يمكن للمؤسسة الخاصة بك استخدام لغة ترميز تأكيد الأمان (SAML) لمصادقة مستخدمي الكمبيوتر ومصادقة الوصول إلى الموارد التي يتم تمكينها على الويب. لإتمام ذلك، يتم تكوين موفر هوية (IDP) أحادي متوافق مع SAML لمعالجة مصادقة المستخدم. يتم استضافة موارد الويب للمؤسسة على أحد موفري الخدمات أو أكثر من موفر، التي تعالج مصادقة الوصول إلى موارد الويب. تمتلك المؤسسة تحكمًا كاملاً لإدارة موفري الهوية وموفري الخدمة التابعين لها. لدعم المصادقة والتخويل المستند إلى SAML، يجب تسجيل كل موفري الخدمة بالمؤسسة للعمل مع موفري الهوية التابعين لهم. يمكن فقط تسجيل كل موفر خدمة مع موفر هوية فردي.
يمكنك أيضاً استخدام SAML لمشاركة الموارد عبر العديد من المؤسسات التي يتم تنظيمها بشكل مستقل. وقد أصبح هذا ممكناً من قبل كيانات إدارة الاتحاد، والتي تتيح المشاركة المستندة إلى SAML للموارد بين مؤسسات الأعضاء. مؤسسة العضو التي تريد مشاركة موارد الويب مع الاتحاد الذي يحتفظ بموفر واحد أو أكثر من موفري الخدمة للعمل داخل الاتحاد فقط. للوصول إلى مورد مُؤمن تمت مشاركته مع الاتحاد، يصادق المستخدم الهوية مع موفري الهوية بالمؤسسة الرئيسية. بمجرد المصادقة بنجاح، يتم تمثيل الهوية التي تم التحقق من صحتها على موفر الخدمة الذي يستضيف المورد المؤمن. وعندها يقوم موفر الخدمة بمنح الوصول إلى المورد بعد التحقق من امتيازات وصول المستخدم.
يمكن تكوين بوابة ArcGIS Enterprise الإلكترونية الخاصة بك مع اتحاد موفري هوية مستند إلى SAML. تمنح البوابة الإلكترونية الوصول إلى خدمة الاكتشاف المستضافة بواسطة الاتحاد، التي توفر قائمة من موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
بعض اتحادات موفر الهوية العامة المستند إلى SAML InCommon, eduGAIN, SWITCHaai, DFN-AAI, و اتحاد إدارة الدخول التابع للمملكة المتحدة.
قم بتكوين الاتحاد مع البوابة الإلكترونية
اتبع هذه الخطوات لتكوين اتحاد موفري الهوية المستند إلى SAML مع بوابتك الإلكترونية:
- سجّل الدخول إلى البوابة الإلكترونية في صورة مسؤول ثم انقر فوق المؤسسة > إعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، انقر فوق زر تسجيل دخول جديد إلى SAML، وحدد خيار اتحاد موفري الهويات. في صفحة تحديد الخصائص، أدخل اسم الاتحاد الخاص بك.
يظهر الوصف للمستخدمين الذي لديهم إمكانية الوصول إلى البوابة الإلكترونية كجزء من خيار تسجيل الدخول إلى SAML.
- اختر كيفية انضمام المستخدمين لمؤسسة البوابة الإلكترونية.
- تلقائيًا—يمكِّن المستخدمين من تسجيل الدخول إلى المؤسسة باستخدام تسجيل الدخول الخاص بالمؤسسة دون الحاجة إلى إذن من المسؤول، إذ يتم تسجيل حسابهم تلقائيًا مع البوابة الإلكترونية في المرة الأولى التي يقومون فيها بتسجيل الدخول.
- عند تلقي دعوة من المسؤول—يطلب من مسؤول المؤسسة تسجيل الحسابات الضرورية مع المؤسسة باستخدام الأداة المساعدة الخاصة بسطر الأوامر أو برنامج Python النصي.
ملاحظة:
توصي Esri بتعيين حساب SAML واحد على الأقل كمسؤول للبوابة الإلكترونية، وتعطيل زر إنشاء حساب في البوابة الإلكترونية كي لا يتمكن المستخدمون من إنشاء حساباتهم الخاصة. لمزيد من المعلومات، راجع قسم تعيين حساب SAML كمسؤول بالأسفل.
- أدخل عنوان URL على خدمة اكتشاف موفر الهوية المركزي والمستضاف بواسطة الاتحاد، مثل https://wayf.samplefederation.com/WAYF.
- قم بتوفير عنوان URL للبيانات الوصفية للاتحاد، التي تكون تجمع للبيانات الوصفية لجميع موفري الهوية وموفري الخدمة المشاركين في الاتحاد.
- قم بنسخ الشهاددة، المشفرة في تنسيق Base64، ولصقها مما يتيح للبوابة الإلكترونية التحقق من صحة البيانات الوصفية للاتحاد.
- قم بتكوين الإعدادات المتقدمة حسب الاقتضاء.
- تأكيد التشفير—قم بتمكين هذا الخيار للإشارة إلى موفر هوية SAML الذي من خلاله تدعم البوابة الإلكترونية استجابات تأكيد SAML المشفرة. عند تمكين هذا الخيار، سيُشفّر موفر الهوية قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن البوابة الإلكترونية عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
- تمكين الطلب المسجل—قم بتمكين هذا الخيار لجعل البوابة الإلكترونية توقع على طلب مصادقة SAML المرسل إلى موفر الهوية. يسمح توقيع طلب تسجيل الدخول الأولي المرسل بواسطة البوابة الإلكترونية لموفر الهوية بالتحقق من أن جميع طلبات تسجيل الدخول تنشأ من موفر خدمة موثوق به.
- نشر تسجيل الخروج لموفر الهوية—قم بتمكين هذا الخيار لجعل البوابة الإلكترونية تستخدم عنوان URL الخاص بتسجيل الخروج لتسجيل خروج المستخدم من موفر الهوية. إذا قمت بتحديده، أدخل عنوان URL للاستخدام في إعداد عنوان URL لتسجيل الخروج . إذا طلب موفر الهوية توقيع عنوان URL الخاص بتسجيل الخروج، يجب أيضًا تحديد خيار تمكين الطلب الموقع. في حالة عدم تحديد هذا الخيار، فسيؤدي النقر فوق تسجيل الخروج في البوابة الإلكترونية إلى تسجيل خروج المستخدم من البوابة الإلكترونية، لكن ليس من موفر الهوية. إذا لم يتم حذف ذاكرة التخزين المؤقت بمستعرض ويب المستخدم، فستؤدي محاولة تسجيل الدخول الفورية مرة أخرى إلى البوابة الإلكترونية باستخدام خيار تسجيل الدخول الخاص بالمؤسسة إلى تسجيل دخول فوري دون الحاجة إلى إدخال بيانات الاعتماد إلى موفر الهوية. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه بسهولة.
- تحديث ملفات التعريف عند تسجيل الدخول—قم بتمكين هذا الخيار لتقوم البوابة الإلكترونية بتحديث givenName الخاص بالمستخدم وبيانات عنوان البريد الإلكترونية إذا كانت قد تم تغييرها منذ أخر عملية تسجيل دخول. يتم تحديد هذا افتراضيًا.
- مُعرف الهوية—تحديث هذه القيمة لاستخدام مُعرف هوية جديدة لتعريف مؤسسة البوابة الإلكترونية بشكل منفرد لاتحاد SAML.
سجّل البوابة الإلكترونية مع اتحاد SAML في صورة موفرة خدمة موثوق
لإكمال عملية التكوين، قم بتأسيس ثقة مع خدمة الاكتشاف الخاصة بالاتحاد وموفر الهوية المؤسسي عن طريق تسجيل بيانات التعريف الخاصة بموفر خدمة البوابة الإلكترونية معهم. يوجد طريقان للحصول على هذه البيانات الوصفية:
- في قسم الأمان في صفحة الإعدادات لمؤسستك، انقر على زر تنزيل البيانات التعريفية لموفر الخدمة لتقوم بتنزيل ملف البيانات التعريفية لمؤسستك.
- افتح عنوان URL للبيانات التعريفية باعتبارها ملف XML على الجهاز. يُعد عنوان URL https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>، على سبيل المثال، https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. يمكن إنشاء الرمز المميز باستخدام https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. عند إدخال عنوان URL في صفحة إنشاء رمز مميز، حدد اسم المجال المؤهل الكلي الخاص بخادم موفر الهوية في حقل عنوان URL لـ Webapp. اختيار أي خيار آخر، مثل عنوان IP أو عنوان IP الخاص بأصل الطلب، غير مدعوم وقد يقوم بإنشاء رمز مميز غير صالح.
بمجرد أن تنتهي من تحميل البيانات التعريفية لموفر الخدمة، اتصل بمسؤولي اتحاد SAML للحصول على تعليمات عن كيفية دمج بياناتك التعريفية في ملف البيانات التعريفية المجمَّع للاتحاد. سوف تحتاج منهم أيضًا إلى تعليمات لتسجيل موفر الهوية (IDP) الخاص بك مع الاتحاد.
تعيين حساب SAML كمسؤول
تعتمد طريقة تعيين حساب SAML كمسؤول بالبوابة الإلكترونية على مدى قدرة المستخدمين على الانضمام إلى المؤسسة تلقائيًا أو عند تلقي دعوة من أحد المسؤولين.
الانضمام إلى المؤسسة تلقائيًا
إذا اخترت خيار السماح للمستخدمين بالانضمام إلى المؤسسة تلقائيًا، فافتح البوابة الإلكترونية أثناء تسجيل الدخول بحساب SAML الذي تود استخدامه كمسؤول البوابة الإلكترونية.
عند إضافة الحساب لأول مرة إلى البوابة الإلكترونية تلقائيًا، فإنه يتم تعيين دور "مستخدم" إليه. يمكن فقط لمسؤول المؤسسة تغيير دور الحساب، لذلك يجب تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب المسؤول الأولي وتعيين حساب SAML لدور المسؤول.
- افتح البوابة الإلكترونية، وانقر فوق خيار تسجيل الدخول باستخدام موفر هوية SAML، وأدخل بيانات اعتماد حساب SAML الذي ترغب في استخدامه كمسؤول. إذا كان هذا الحساب يملكه شخص آخر وقام بتسجيل الدخول للبوابة الإلكترونية يتم تسجيل هذا الحساب مع البوابة الإلكترونية.
- تحقق من إضافة الحساب إلى البوابة الإلكترونية، وانقر على تسجيل الخروج. اسمح ذاكرة التخزين المؤقتة وملفات تعريف الارتباط للمتصفح.
- أثناء وجودك في المستعرض، افتح البوابة الإلكترونية، وانقر فوق خيار تسجيل الدخول باستخدام حساب البوابة الإلكترونية المدمج، وأدخل بيانات اعتماد حساب المسؤول الأولي التي أنشأتها عند إعداد ArcGIS Enterprise.
- اعثر على حساب SAML الذي ستستخدمه لإدارة البوابة الإلكترونية، وغيّر الدور إلى مسؤول. انقر على تسجيل الخروج.
حساب SAML الذي اخترته أصبح الآن مسؤول البوابة الإلكترونية.
أضف حسابات SAML إلى البوابة الإلكترونية يدويًا
إذا اخترت خيار السماح للمستخدمين فقط بالانضمام إلى المؤسسة عند تلقي الدعوة من أحد المسؤولين، فستحتاج إلى تسجيل الحسابات اللازمة مع المؤسسة باستخدام أداة سطر الأوامر المساعدة. تأكد من اختيار دور المسؤول لحساب SAML الذي سيستخدم لإدارة البوابة الإلكترونية.
تخفيض حساب المسئول الأولي أو حذفه
الآن بعد أن أصبح لديك حساب مسؤول مؤسسة بديل، يمكنك تعيين حساب المسؤول الأولي لدور المستخدم أو حذف الحساب. راجع حول حساب المسؤول الأولي لمزيد من المعلومات.
منع المستخدمين من إنشاء حساباتهم الخاصة
يمكنك منع المستخدمين من إنشاء حساباتهم الخاصة المضمنة عن طريق تعطيل قدرة المستخدمين على إنشاء حسابات مضمنة في إعدادات المؤسسة.
تعطيل تسجيل الدخول في حسابات ArcGIS
إذا أردت منع المستخدمين من تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب ArcGIS، يمكنك تعطيل زر تسجيل الدخول إلى ArcGIS في صفحة تسجيل الدخول باستخدام الخطوات التالية:
- سجل الدخول إلى البوابة الإلكترونية كمسؤول بالمؤسسة، ثم انقر فوق المؤسسة > الإعدادات > الأمان.
- في قسم عمليات تسجيل الدخول، قم بتعطيل زر التبديل لـ تسجيل الدخول إلى ArcGIS.
ستعرض صفحة تسجيل الدخول زر تسجيل الدخول إلى البوابة الإلكترونية باستخدام حساب موفر الهوية، ولن يكون زر تسجيل الدخول باستخدام تسجيل الدخول إلى ArcGIS متاحًا. يمكنك إعادة تمكين عمليات تسجيل دخول الأعضاء باستخدام حسابات ArcGIS من خلال تفعيل خيار تسجيل الدخول إلى ArcGIS أسفل عمليات تسجيل الدخول.
تعديل أو إزالة موفر الهوية SAML
عندما تقوم بإعداد اتحاد، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق زر تحرير الموجود بجواره. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول SAML
لإزالة الاتحاد من بوابتك الإلكترونية، انقر فوق زر تحرير بجواره وانقر فوق حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى SAML. بمجرد إزالته، تكون لك حرية اختيار إعداد موفر هوية جديد أو اتحاد موفري الهوية عند الرغبة.