسسة مرة أخرى.
لا يتوفر خيار تسجيل الدخول باستخدام الحسابات المضمنة من مدير عملية تسجيل الدخول. لتسجيل الدخول على المؤسسة باستخدام الحسابات المضمنة، يتعين على الأعضاء الوصول إلى موقع البوابة الإلكتروني مباشرةً.
ملاحظة:
إذا فشل عمل تسجيلات دخول SAML بسبب وجود مسائل مع موفر الهوية الخاص بك، وقمت بتعطيل خيار الحسابات المضمنة، فلن تتمكن من الوصول إلى بوابة ArcGIS Enterprise الإلكترونية حتى إعادة تمكين هذا الخيار. راجع هذا السؤال في المشكلات الشائعة والحلول للحصول على الإرشادات.
موفري هوية SAML
يدعم ArcGIS Enterprise جميع موفري الهوية المتوافقين مع SAML. يمكنك العثور على إرشادات مفصلة حول تكوين بعض موفري الهوية المتوافقين مع SAML في مستودع ArcGIS/idp GitHub.
يتم وصف عملية تكوين موفري الهوية في ArcGIS Enterprise أدناه. قبل المعالجة، من المستحسن الاتصال بمسؤول موفر هوية SAML للحصول على المعلمات المطلوبة للتكوين.
المعلومات المطلوبة
يتطلب ArcGIS Enterprise معلومات بيانات جدولية محددة يتم تلقيها من IDP عند تسجيل دخول المستخدم باستخدام تسجيلات دخول SAML. تعد بيانات NameID الجدولية إلزامية ويجب إرسالها بواسطة IDP الخاص بك في استجابة SAML لضمان نجاح التوحيد. نظرًا إلى استخدام ArcGIS Enterprise لقيمة NameID لتعريف مستخدم مسمى بشكل فريد، يُوصَى باستخدام قيمة ثابتة تقوم بتعريف المستخدم بشكل فريد. عند تسجيل دخول مستخدم من IDP، يتم إنشاء مستخدم جديد باسم مستخدم NameID بواسطة مؤسسة ArcGIS Enterprise في مخزن المستخدم الخاص به. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID هي أبجدية رقمية، _ (شرطة سفلية)، . (نقطة)، و @ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل ArcGIS Enterprise.
يدعم ArcGIS Enterprise تدفق عنوان البريد الإلكتروني الخاص بالمستخدم، وعضويات المجموعات، والاسم المحدد، واللقب من موفر الهوية SAML.
تكوين البوابة الإلكترونية مع موفر هوية SAML
يمكنك تكوين البوابة الإلكترونية الخاصة بك بحيث يمكن للمستخدمين تسجيل الدخول باستخدام نفس اسم المستخدم وكلمة المرور التي يستخدمونها مع الأنظمة الداخلية الموجودة لديك. قبل إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة، يجب عليك تكوين نوع المستخدم الافتراضي لمؤسستك.
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسؤول بالمؤسسة، وانقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، انقر فوق زر تسجيل دخول جديد إلى SAML، وحدد خيار موفر هوية واحد. في صفحة تحديد الخصائص، اكتب اسم مؤسستك (على سبيل المثال، مدينة ريدلاندز).
عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
- اختر تلقائيًا أو عند تلقي الدعوة من أحد المسؤولين لتحديد ما إذا كان يمكن للمستخدمين الانضمام إلى المؤسسة تلقائيًا أو بناءً على دعوة.يُمكّن الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول الخاصة بالمؤسسة بدون دعوة من المسؤول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتطلب الخيار الثاني من المسؤول تسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب SAML واحد على الاقل بصفتك مسؤول البوابة الإلكترونية وتخفيض حساب المسؤول الأولي أو حذفه. يوصى أيضاً بتعطيل زر إنشاء حساب في موقع البوابة الإلكترونية بحيث لا يمكن للمستخدمين إنشاء حساباتهم. للحصول على التعليمات، راجع قسم تحديد حساب خاص بالمؤسسة كمسؤول بالأسفل.
- حدد المصدر الذي ستصل إليه البوابة الإلكترونية للحصول على معلومات البيانات الوصفية وهذا يوفر معلومات البيانات الوصفية الضرورية حول موفر الهوية المتوافق مع SAML. يمكنك العثور على إرشادات للحصول على البيانات التعريفية من الموفرين المعتمدين في مستودع ArcGIS/idp GitHub. توجد ثلاثة مصادر متاحة لمعلومات بيانات التعريف:
- عنوان URL- توفير عنوان URL يُرجع معلومات البيانات التعريفية الخاصة بموفر الهوية.
ملاحظة:
إذا كان موفر الهوية يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على ArcGIS Enterprise التحقق من شهادة التوقيع الذاتي لموفر الهوية. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو أحد الخيارات الأخرى أدناه أو قم بتكوين موفر الهوية باستخدام شهادة موثوقة.
- الملف- تحميل ملف يتضمن معلومات البيانات التعريفية المتعلقة بموفر الهوية.
- المعلمات المحددة هنا— إدخال معلومات البيانات التعريفية الخاصة بموفر الهوية مباشرًة عن طريق تقديم ما يلي:
- عنوان URL لتسجيل الدخول (إعادة توجيه) — أدخل عنوان URL لموفر الهوية (الذي يدعم ربط إعادة توجيه HTTP) التي ينبغي لـ ArcGIS Enterprise استخدامه للسماح بتسجيل دخول العضو.
- عنوان URL لتسجيل الدخول (POST) — أدخل عنوان URL لموفر الهوية (الذي يدعم ربط HTTP POST) الذي ينبغي لـ ArcGIS Enterprise استخدامه للسماح بتسجيل دخول العضو.
- الشهادة — الشهادة الخاصة، التي يتم ترميزها بتنسيق BASE 64، لموفر الهوية. هذه هي الشهادة التي تسمح لـ ArcGIS Enterprise بالتحقق من التوقيع الرقمي في استجابات SAML التي تم إرسالها من مُوفر الهوية.
ملاحظة:
اتصل بمسئول موفر الهوية إذا كنت بحاجة إلى مساعدة في تحديد أي من مصادر معلومات البيانات التعريفية التي تحتاج إلى توفيرها.
- عنوان URL- توفير عنوان URL يُرجع معلومات البيانات التعريفية الخاصة بموفر الهوية.
- قم بتسجيل البيانات الوصفية لمزود خدمة البوابة الإلكترونية مع موفر الهوية الخاص بك لإكمال عملية التكوين وتأسيس الثقة مع موفر الهوية. للحصول على البيانات الوصفية من البوابة الإلكترونية، قم بأحد الإجراءات التالية:
- في قسم الأمان في علامة تبويب الإعدادات لمؤسستك، انقر على زر تنزيل البيانات التعريفية لموفر الخدمة لتقوم بتنزيل ملف البيانات التعريفية لمؤسستك.
- افتح عنوان URL للبيانات التعريفية واحفظها على شكل ملف .xml على جهاز الكمبيوتر. يُعد عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز، حدد اسم المجال المؤهل الكلي الخاص بخادم موفر الهوية في مربع نص Webapp URL. لا يتم دعم أي خيار آخر، مثل عنوان IP أو عنوان IP الخاص بأصل الطلب، وقد يقوم بإنشاء رمز مميز غير صالح.
يمكنك العثور على إرشادات لتسجيل البيانات التعريفية لموفر خدمة البوابة الإلكترونية مع الموفرين المعتمدين في مستودع ArcGIS/idp GitHub.
- قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
- تأكيد التشفير — يشير إلى موفر هوية SAML الذي من خلاله تدعم ArcGIS Enterprise استجابات تأكيد SAML المشفرة. عند تحديد هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن ArcGIS Enterprise عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
- تمكين الطلب الموقع — للحصول على توقيع ArcGIS Enterprise لطلب مصادقة SAML المرسل إلى مدير الهوية. تسجيل طلب تسجيل الدخول الأولي المرسل بواسطة ArcGIS Enterprise يتيح لموفر الهوية التحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر الخدمة الموثوق.
تلميح:
قم بتمكين هذا الإعداد لضمان سلامة طلبات SAML. يمكنك تمكين هذا الخيار في أي وقت في الإعدادات المتقدمة، حتى إذا تخطيته أثناء التكوين الأولي للبوابة الإلكترونية.
- نشر تسجيل الخروج لموفر الهوية — جعل ArcGIS Enterprise يستخدم عنوان URL لتسجيل الخروج وذلك لتسجيل خروج المستخدم من موفر الهوية. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا طلب موفر الهوية توقيع عنوان URL لتسجيل الخروج، فيجب أيضًا تمكين إعداد تمكين الطلب الموقّع. عند عدم التأشير على هذا الإعداد، يعمل النقر فوق تسجيل الخروج في ArcGIS Enterprise على تسجيل خروج المستخدم من ArcGIS Enterprise ولكن ليس من موفر الهوية. إذا لم يتم مسح ذاكرة التخزين المؤقتة لمستعرض ويب المستخدم، والتسجيل مرة أخرى على الفور في ArcGIS Enterprise باستخدام خيار تسجيل الدخول الخاص بالمؤسسة سوف يؤدي إلى تسجيل دخول فوري دون توفير بيانات اعتماد المستخدم إلى موفر هوية SAML. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه.
- تحديث ملفات التعريف عند تسجيل الدخول — اجعل ArcGIS Enterprise يقوم بتحديث البيانات الجدولية givenName و email address للمستخدم إذا تم تغييرها منذ آخر عملية تسجيل دخول. يتم تمكين هذا افتراضيًا.
- تمكين عضوية مجموعة تستند إلى SAML — السماح لمسؤولي البوابة الإلكترونية لربط المجموعات في موفر هوية SAML بالمجموعات التي تم إنشائها في بوابة ArcGIS Enterprise الإلكترونية. عند تمكين هذا الإعداد، يوزع ArcGIS Enterprise استجابة تأكيد SAML لتحديد المجموعات التي ينتمي إليها العضو. يمكنك تحديد مجموعة واحدة أو أكثر من مجموعات SAML التي تم تزويدها بواسطة موفر الهوية لـ من يمكنه الانضمام إلى هذه المجموعة؟ عند إنشائك مجموعة جديدة في البوابة الإلكترونية.يتم تعطيل هذا المعلم بشكل افتراضي.
ملاحظة:
عند إنشاء مجموعة جديدة في بوابة ArcGIS Enterprise الإلكترونية، يجب أن يتطابق اسم المجموعة الذي تدخله مع القيمة الدقيقة لمجموعة SAML الخارجية إذ يتم إرجاعها في قيمة السمة لتأكيد SAML. إذا لم تكن متأكدًا من القيمة الصحيحة، فاتصل بالمسؤول الذي قام بتكوين نظام SAML للمؤسسة.
- عنوان URL لتسجيل الخروج—إدخال عنوان URL لموفر الهوية لاستخدامه لتسجيل خروج المستخدم الذي يُسجل الدخول حاليًا. إذا تم تحديد هذه الخاصية في ملف البيانات التعريفية لموفر الهوية، يتم تعيينها تلقائيًا.
- مُعرف الوحدة — تحديث هذه القيمة لاستخدام مُعرف وحدة جديد لتعريف مؤسسة ArcGIS Enterprise بشكل فريد إلى موفر هوية SAML.
تعيين حساب خاص بالمؤسسة كمسؤول
تعتمد كيفية تعيين الحساب الخاص بالمؤسسة باعتباره مسؤول البوابة الإلكترونية على قدرة المستخدمين الانضمام للمؤسسة تلقائياً أو عند تلقي الدعوة من أحد المسؤولين.
الانضمام إلى المؤسسة تلقائيًا
إذا اخترت خيار تلقائيًا للسماح للمستخدمين بالانضمام للمؤسسة تلقائيًا، افتح صفحة البداية لموقع البوابة الإلكترونية أثناء تسجيل الدخول بالحساب الخاص بالمؤسسة الذي تود استخدامه كمسؤول البوابة الإلكترونية.
عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، يتم تعيين الدور الافتراضي المكوَّن للأعضاء الجدد له. يمكن لمسؤول المؤسسة فقط تغيير دور الحساب، يجب تسجيل الدخول للبوابة الإلكترونية باستخدام حساب المسئول الأولي وتعيين حساب خاص بالمؤسسة لدور المسؤول.
- افتح موقع البوابة الإلكترونية، وانقر على الخيار لتسجيل الدخول في موفر هوية SAML، وأدخل بيانات اعتماد حساب SAML الذي تود استخدامه كمسؤول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
- تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
- أثناء فتح المستعرض، افتح موقع البوابة الإلكترونية على الويب، وانقر على خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المُدمج، وأدخل بيانات اعتماد حساب المسؤول الأولية التي قمت بإنشائها عند إعداد ArcGIS Enterprise.
- اعثر على حساب SAML الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسؤول. انقر على تسجيل الخروج.
حساب SAML الذي اخترته أصبح الآن مسؤول البوابة الإلكترونية.
إضافة الحسابات الخاصة بالمؤسسة إلى البوابة الإلكترونية يدويًا
إذا اخترت خيار بناء على دعوة من مسؤول للسماح للمستخدمين بالانضمام إلى المؤسسة فقط من خلال دعوة، يجب عليك تسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر. اختر دور المسؤول لحساب SAML الذي سيستخدم لإدارة البوابة الإلكترونية.
تخفيض حساب المسئول الأولي أو حذفه
الآن وعند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور آخر أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
منع المستخدمين من إنشاء حساباتهم الخاصة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.
منع المستخدمين من تسجيل الدخول باستخدام حساب ArcGIS
لمنع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، قم بإيقاف زر تسجيل الدخول إلى ArcGIS على صفحة تسجيل الدخول.
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسؤول بالمؤسسة، وانقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم تسجيلات الدخول، قم بإيقاف تشغيل زر تبديل تسجيل الدخول إلى ArcGIS.
تعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يتوفر زر تسجيل الدخول إلى ArcGIS. لإعادة تمكين تسجيلات دخول الأعضاء بحسابات ArcGIS، قم بتشغيل زر تبديل تسجيل الدخول إلى ArcGIS في قسم تسجيلات الدخول.
تعديل إو إزالة موفر هوية SAML
عندما تقوم بإعداد موفر هوية SAML يمكنك تحديث الإعدادات الخاصة به بالنقر على زر تحرير 
الموجود بجوار موفر الهوية SAML المسجل حاليًا. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول SAML.
لإزالة موفر الهوية المسجل حاليًا، انقر على زرتحرير تحرير الموجود بجوفر الهوية ثم انقر على حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى SAML. بمجرد إزالة موفر الهوية، يمكنك اختياريًا إعداد IDP جديد أو اتحاد IDPs.
أفضل الممارسات لأمان SAML
لتمكين تسجيلات دخول SAML، يمكنك تكوين ArcGIS Enterprise كموفر خدمة لموفر هوية SAML لديك. لضمان الأمان القوي، ضع في اعتبارك أفضل الممارسات الموضحة أدناه.
التوقيع رقمياً على طلبات تسجيل الدخول والخروج في SAML وتوقيع استجابة تأكيد SAML
يتم استخدام التوقيعات لضمان سلامة رسائل SAML وبالتالي كضمانة ضد هجمات الدخلاء (MITM). يضمن التوقيع الرقمي لطلب SAML أيضًا إرسال الطلب من قِبل موفر الخدمة موثوق به، مما يسمح لـ IDP بالتعامل بشكل أفضل مع هجمات رفض الخدمة (DOS). قم بتشغيل خيار تمكين الطلب الموقع من خلال الإعدادات المتقدمة عند تكوين تسجيلات الدخول SAML.
ملاحظة:
يتطلب تمكين الطلبات الموقعة تحديث موفر الهوية كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها موفر الخدمة.
قم بتكوين SAML IDP لتوقيع استجابة SAML لمنع تغيير مرور استجابة تأكيد SAML.
ملاحظة:
يتطلب تمكين الطلبات الموقعة تحديث موفر الخدمة (ArcGIS Enterprise) كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها موفر الهوية.
استخدام نقطة نهاية HTTPS لـ IDP
أي اتصال بين وموفر الخدمة، وIDP، ومتصفح المستخدم الذي يتم إرساله إما عبر شبكة داخلية أو الإنترنت بتنسيق غير مشفر يمكن اعتراضه من قبل ممثل ضار. إذا كان SAML IDP يدعم HTTPS، فمن المستحسن أن تستخدم نقطة نهاية HTTPS لضمان سرية البيانات المرسلة أثناء تسجيلات SAML.
تشفير استجابة تأكيد SAML
يؤمن استخدام HTTPS SAMLللاتصال SAMLالرسائل المرسلة بين IDP ومزد الخدمة. ومع ذلك، لا يزال بإمكان المستخدمين الذين قاموا بتسجيل الدخول فك تشفير وعرض رسائل SAML من خلال متصفح الويب. تمكين تشفير استجابة التأكيد يمنع المستخدمين من مشاهدة المعلومات السرية أو الحساسة التي يتم توصيلها بين IDP وموفر الخدمة.
ملاحظة:
يتطلب تمكين التأكيدات المشفرة تحديث موفر الهوية عندما يتم تجديد أو استبدال شهادة التشفير التي يستخدمها موفر الخدمة (ArcGIS Enterprise).
إدارة شهادات التوقيع والتشفير بأمان
استخدم الشهادات التي تحتوي على مفاتيح تشفير قوية لتوقيع رسائل SAML أو تشفيرها رقميًا، وتجديد الشهادات أو استبدالها كل ثلاث إلى خمس سنوات.