Konfigurieren eines SAML-kompatiblen Identity-Providers mit dem Portal—Portal for ArcGIS (10.4.1)

Security Assertion Markup Language (SAML) ist ein offener Standard, um Authentifizierungs- und Autorisierungsdaten zwischen einem Enterprise-Identity-Provider und einem Service-Provider (in diesem Fall Portal for ArcGIS) sicher auszutauschen. Die hierzu verwendete Methode wird als Web Single Sign-On mit SAML bezeichnet. Das Portal ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Portal for ArcGIS zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Enterprise-Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als Einrichtung von Enterprise-Anmeldenamen beschrieben.

Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch von Portal for ArcGIS gesteuert, nicht von Ihrem Identitätsspeicher.

SAML-Anmeldung

Portal for ArcGIS unterstützt vom Service-Provider (SP) und vom Identity-Provider (IDP) initiierte Enterprise-Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.

Vom Service-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der Option "Identity-Provider für SAML" wird der Benutzer zu einer Webseite umgeleitet (die als Anmelde-Manager des Unternehmens bezeichnet wird), auf der sie aufgefordert werden, ihren Enterprise-Benutzernamen und ihr Kennwort einzugeben. Nachdem der Anmeldename des Benutzers bestätigt wurde, informiert der Enterprise-Identity-Provider Portal for ArcGIS darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde und dass der Benutzer zur Website der Organisation umgeleitet wird.

Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die Portal-Website geöffnet. Der Benutzer kann dann den integrierten Benutzernamen und das Kennwort eingeben, um auf die Website zuzugreifen. Diese Option kann nicht deaktiviert werden. Die Option für integrierte Konten kann als Ausfallsicherheit dienen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist.

Vom Identity-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager des Unternehmens zugreifen und sich mit ihrem Konto anmelden. Wenn der Benutzer die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an Portal for ArcGIS. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.

Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager des Unternehmens ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.

Identity-Provider für SAML

In den folgenden Lernprogrammen wird die Verwendung unterschiedlicher SAML-kompatibler Identity-Provider mit Portal for ArcGIS demonstriert:

Eine Beschreibung des Prozesses zum Abrufen der erforderlichen Metadaten von den oben aufgeführten Identity-Providern finden Sie unter den jeweiligen Links. Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit Portal for ArcGIS beschrieben. Wenden Sie sich an den Administrator Ihres Enterprise-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den Enterprise-Identity-Provider zu konfigurieren oder zu aktivieren und die für die Konfiguration für das Portal erforderlichen Parameter abzurufen.

Unterstützen mehrerer SAML-Identity-Provider

Mit SAML können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden.

Dies wird durch Herstellen einer Vertrauensstellung zwischen den Identitätsspeichern erzielt, die Sie dem Portal zur Verfügung stellen möchten. Dies erfolgt in der Regel durch einen Sicherheitsadministrator. Vertrauensstellungen werden nicht in Portal for ArcGIS konfiguriert. Nachdem die Vertrauensstellung hergestellt wurde, müssen Sie lediglich einen der vertrauenswürdigen Identitätsspeicher mit Ihrem Portal konfigurieren (wie unten beschrieben). Wenn Benutzer auf die Portal-Website oder die Identity-Provider-Site zugreifen, wird die Option zum Anmelden mit einem Enterprise-Konto angezeigt, das von einem der vertrauenswürdigen Identity-Provider verwaltet wird.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit die Vertrauensstellung mit Portal for ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den vom NameID-Attribut gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit sie Unterstriche in dem von Portal for ArcGIS erstellten Benutzernamen enthalten.

Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider empfangenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.

Konfigurieren eines Portals mit einem Identity-Provider für SAML

Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Eigene Organisation > Einstellungen bearbeiten > Sicherheit.
Klicken Sie im Bereich Enterprise-Anmeldenamen auf die Schaltfläche Identity-Provider festlegen, und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Verwenden des City of Redlands-Kontos).
Legen Sie fest, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administrator-Konto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie im Abschnitt Bestimmen eines Enterprise-Kontos als Administrator unten.
Stellen Sie die notwendigen Metadateninformationen zu Ihrem SAML-kompatiblen Enterprise-Identity-Provider für ArcGIS Online bereit. Geben Sie hierzu die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Links zu Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben. Es gibt drei mögliche Quellen für diese Metadateninformationen:
- URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
  Hinweis:
  Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat einbezieht, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity-Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
- Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Parameter ein:
  - Anmelde-URL: Die URL, die Portal for ArcGIS verwenden soll, um die Anmeldung eines Benutzers zuzulassen.
  - Zertifikat: Geben Sie das X.509-Zertifikat für den Enterprise-Identity-Provider an. Dieses Zertifikat ermöglicht es Portal for ArcGIS, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Enterprise-Identity-Provider empfängt.
Hinweis:
Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.
Um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen, müssen Sie die Service-Provider-Metadaten des Portals bei Ihrem Enterprise-Identity-Provider registrieren. Es gibt zwei Möglichkeiten, Metadaten von Ihrem Portal abzurufen:
- Sie können im Abschnitt Sicherheit der Seite Einstellungen bearbeiten Ihrer Organisation auf die Schaltfläche Service-Provider aufrufen klicken. Dadurch werden die Metadaten für Ihre Organisation angezeigt, die Sie als XML-Datei auf dem Computer speichern können.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://webadaptor.domain.com/arcgis/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiger Token erstellt wird.
Links zu Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben.
Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Durch Auswahl dieser Option werden die Antworten auf SAML-Assertionen des Identity-Providers verschlüsselt.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung signieren soll.
- Abmelde-URL: Aktualisieren Sie diesen Wert, wenn der Identity-Provider zur Verwendung einer benutzerdefinierten Abmelde-URL konfiguriert wurde.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals beim Identity-Provider eine neue Entitäts-ID verwendet werden soll.
Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein neues Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.
Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen:
1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
2. Klicken Sie auf Security > Config > Update Identity Store.
3. Fügen Sie das Gruppenkonfigurations-JSON in das Textfeld Group store configuration (in JSON format) ein.
  - Wenn Sie Windows Active Directory als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
    { "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter „user“ und "userPassword" ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird. Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Verwenden Sie nach Möglichkeit ein Konto, dessen Kennwort nicht abläuft.
  - Wenn Sie LDAP als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
    { "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter "user", "userPassword", "ldapURLForUsers" und "ldapURLForUsers" ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator. Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird.
    Wenn für LDAP keine Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie für den Parameter "caseSensitive" die Option "false" fest.
4. Wenn Sie das JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Update Configuration, um die Änderungen zu speichern und das Portal neu zu starten.

Bezeichnen eines Enterprise-Kontos als Administrator

Die Vorgehensweise beim Bezeichnen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Nachdem die Konten dem Portal hinzugefügt wurden beitreten können.

Wenn Benutzer der Organisation automatisch beitreten können

Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.

Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.

Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.

Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.

Wenn Enterprise-Konten manuell zum Portal hinzugefügt werden

Wenn Sie die Option ausgewählt haben, mit der festgelegt wird, ob Benutzer der Organisation nur Nach dem Hinzufügen der Konten zum Portal beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle „Benutzer“ zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Konten und -Anmeldeinformationen beim Portal anmelden und keine unnötigen integrierten Konten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.

Deaktivieren der Anmeldung mit ArcGIS-Konten

Wenn Sie verhindern möchten, dass Benutzer sich beim Portal mit einem ArcGIS-Konto anmelden, können Sie die Option zur Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren. Führen Sie dazu die folgenden Schritte aus.

Öffnen Sie das Verzeichnis "Sharing" von ArcGIS Portal Directory, und melden Sie sich als Mitglied mit Administratorberechtigungen an. Die URL hat das Format https://webadaptor.domain.com/arcgis/sharing.
Navigieren Sie zu Home > Portals > Self, und führen Sie einen Bildlauf nach unten aus. Klicken Sie auf Update.
Navigieren Sie zur Option Can SignIn Using ArcGIS (Anmeldung mit ArcGIS). Legen Sie die Eigenschaft auf False fest.
Klicken Sie auf Update Organization.

Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar.

Ändern des Identity-Providers für SAML

Sie können den aktuell registrierten Identity-Provider über die Schaltfläche Identity-Provider entfernen entfernen. Diese Schaltfläche wird nur aktiviert, wenn Sie einen SAML-kompatiblen Identity-Provider eingerichtet haben. Sobald Sie den Identity-Provider entfernt haben, können Sie bei Bedarf einen neuen erstellen.

Feedback zu diesem Thema?