Security Assertion Markup Language (SAML) هو معيار مفتوح يُستخدم لتبادل بيانات المصادقة والتخويل بشكل آمن بين موفر الهوية الخاص بالمؤسسة ومقدم الخدمة (في هذه الحالة، Portal for ArcGIS). يعرف هذا النهج بتسجيل الدخول الفردي على الويب SAML.
تتوافق البوابة الإلكترونية مع SAML 2.0 وتتكامل مع مزود الهوية الذي يدعم عملية تسجيل الدخول الفردي على الويب على SAML 2. تكمُن الميزة من إعداد SAML في عدم الحاجة إلى إنشاء عمليات تسجيل دخول للمستخدمين للوصول إلى بوابة ArcGIS Enterprise الإلكترونية؛ بدلاً من ذلك، يمكنهم استخدام عمليات تسجيل الدخول التي تم إعدادها بالفعل في مخزن هوية. يتم وصف هذه العملية في الوثائق على أنها إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة.
اختياريًا، يمكن توفير البيانات التعريفية المتعلقة بالمجموعات المؤسسية في متجر الهوية. يسمح هذا بـ إنشاء المجموعات في البوابة الإلكترونية التي تستخدم المجموعات المؤسسية الحالية في مخزن الهوية.
عند تسجيل دخول الأعضاء إلى البوابة الإلكترونية، فإن الوصول إلى المحتويات والعناصر والبيانات تتحكم فيه قواعد العضوية المُعرفة في مجموعة المؤسسة. إذا لم تقم بتوفير البيانات التعريفية لمجموعة المؤسسة الضرورية، لا يزال بإمكانك إنشاء مجموعات. ومع ذلك، يتم التحكم في قواعد العضوية بواسطة بوابة ArcGIS Enterprise الإلكترونية، وليس مخزن الهوية.
ملاحظة:
في الإصدار 10.6.1، يمكنك أيضاً تكوين اتحاد موفري الهوية القائم على SAML مع البوابة الإلكترونية.
مطابقة أسماء المستخدمين ArcGIS Online في بوابة ArcGIS Enterprise الإلكترونية
إذا تم استخدام موفر هوية متوافق مع SAML في مؤسسة ArcGIS Online وكذلك في البوابة الإلكترونية، فإنه يمكن تكوين أسماء المستخدمين الخاصة بالمؤسسة للمطابقة. تحتوي جميع أسماء المستخدمين الخاصة بالمؤسسة في ArcGIS Online على اسم مؤسسة قصير ملحق في النهاية. يمكن استخدام نفس أسماء المستخدمين الخاصة بالمؤسسة في البوابة الإلكترونية عن طريق تحديد خاصية defaultIDPUsernameSuffix في تكوين الأمان لبوابة ArcGIS Enterprise الإلكترونية وإعداده لمطابقة الاسم المختصر للمؤسسة. يتم اللجوء إلى ذلك إذا تم تمكين تعقب المحرر في خدمة معلم يتم تحريرها بواسطة مستخدمي المؤسسة من كل من ArcGIS Online والبوابة الإلكترونية.
تسجيل دخول SAML
يدعم Portal for ArcGIS موفر الخدمة (SP) الذي قام بتهيئة تسجيلات الدخول الخاصة بالمؤسسة وموفر الهوية (IDP) الذي قام بتهيئة تسجيلات الدخول الخاصة بالمؤسسة. يختلف استخدام عملية تسجيل الدخول بين كل مستخدم.
موفر الخدمة الذي قام بتهيئة عمليات تسجيل الدخول
بتسجيلات دخول موفر الخدمة المُهيأة، يتمكن المستخدمون من الوصول إلى البوابة الإلكترونية مباشرةً ويحصلون على خيارات تسجيل الدخول بـ حسابات مُدمجة (تُديره البوابة الإلكترونية) أو حسابات يتم إدارتها في موفر هوية متوافق مع SAML. إذا اختار العضو خيار موفر هوية SAML، يتم إعادة توجيهه إلى صفحة ويب (المعروفة باسم مدير عملية تسجيل الدخول) حيث يتم مطالبته بتقديم اسم مستخدم وكلمة مرور SAML. استنادًا إلى عملية التحقق من بيانات اعتماد تسجيل دخول المستخدم، فإن موفر الهوية المتوافق مع SAML يُبلغ Portal for ArcGIS بالهوية التي تم التحقق من صحتها للمستخدم الذي يُسجّل الدخول، ويتم إعادة توجيه المستخدم إلى موقع البوابة الإلكترونية.
إذا اختار المستخدم خيار الحساب المضمن، يتم فتح صفحة تسجيل الدخول لموقع بوابة ArcGIS Enterprise الإلكترونية. يقوم المستخدم بعد ذلك بإدخال اسم مستخدم وكلمة المرور المضمنة للوصول إلى الموقع الإلكتروني. يمكنك استخدام خيار الحساب المُدمج كتأمين في حالة عدم توفر مُوفر هوية متوافق مع SAML، بشرط عدم تعطيل خيار تسجيل الدخول باستخدام حساب ArcGIS.
موفر الهوية الذي قام بتهيئة عمليات تسجيل الدخول
باستخدام عمليات تسجيل الدخول المُهيأة بواسطة موفر الخدمة، يتمكن المستخدمين من الوصول إلى مدير تسجيل الدخول مباشرةً وتسجيل الدخول عن طريق الحساب. عندما يرسل المستخدم معلومات حسابه، يُرسل موفر الهوية استجابة SAML مباشرةً إلى Portal for ArcGIS. ومن ثم يتم تسجيل دخول المستخدم وإعادة توجيهه إلى موقع البوابة الإلكترونية حيث يمكنه الوصول إلى الموارد على الفور بدون القيام بتسجيل الدخول على المؤسسة مرة أخرى.
لا يتوفر خيار تسجيل الدخول باستخدام الحسابات المضمنة من مدير عملية تسجيل الدخول. لتسجيل الدخول على المؤسسة باستخدام الحسابات المضمنة، يتعين على الأعضاء الوصول إلى موقع البوابة الإلكتروني مباشرةً.
ملاحظة:
إذا فشل عمل تسجيلات دخول SAML بسبب وجود مسائل مع موفر الهوية الخاص بك، وقمت بتعطيل خيار الحسابات المضمنة، فلن تتمكن من الوصول إلى بوابة ArcGIS Enterprise الإلكترونية حتى إعادة تمكين هذا الخيار. راجع هذا السؤال في المشكلات الشائعة والحلول للحصول على الإرشادات.
موفري هوية SAML
يدعم Portal for ArcGIS جميع موفري الهوية المتوافقين مع SAML. يمكنك العثور على إرشادات مفصلة حول تكوين بعض موفري الهوية المتوافقين مع SAML في مستودع ArcGIS/idp GitHub.
يتم وصف عملية تكوين موفري الهوية في ArcGIS Enterprise أدناه. قبل المعالجة، من المستحسن الاتصال بمسؤول موفر هوية SAML للحصول على المعلمات المطلوبة للتكوين. على سبيل المثال، إذا كانت المؤسسة تستخدم دليل Microsoft Active، يكون المسؤول عن ذلك هو الشخص القادر على الاتصال لتكوين SAML أو تمكينه على جانب مُوفر الهوية الخاص بالمؤسسة والحصول على المعلمات الضرورية للتكوين في جانب البوابة الإلكترونية.
المعلومات المطلوبة
يتطلب Portal for ArcGIS معلومات بيانات جدولية محددة لتلقيها من IDP عند تسجيل دخول المستخدم باستخدام تسجيلات دخول SAML. تعد بيانات NameID الجدولية إلزامية ويجب إرسالها بواسطة IDP في استجابة SAML للتوحيد مع عمل Portal for ArcGIS. ونظرًا لاستخدام Portal for ArcGIS لقيمة NameID لتعريف مستخدم مسمى بشكل فريد، يُوصَى باستخدام قيمة ثابتة تقوم بتعريف المستخدم بشكل فريد. عند تسجيل دخول مستخدم من IDP، يتم إنشاء مستخدم جديد باسم مستخدم NameID بواسطة Portal for ArcGIS في مخزن المستخدم الخاص به. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID هي أبجدية رقمية، _ (شرطة سفلية)، . (نقطة)، و @ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
يدعم Portal for ArcGIS تدفق عنوان البريد الإلكتروني للمستخدم، وعضويات المجموعات، والاسم المعين، واللقب من مزود هوية SAML.
تكوين البوابة الإلكترونية مع موفر هوية SAML
يمكنك تكوين البوابة الإلكترونية الخاصة بك بحيث يمكن للمستخدمين تسجيل الدخول باستخدام نفس اسم المستخدم وكلمة المرور التي يستخدمونها مع الأنظمة الداخلية الموجودة لديك. قبل إعداد عمليات تسجيل الدخول الخاصة بالمؤسسة، يجب عليك تكوين نوع المستخدم الافتراضي لمؤسستك.
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسؤول بالمؤسسة، وانقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، انقر فوق زر تسجيل دخول جديد إلى SAML، وحدد خيار موفر هوية واحد. في صفحة تحديد الخصائص، اكتب اسم مؤسستك (على سبيل المثال، مدينة ريدلاندز).
عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يُعرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
- اختر تلقائيًا أو عند تلقي الدعوة من أحد المسؤولين لتحديد ما إذا كان يمكن للمستخدمين الانضمام إلى المؤسسة تلقائيًا أو بناءً على دعوة.يُمكّن الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول الخاصة بالمؤسسة بدون دعوة من المسؤول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسؤول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو النموذجPython النصي. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب SAML واحد على الاقل بصفتك مسؤول البوابة الإلكترونية وتخفيض حساب المسؤول الأولي أو حذفه. يوصى أيضاً بتعطيل زر إنشاء حساب في موقع البوابة الإلكترونية بحيث لا يمكن للمستخدمين إنشاء حساباتهم. للحصول على التعليمات، راجع قسم تحديد حساب خاص بالمؤسسة كمسؤول بالأسفل.
- حدد المصدر الذي ستصل إليه البوابة الإلكترونية للحصول على معلومات البيانات التعريفية. يوفر ذلك معلومات البيانات التعريفية اللازمة بشأن موفر الهوية المتوافق مع SAML. يمكنك العثور على إرشادات للحصول على البيانات التعريفية من الموفرين المعتمدين في مستودع ArcGIS/idp GitHub. توجد ثلاثة مصادر متاحة لمعلومات بيانات التعريف:
- عنوان URL- توفير عنوان URL يُرجع معلومات البيانات التعريفية الخاصة بموفر الهوية.
ملاحظة:
إذا كان موفر الهوية يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لموفر الهوية. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو أحد الخيارات الأخرى أدناه أو قم بتكوين موفر الهوية باستخدام شهادة موثوقة.
- الملف- تحميل ملف يتضمن معلومات البيانات التعريفية المتعلقة بموفر الهوية.
- المعلمات المحددة هنا— إدخال معلومات البيانات التعريفية الخاصة بموفر الهوية مباشرًة عن طريق تقديم ما يلي:
- عنوان URL لتسجيل الدخول (إعادة توجيه) — أدخل عنوان URL لموفر الهوية (الذي يدعم ربط إعادة توجيه HTTP) التي ينبغي لـ Portal for ArcGIS استخدامه للسماح بتسجيل دخول العضو.
- عنوان URL لتسجيل الدخول (POST) — أدخل عنوان URL لموفر الهوية (الذي يدعم ربط HTTP POST) الذي ينبغي لـ Portal for ArcGIS استخدامه للسماح بتسجيل دخول العضو.
- الشهادة — الشهادة الخاصة، التي يتم ترميزها بتنسيق BASE 64، لموفر الهوية. هذه هي الشهادة التي تسمح لـ Portal for ArcGIS للتحقق من التوقيع الرقمي في استجابات SAML التي تم إرسالها من مُوفر الهوية.
ملاحظة:
اتصل بمسئول موفر الهوية إذا كنت بحاجة إلى مساعدة في تحديد أي من مصادر معلومات البيانات التعريفية التي تحتاج إلى توفيرها.
- عنوان URL- توفير عنوان URL يُرجع معلومات البيانات التعريفية الخاصة بموفر الهوية.
- قم بتسجيل البيانات الوصفية لمزود خدمة البوابة الإلكترونية مع موفر الهوية الخاص بك لإكمال عملية التكوين وتأسيس الثقة مع موفر الهوية. للحصول على البيانات الوصفية من البوابة الإلكترونية، قم بأحد الإجراءات التالية:
- في قسم الأمان في علامة تبويب الإعدادات لمؤسستك، انقر على زر تنزيل البيانات التعريفية لموفر الخدمة لتقوم بتنزيل ملف البيانات التعريفية لمؤسستك.
- افتح عنوان URL للبيانات التعريفية واحفظها على شكل ملف .xml على جهاز الكمبيوتر. يُعد عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز، حدد اسم المجال المؤهل الكلي الخاص بخادم موفر الهوية في مربع نص Webapp URL. لا يتم دعم أي خيار آخر، مثل عنوان IP أو عنوان IP الخاص بأصل الطلب، وقد يؤدي ذلك إلى إنشاء رمز مميز غير صالح.
يمكنك العثور على إرشادات لتسجيل البيانات التعريفية لموفر خدمة البوابة الإلكترونية مع الموفرين المعتمدين في مستودع ArcGIS/idp GitHub.
- قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
- تأكيد التشفير — يشير إلى موفر هوية SAML الذي من خلاله تدعم Portal for ArcGIS استجابات تأكيد SAML المشفرة. عند تحديد هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن Portal for ArcGIS عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
- تمكين الطلب الموقع — للحصول على توقيع Portal for ArcGIS لطلب مصادقة SAML المرسل إلى مدير الهوية. تسجيل طلب تسجيل الدخول الأولي المرسل بواسطة Portal for ArcGIS يتيح لموفر الهوية التحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر الخدمة الموثوق.
تلميح:
قم بتمكين هذا الإعداد لضمان سلامة طلبات SAML. يمكنك تمكين هذا الخيار في أي وقت في الإعدادات المتقدمة، حتى إذا تخطيته أثناء التكوين الأولي للبوابة الإلكترونية.
- نشر تسجيل الخروج لموفر الهوية — جعل Portal for ArcGIS يستخدم عنوان URL لتسجيل الخروج وذلك لتسجيل خروج المستخدم من موفر الهوية. أدخل عنوان URL لاستخدامه في إعدادات عنوان URL لتسجيل الخروج. إذا طلب موفر الهوية توقيع عنوان URL لتسجيل الخروج، فيجب أيضًا تمكين إعداد تمكين الطلب الموقّع. عند عدم التأشير على هذا الإعداد، يعمل النقر على تسجيل الخروج في Portal for ArcGIS على تسجيل خروج المستخدم من Portal for ArcGIS ولكن ليس من موفر الهوية. إذا لم يتم مسح ذاكرة التخزين المؤقتة لمستعرض ويب المستخدم، والتسجيل مرة أخرى على الفور في Portal for ArcGIS باستخدام خيار تسجيل الدخول الخاص بالمؤسسة سوف يؤدي إلى تسجيل دخول فوري دون توفير بيانات اعتماد المستخدم إلى موفر هوية SAML. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه.
- تحديث ملفات التعريف عند تسجيل الدخول — اجعل Portal for ArcGIS يقوم بتحديث البيانات الجدولية givenName و email address للمستخدم إذا تم تغييرها منذ آخر عملية تسجيل دخول. يتم تمكين هذا افتراضيًا.
- تمكين عضوية مجموعة تستند إلى SAML — السماح لمسؤولي البوابة الإلكترونية لربط المجموعات في موفر هوية SAML بالمجموعات التي تم إنشائها في بوابة ArcGIS Enterprise الإلكترونية. عند تمكين هذا الإعداد، يوزع Portal for ArcGIS استجابة تأكيد SAML لتحديد المجموعات التي ينتمي إليها العضو. يمكنك بعد ذلك تحديد مجموعة مؤسسية واحدة أو أكثر يوفرها موفر الهوية بشأن من يمكنه الانضمام إلى هذه المجموعة عند إنشاء مجموعة جديدة في البوابة الإلكترونية. يتم تعطيل هذا المعلم بشكل افتراضي.
- عنوان URL لتسجيل الخروج—إدخال عنوان URL لموفر الهوية لاستخدامه لتسجيل خروج المستخدم الذي يُسجل الدخول حاليًا. إذا تم تحديد هذه الخاصية في ملف البيانات التعريفية لموفر الهوية، يتم تعيينها تلقائيًا.
- مُعرف الوحدة — تحديث هذه القيمة لاستخدام مُعرف وحدة جديد لتعريف مؤسسة Portal for ArcGIS بشكل فريد إلى موفر هوية SAML.
تكوين موفر هوية متوافق مع SAML لبوابة إلكترونية عالية التوافر
يستخدم Portal for ArcGIS شهادة بالاسم المستعار samlcert عند إرسال الطلبات الموقعة (لعمليات تسجيل الدخول والخروج) إلى موفر الهوية، وعند فك تشفير الاستجابات المشفرة من موفر الهوية. إذا كنت تكوّن بوابة إلكترونية عالية التوافر على ArcGIS Enterprise وكنت تستخدم موفر هوية متوافقًا مع SAML، فعليك التأكد من أن كل مثيل يخص Portal for ArcGIS يستخدم الشهادة نفسها عند الاتصال بموفر الهوية.
الطريقة المثلى للتأكد من أن جميع المثيلات تستخدم شهادة متطابقة خاصة بـ SAML لإنشاء شهادة جديدة بالاسم المستعار samlcert واستيرادها إلى كل مثيل من مثيلات Portal for ArcGIS في النشر عالي التوافر الخاص بك.
- سجل الدخول إلى دليل مسؤول البوابة الإلكترونية في https://example.domain.com:7443/arcgis/portaladmin.
- انتقل إلى الأمان > شهادات ssl، ثم انقر فوق شهادة samlcert الحالية.
- انقر فوق حذف.
- كرر الخطوات من 1 إلى 3 لحذف شهادات samlcert الحالية في جميع مثيلات البوابة الإلكترونية عالية التوافر.
- أنشئ شهادة جديدة موقعة ذاتيًا من دليل مسؤول بوابة ArcGIS الإلكترونية.
- عند تكوين الشهادة، حدد samlcert كاسم مستعار، واسم المضيف الخاص بموازن تحميل النشر بالإضافة إلى اسم الاسم العام واسم DNS المستعار في حقل الاسم البديل للموضوع.
- بمجرد إنشاء الشهادة، صدَّرها إلى ملف .pfx:
- تسجيل دخول إلى الجهاز حيث يتم تثبيت Portal for ArcGIS.
- افتح موجه الأوامر على الجهاز باستخدام خيار التشغيل بصفة مسؤول.
- غيِّر الدلائل إلى مجلد SSL الخاص بالبوابة الإلكترونية: cd <Portal installation directory>\etc\ssl.
- أدخل الأمر التالي لتصدير samlcert بتنسيق ملف .pfx:
....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- استورد الشهادة الجديدة إلى كل مثيل من مثيلات Portal for ArcGIS من صفحة الأمان > شهادات ssl > استيراد شهادة الخادم الحالية.
- أعد تشغيل Portal for ArcGIS في كل مثيل من مثيلات البوابة الإلكترونية عالية التوافر الخاصة بك.
يمكنك استخدام ملف البيانات التعريفية الخاص بموفر الخدمة في البوابة الإلكترونية ArcGIS Enterprise للتحقق من أن الشهادات المستخدمة للتواصل مع موفر هوية SAML هي نفسها المستخدمة في النشر عالي التوافر.
- في علامة تبويب المؤسسة، انتقل إلى إعدادات التحرير > الأمان.
- في عنصر عمليات تسجيل الدخول إلى المؤسسة عبر SAML في صفحة الأمان، انقر فوق تحرير موفر الهوية. افتح قائمة إظهار الإعدادات المتقدمة، وتأكد من تحديد خيار تشفير التأكيد. إذا لم يكن محددًا، فحدده وانقر فوق تحديث موفر الهوية لحفظ التغييرات.
- ارجع إلى عناصر عمليات تسجيل الدخول إلى المؤسسة عبر SAML وحدد الحصول على موفر الخدمة. سيعمل ذلك على تصدير البيانات التعريفية الخاصة بموفر الخدمة في صورة ملف .xml إلى جهازك.
- افتح ملف .xml الذي تم تنزيله. تأكد من وجود العبارة التالية: <md:KeyDescriptor use="encryption">. يشير ذلك إلى وجود شهادة التشفير.
- لاحظ القيم في القسم الفرعي <ds:KeyInfo>.
- كرر هذه الخطوات لكل مثيل في Portal for ArcGIS في النشر الخاص بك للحصول على ملف البيانات التعريفية لموفر الخدمة من كل مثيل.
يجب أن تتضمن جميع ملفات البيانات التعريفية المصدرة المعلومات نفسها الموجودة في القسم الفرعي <ds:KeyInfo>، والتي تشير إلى أن الشهادة نفسها مستخدمة في كل مثيل من مثيلات Portal for ArcGIS عند الاتصال بموفر الهوية المتوافق مع SAML.
تعيين حساب خاص بالمؤسسة كمسؤول
تعتمد كيفية تعيين الحساب الخاص بالمؤسسة باعتباره مسؤول البوابة الإلكترونية على قدرة المستخدمين الانضمام للمؤسسة تلقائياً أو عند تلقي الدعوة من أحد المسؤولين.
الانضمام إلى المؤسسة تلقائيًا
إذا اخترت خيار تلقائيًا للسماح للمستخدمين بالانضمام للمؤسسة تلقائيًا، افتح صفحة البداية لموقع البوابة الإلكترونية أثناء تسجيل الدخول بالحساب الخاص بالمؤسسة الذي تود استخدامه كمسؤول البوابة الإلكترونية.
عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، يتم تعيين الدور الافتراضي المكوَّن للأعضاء الجدد له. يمكن لمسؤول المؤسسة فقط تغيير دور الحساب، يجب تسجيل الدخول للبوابة الإلكترونية باستخدام حساب المسئول الأولي وتعيين حساب خاص بالمؤسسة لدور المسؤول.
- افتح موقع البوابة الإلكترونية، وانقر على الخيار لتسجيل الدخول في موفر هوية SAML، وأدخل بيانات اعتماد حساب SAML الذي تود استخدامه كمسؤول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
- تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
- أثناء فتح المستعرض، افتح موقع البوابة الإلكترونية على الويب، وانقر على خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المُدمج، وأدخل بيانات اعتماد حساب المسؤول الأولية التي قمت بإنشائها عند إعداد Portal for ArcGIS.
- اعثر على حساب SAML الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسؤول. انقر على تسجيل الخروج.
حساب SAML الذي اخترته أصبح الآن مسؤول البوابة الإلكترونية.
إضافة الحسابات الخاصة بالمؤسسة إلى البوابة الإلكترونية يدويًا
إذا اخترت خيار ند تلقي دعوة من أحد المسؤولين للسماح للمستخدمين بالانضمام للمؤسسة فقط عند تلقي دعوة، فستحتاج لتسجيل الدخول للحسابات اللازمة مع المؤسسة باستخدام أداة سطر الأوامر المساعدة أو نموذج Python النصي. اختر دور المسؤول لحساب SAML الذي سيستخدم لإدارة البوابة الإلكترونية.
تخفيض حساب المسئول الأولي أو حذفه
الآن وعند الحصول على حساب مسئول البوابة الإلكترونية البديل، يمكن تعيين حساب المسؤول الأولي لدور آخر أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
منع المستخدمين من إنشاء حساباتهم الخاصة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة جديدة في إعدادات المؤسسة.
منع المستخدمين من تسجيل الدخول باستخدام حساب ArcGIS
لمنع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، قم بإيقاف زر تسجيل الدخول إلى ArcGIS على صفحة تسجيل الدخول.
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسؤول بالمؤسسة، وانقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم تسجيلات الدخول، قم بإيقاف تشغيل زر تبديل تسجيل الدخول إلى ArcGIS.
تعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يتوفر زر تسجيل الدخول إلى ArcGIS. لإعادة تمكين تسجيلات دخول الأعضاء بحسابات ArcGIS، قم بتشغيل زر تبديل تسجيل الدخول إلى ArcGIS في قسم تسجيلات الدخول.
تعديل إو إزالة موفر هوية SAML
عندما تقوم بإعداد موفر هوية SAML يمكنك تحديث الإعدادات الخاصة به بالنقر على زر تحرير الموجود بجوار موفر الهوية SAML المسجل حاليًا. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول SAML.
لإزالة موفر الهوية المسجل حاليًا، انقر على زرتحرير تحرير الموجود بجوفر الهوية ثم انقر على حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى SAML. بمجرد إزالة موفر الهوية، يمكنك اختياريًا إعداد IDP جديد أو اتحاد IDPs.
أفضل الممارسات لأمان SAML
لتمكين تسجيلات دخول SAML، يمكنك تكوين ArcGIS Enterprise كموفر خدمة لموفر هوية SAML لديك. لضمان الأمان القوي، ضع في اعتبارك أفضل الممارسات الموضحة أدناه.
التوقيع رقمياً على طلبات تسجيل الدخول والخروج في SAML وتوقيع استجابة تأكيد SAML
يتم استخدام التوقيعات لضمان سلامة رسائل SAML وبالتالي كضمانة ضد هجمات الدخلاء (MITM). يضمن التوقيع الرقمي لطلب SAML أيضًا إرسال الطلب من قِبل موفر الخدمة موثوق به، مما يسمح لـ IDP بالتعامل بشكل أفضل مع هجمات رفض الخدمة (DOS). قم بتشغيل خيار تمكين الطلب الموقع من خلال الإعدادات المتقدمة عند تكوين تسجيلات الدخول SAML.
ملاحظة:
يتطلب تمكين الطلبات الموقعة تحديث موفر الهوية كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها موفر الخدمة.
قم بتكوين SAML IDP لتوقيع استجابة SAML لمنع تغيير مرور استجابة تأكيد SAML.
ملاحظة:
يتطلب تمكين الطلبات الموقعة تحديث موفر الخدمة (ArcGIS Enterprise) كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها موفر الهوية.
استخدام نقطة نهاية HTTPS لـ IDP
أي اتصال بين وموفر الخدمة، وIDP، ومتصفح المستخدم الذي يتم إرساله إما عبر شبكة داخلية أو الإنترنت بتنسيق غير مشفر يمكن اعتراضه من قبل ممثل ضار. إذا كان SAML IDP يدعم HTTPS، فمن المستحسن أن تستخدم نقطة نهاية HTTPS لضمان سرية البيانات المرسلة أثناء تسجيلات SAML.
تشفير استجابة تأكيد SAML
يؤمن استخدام HTTPS SAMLللاتصال SAMLالرسائل المرسلة بين IDP ومزد الخدمة. ومع ذلك، لا يزال بإمكان المستخدمين الذين قاموا بتسجيل الدخول فك تشفير وعرض رسائل SAML من خلال متصفح الويب. تمكين تشفير استجابة التأكيد يمنع المستخدمين من مشاهدة المعلومات السرية أو الحساسة التي يتم توصيلها بين IDP وموفر الخدمة.
ملاحظة:
يتطلب تمكين التأكيدات المشفرة تحديث موفر الهوية عندما يتم تجديد أو استبدال شهادة التشفير التي يستخدمها موفر الخدمة (ArcGIS Enterprise).
إدارة شهادات التوقيع والتشفير بأمان
استخدم الشهادات التي تحتوي على مفاتيح تشفير قوية لتوقيع رسائل SAML أو تشفيرها رقميًا، وتجديد الشهادات أو استبدالها كل ثلاث إلى خمس سنوات.