Konfigurieren von OpenAM
In diesem Thema
- Erforderliche Informationen
Registrieren von OpenAM als Enterprise-Identity-Provider bei Portal for ArcGIS Registrieren von Portal for ArcGIS als vertrauenswürdigen Service-Provider bei OpenAM
Sie können OpenAM 10.1.0 und höhere Versionen als Identity-Provider für Enterprise-Anmeldenamen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des Enterprise-Identity-Providers bei Portal for ArcGIS und die Registrierung von Portal for ArcGIS beim Enterprise-Identity-Provider.
Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch von Portal for ArcGIS, nicht vom Identitätsspeicher, gesteuert.
Erforderliche Informationen
Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den vom NameID-Attribut gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit sie Unterstriche in dem von Portal for ArcGIS erstellten Benutzernamen enthalten.
Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider empfangenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an. Es wird empfohlen, dass Sie die email address des Enterprise-Identity Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.
Registrieren von OpenAM als Enterprise-Identity-Provider bei Portal for ArcGIS
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Eigene Organisation > Einstellungen bearbeiten > Sicherheit.
- Klicken Sie im Bereich Enterprise-Anmeldenamen auf die Schaltfläche Identity-Provider festlegen, und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Verwenden des City of Redlands-Kontos).
- Legen Sie fest, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administrator-Konto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
- Stellen Sie mithilfe einer der drei im Folgenden genannten Optionen Metadateninformationen für den Identity-Provider bereit:
- URL – Wählen Sie diese Option aus, wenn Portal for ArcGIS auf die URL von OpenAM-Verbundmetadaten zugreifen kann. Die URL lautet in der Regel http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Hinweis:
Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat einbezieht, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Datei – Wenn Portal for ArcGIS nicht auf die URL zugreifen kann, speichern Sie die Metadaten aus der URL oben als XML-Datei, und laden Sie die Datei hoch.
- Parameter – Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Datei besteht. Geben Sie die Werte manuell ein, und stellen Sie die erforderlichen Parameter bereit: Anmelde-URL und Zertifikat. Wenden Sie sich an Ihren OpenAM-Administrator, um diese Informationen zu erhalten.
- URL – Wählen Sie diese Option aus, wenn Portal for ArcGIS auf die URL von OpenAM-Verbundmetadaten zugreifen kann. Die URL lautet in der Regel http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Sie können auch Metadaten zu den Enterprise-Gruppen
in Ihrem Identitätsspeicher für das Portal bereitstellen:
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS Portal Directory an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
- Klicken Sie auf Security > Config > Identitätsspeicher aktualisieren.
- Fügen Sie das Gruppenkonfigurations-JSON in das Textfeld Gruppenspeicherkonfiguration (im JSON-Format) ein.
Kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er die für Ihre Site spezifischen Informationen enthält:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter "user", "userPassword", "ldapURLForUsers" und "ldapURLForUsers" ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator. Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird.
Wenn für LDAP keine Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie für den Parameter "caseSensitive" die Option "false" fest.
- Wenn Sie das JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Konfiguration aktualisieren, um die Änderungen zu speichern und das Portal neu zu starten.
Registrieren von Portal for ArcGIS als vertrauenswürdigen Service-Provider bei OpenAM
- Konfigurieren Sie einen gehosteten Identity-Provider in OpenAM.
- Melden Sie sich bei der OpenAM-Verwaltungskonsole an. Diese ist in der Regel unter http://servername:port/<deploy_uri>/console verfügbar.
- Klicken Sie unter der Registerkarte Gängige Tasks auf Gehosteten Identity-Provider erstellen.
- Erstellen Sie einen gehosteten Identity-Provider und fügen Sie diesen einem Circle of Trust hinzu. Sie können ihn einem bereits vorhandenen "Circle of Trust" hinzufügen oder Sie können einen neuen "Circle of Trust" erstellen.
- Gehostete Identity-Provider arbeiten standardmäßig mit OpenDJ, einem eingebetteten Benutzerspeicher, der in OpenAM integriert wird. Wenn Sie OpenAM mit anderen Benutzerspeichern wie Active Directory verbinden möchten, müssen Sie eine neue Datenquelle unter der Registerkarte Zugriffssteuerung der Haupt-OpenAM-Verwaltungskonsole erstellen.
- Konfigurieren Sie Portal for ArcGIS als vertrauenswürdigen Service-Provider bei OpenAM.
- Rufen Sie die Metadatendatei Ihres Portals auf, und speichern Sie sie als XML-Datei.
Um die Metadatendatei abzurufen, melden Sie sich als Administrator bei der Organisation an, und öffnen Sie die Organisationsseite. Klicken Sie auf die Schaltfläche Einstellungen bearbeiten und die Registerkarte Sicherheit und im Abschnitt Enterprise-Anmeldenamen auf die Schaltfläche Service-Provider aufrufen.
- Klicken Sie in der OpenAM-Verwaltungskonsole unter Gängige Tasks auf Remote-Service-Provider registrieren.
- Wählen Sie die Option Datei für die Metadaten und laden Sie die im vorherigen Schritt gespeicherte Metadaten-XML hoch.
- Fügen Sie diesen Service-Provider demselben "Circle of Trust" hinzu, dem Sie Ihren Identity-Provider hinzugefügt haben.
- Rufen Sie die Metadatendatei Ihres Portals auf, und speichern Sie sie als XML-Datei.
- Konfigurieren Sie das NameIDFormat und die Attribute die OpenAM zum Senden an Portal for ArcGIS benötigt, nachdem der Benutzer authentifiziert wurde.
- Klicken Sie in der OpenAM-Verwaltungskonsole auf die Registerkarte Federation. Die Registerkarte enthält den zuvor hinzugefügten "Circle of Trust" sowie die Service- und Identity-Provider.
- Klicken Sie unter Entity Providers auf Ihren Identity-Provider.
- Überprüfen Sie auf der Registerkarte Assertion Content unter Name ID Format, ob urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oben aufgelistet ist. Dies ist das Format der NameID, die Portal for ArcGIS in seiner SAML-Anforderung an OpenAM anfordert.
- Ordnen Sie unter Namens-ID-Wertzuordnung ein Attribut aus dem Profil des Benutzers zu, beispielsweise mail oder upn, das nach der Authentifizierung des Benutzers als NameID an Portal for ArcGIS zurückgegeben wird.
Beispiel: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Klicken Sie im Identity-Provider auf die Registerkarte Assertion Processing. Unter Attribute Mapper können Sie Attribute aus dem Benutzerprofil konfigurieren, die an Portal for ArcGIS gesendet werden sollen.
Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider empfangenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an.
Es empfiehlt sich, die E-Mail-Adresse vom Enterprise-Identity-Provider an Portal for ArcGIS weiterzugeben. Dies ist hilfreich, falls der Benutzer später zum Administrator wird. Wenn eine E-Mail-Adresse im Konto vorhanden ist, kann der Benutzer Benachrichtigungen zu administrativen Aktivitäten empfangen und Einladungen an andere Benutzer senden, um ihnen den Beitritt zur Organisation zu ermöglichen.
Klicken Sie auf Speichern, um das NameID-Format und die Änderungen der Attributinhalte zu speichern.
- Navigieren Sie auf der Registerkarte Verbindung der OpenAM-Verwaltungskonsole unter Entitäts-Provider zum Portal for ArcGIS-Service-Provider. Konfigurieren Sie die Attributliste, die an Portal for ArcGIS gesendet werden soll. Führen Sie dieselben Schritte wie in den vorherigen Teilschritten C und E aus.
- Starten Sie den Webserver neu, auf dem OpenAM bereitgestellt wird.