يمكن للمؤسسة الخاصة بك استخدام لغة ترميز تأكيد الأمان (SAML) لمصادقة مستخدمي الكمبيوتر ومصادقة الوصول إلى الموارد التي يتم تمكينها على الويب. لإتمام هذا، يتم تكوين موفر هوية أحادي متوافق مع SAML (IDP) لمعالجة مصادقة المستخدم. يتم استضافة موارد الويب للمؤسسة على أحد موفري الخدمات أو أكثر من موفر، التي تعالج مصادقة الوصول إلى موارد الويب. تتضمن المؤسسة تحكم كامل للإدارة لـ IDP وموفري الهوية. لدعم مصادقة تستند إلى SAML، يجب تسجيل كل موفري خدمات المؤسسة للعمل مع IDP. يمكن فقط تسجيل كل موفر خدمة مع IDP أحادي.
يمكنك أيضاً استخدام SAML لمشاركة الموارد عبر العديد من المؤسسات التي يتم تنظيمها بشكل مستقل. وقد أصبح هذا ممكناً من قبل كيانات إدارة الاتحاد، والتي تتيح المشاركة المستندة إلى SAML للموارد بين مؤسسات الأعضاء. مؤسسة العضو التي تريد مشاركة موارد الويب مع الاتحاد الذي يحتفظ بموفر واحد أو أكثر من موفري الخدمة للعمل داخل الاتحاد فقط. للوصول إلى مورد مُؤمن يتم مشاركته مع الاتحاد، يقوم المستخدم مصادقة الهوية مع IDP للمؤسسة الرئيسية. بمجرد المصادقة بنجاح، يتم تمثيل الهوية التي تم التحقق من صحتها على موفر الخدمة الذي يستضيف المورد المؤمن. وعندها يقوم موفر الخدمة بمنح الوصول إلى المورد بعد التحقق من امتيازات وصول المستخدم.
في الإصدار 10.6.1، يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية مع اتحاد IDP المستند إلى SAML. تمنح البوابة الإلكترونية الوصول إلى خدمة الاكتشاف المستضافة بواسطة الاتحاد، التي توفر قائمة من موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
بعض اتحادات موفر الهوية العامة المستند إلى SAML InCommon, eduGAIN, SWITCHaai, DFN-AAI, و اتحاد إدارة الدخول التابع للمملكة المتحدة.
قم بتكوين الاتحاد مع البوابة الإلكترونية
اتبع هذه الخطوات لتكوين اتحاد موفري الهوية المستند إلى SAML مع بوابتك الإلكترونية:
- سجّل الدخول إلى البوابة الإلكترونية في صورة مسؤول ثم انقر فوق المؤسسة > إعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، انقر فوق زر تسجيل دخول جديد إلى SAML، وحدد خيار موفر هوية واحد. في صفحة تحديد الخصائص، أدخل اسم الاتحاد الخاص بك. يظهر الوصف للمستخدمين الذي لديهم إمكانية الوصول إلى البوابة الإلكترونية كجزء من خيار تسجيل الدخول إلى SAML.
- اختر كيفية انضمام المستخدمين لمؤسسة البوابة الإلكترونية.
- تلقائيًا—يمكِّن المستخدمين من تسجيل الدخول إلى المؤسسة باستخدام تسجيل الدخول الخاص بالمؤسسة دون الحاجة إلى إذن من المسؤول، إذ يتم تسجيل حسابهم تلقائيًا مع البوابة الإلكترونية في المرة الأولى التي يقومون فيها بتسجيل الدخول.
- عند تلقي دعوة من المسؤول—يطلب من مسؤول المؤسسة تسجيل الحسابات الضرورية مع المؤسسة باستخدام الأداة المساعدة الخاصة بسطر الأوامر أو برنامج Python النصي.
ملاحظة:
توصي Esri بتعيين حساب SAML واحد على الأقل كمسؤول للبوابة الإلكترونية، وتعطيل زر إنشاء حساب في البوابة الإلكترونية كي لا يتمكن المستخدمون من إنشاء حساباتهم الخاصة. لمزيد من المعلومات، راجع قسم تعيين حساب SAML كمسؤول بالأسفل.
- قم بتوفير عنوان URL على خدمة اكتشاف IDP المركزي والمستضاف بواسطة الاتحاد، مثل https://wayf.samplefederation.com/WAYF.
- قم بتوفير عنوان URL للبيانات الوصفية للاتحاد، التي تكون تجمع للبيانات الوصفية لجميع موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
- قم بنسخ الشهاددة، المشفرة في تنسيق Base64، ولصقها مما يتيح للبوابة الإلكترونية التحقق من صحة البيانات الوصفية للاتحاد.
- قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
- تأكيد التشفير—قم بتمكين هذا الخيار للإشارة إلى موفر هوية SAML الذي من خلاله تدعم البوابة الإلكترونية استجابات تأكيد SAML المشفرة. عند تمكين هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن البوابة الإلكترونية عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
- تمكين الطلب المُسجّل—قم بتمكين هذا الخيار لتسجيل البوابة الإلكترونية طلب مصادقة SAML المُرسل إلى IDP. تسجيل طلب تسجيل الدخول الأولي المرسل بواسطة البوابة الإلكترونية يتيح لموفر الهوية التحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر الخدمة الموثوق.
- نشر تسجيل الخروج لموفر الهوية—قم بتمكين هذا الخيار لتستخدم البوابة الإلكترونية عنوان URL لتسجيل خروج المستخدم من IDP. إذا قمت بتحديده، أدخل عنوان URL للاستخدام في إعداد عنوان URL لتسجيل الخروج . إذا تطلب موفر الهوية عنوان URL لتسجيل الخروج لتسجيله، يجب أيضًا التأشير على خيار تمكين الطلب المُسجل. في حالة عدم تحديد هذا الخيار، سيؤدي النقر فوق تسجيل الخروج في البوابة الإلكترونية إلى تسجيل خروج المستخدم من البوابة الإلكترونية، لكن ليس من IDP. إذا لم يتم حذف ذاكرة التخزين المؤقتة الخاصة بمستعرض ويب المستخدم، فستؤدي محاولة تسجيل الدخول الفورية مرة أخرى إلى البوابة الإلكترونية باستخدام خيار تسجيل الدخول الخاص بالمؤسسة إلى تسجيل دخول فوري دون الحاجة إلى إدخال بيانات اعتماد المستخدم إلى IDP. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه بسهولة.
- تحديث ملفات التعريف عند تسجيل الدخول—قم بتمكين هذا الخيار لتقوم البوابة الإلكترونية بتحديث givenName الخاص بالمستخدم وبيانات عنوان البريد الإلكترونية إذا كانت قد تم تغييرها منذ أخر عملية تسجيل دخول. يتم تحديد هذا افتراضيًا.
- مُعرف الهوية—تحديث هذه القيمة لاستخدام مُعرف هوية جديدة لتعريف مؤسسة البوابة الإلكترونية بشكل منفرد لاتحاد SAML.
سجّل البوابة الإلكترونية مع اتحاد SAML في صورة موفرة خدمة موثوق
لاكتمال عملية التكوين، قم بتأسيس ثقة مع دليل الاكتشاف الخاص بالاتحاد وموفر الهوية المؤسسة عن طريق تسجيل البيانات الوصفية لموفر البوابة الإلكترونية معهم. يوجد طريقان للحصول على هذه البيانات الوصفية:
- في قسم الأمان في صفحة الإعدادات لمؤسستك، انقر على زر تنزيل البيانات التعريفية لموفر الخدمة لتقوم بتنزيل ملف البيانات التعريفية لمؤسستك.
- افتح عنوان URL للبيانات التعريفية باعتبارها ملف XML على الجهاز. يُعد عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز، حدد اسم المجال المؤهل الكلي الخاص بخادم موفر الهوية في حقل عنوان URL لـ Webapp. اختيار أي خيار آخر، مثل عنوان IP أو عنوان IP الخاص بأصل الطلب، غير مدعوم وقد يقوم بإنشاء رمز مميز غير صالح.
بمجرد أن تنتهي من تحميل البيانات التعريفية لموفر الخدمة، اتصل بمسؤولي اتحاد SAML للحصول على تعليمات عن كيفية دمج بياناتك التعريفية في ملف البيانات التعريفية المجمَّع للاتحاد. سوف تحتاج منهم أيضًا إلى تعليمات لتسجيل موفر الهوية (IDP) الخاص بك مع الاتحاد.
تعيين حساب SAML كمسؤول
تعتمد طريقة تعيين حساب SAML كمسؤول بالبوابة الإلكترونية على مدى قدرة المستخدمين على الانضمام إلى المؤسسة تلقائيًا أو عند تلقي دعوة من أحد المسؤولين.
الانضمام إلى المؤسسة تلقائيًا
إذا اخترت خيار السماح للمستخدمين بالانضمام إلى المؤسسة تلقائيًا، فافتح البوابة الإلكترونية أثناء تسجيل الدخول بحساب SAML الذي تود استخدامه كمسؤول البوابة الإلكترونية.
عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، فإنه يتم تعيين دور "مستخدم" إليه. يمكن فقط لمسؤول المؤسسة تغيير دور الحساب، لذلك يجب تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب المسؤول الأولي وتعيين حساب SAML لدور المسؤول.
- افتح البوابة الإلكترونية، وانقر فوق خيار تسجيل الدخول باستخدام موفر هوية SAML، وأدخل بيانات اعتماد حساب SAML الذي ترغب في استخدامه كمسؤول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
- تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
- أثناء وجودك في المستعرض، افتح البوابة الإلكترونية، وانقر فوق خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المدمج، وأدخل بيانات اعتماد حساب المسؤول الأولي التي أنشأتها عند إعداد Portal for ArcGIS.
- اعثر على حساب SAML الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسؤول. انقر على تسجيل الخروج.
حساب SAML الذي اخترته أصبح الآن مسؤول البوابة الإلكترونية.
أضف حسابات SAML إلى البوابة الإلكترونية يدويًا
إذا اخترت خيار السماح للمستخدمين بالانضمام إلى المؤسسة عند تلقي الدعوة من أحد المسؤولين، فستحتاج إلى تسجيل الحسابات اللازمة مع المؤسسة باستخدام أداة سطر الأوامر المساعدة أو نموذج برنامج Python النصي. تأكد من اختيار دور المسؤول لحساب SAML الذي سيستخدم لإدارة البوابة الإلكترونية.
تخفيض حساب المسئول الأولي أو حذفه
الآن بعد أن أصبح لديك حساب مسؤول مؤسسة بديل، يمكنك تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
منع المستخدمين من إنشاء حساباتهم الخاصة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.
تعطيل تسجيل الدخول في حسابات ArcGIS
إذا أردت منع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، يمكنك تعطيل زر تسجيل الدخول إلى ArcGIS في صفحة تسجيل الدخول باستخدام الخطوات التالية:
- سجل الدخول إلى البوابة الإلكترونية كمسؤول بالمؤسسة، ثم انقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، قم بتعطيل زر التبديل لـ تسجيل الدخول إلى ArcGIS.
ستعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يكون زر تسجيل الدخول باستخدام تسجيل الدخول إلى ArcGIS متاحًا. يمكنك إعادة تمكين عمليات تسجيل دخول الأعضاء باستخدام حسابات ArcGIS من خلال تفعيل خيار تسجيل الدخول إلى ArcGIS أسفل عمليات تسجيل الدخول.
تعديل أو إزالة موفر الهوية SAML
عندما تقوم بإعداد اتحاد، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق زر تحرير الموجود بجواره. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول SAML
لإزالة الاتحاد من بوابتك الإلكترونية، انقر فوق زر تحرير بجواره وانقر فوق حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى SAML. بمجرد إزالته، تكون لك حرية اختيار إعداد موفر هوية جديد أو اتحاد موفري الهوية عند الرغبة.