Sie können Okta als Identity-Provider (IDP) für Enterprise-Anmeldenamen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des Enterprise-Identity-Providers bei Portal for ArcGIS und die Registrierung von Portal for ArcGIS beim Enterprise-Identity-Provider.
Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch von Portal for ArcGIS und nicht vom Identitätsspeicher gesteuert.
Erforderliche Informationen
Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. Das Attribut NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den vom NameID-Attribut gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit der von Portal for ArcGIS erstellte Benutzername Unterstriche enthalten kann.
Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider erhaltenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.
Registrieren von Okta als Enterprise-Identity-Provider bei Portal for ArcGIS
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Eigene Organisation > Einstellungen bearbeiten > Sicherheit.
- Klicken Sie im Bereich Enterprise-Anmeldenamen über SAML auf die Schaltfläche Identity-Provider festlegen, und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
Hinweis:
Sie können nur einen Enterprise-Identity-Provider für Ihr Portal registrieren.
- Legen Sie fest, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
- Stellen Sie mithilfe einer der im Folgenden genannten Optionen Metadateninformationen für den Identity-Provider bereit:
- Datei: Laden Sie die Verbundmetadatendatei aus Okta herunter, oder kopieren Sie sie, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
Hinweis:
Wenn Sie einen Service-Provider das erste Mal bei Okta registrieren, müssen Sie die Metadatendatei herunterladen, nachdem Sie die Registrierung bei Portal for ArcGIS durchgeführt haben. - Parameter: Wählen Sie diese Option, wenn kein Zugriff auf die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die erforderlichen Parameter bereit: Anmelde-URL und Zertifikat. Wenden Sie sich an Ihren Okta-Administrator, um diese Informationen zu erhalten.
- Datei: Laden Sie die Verbundmetadatendatei aus Okta herunter, oder kopieren Sie sie, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
- Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, um Antworten auf die SAML-Assertionen von Okta zu verschlüsseln.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an Okta gesendete SAML-Authentifizierungsanforderung signieren soll.
- Abmeldung an Identity-Provider propagieren: Wählen Sie diese Option aus, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer von Okta abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren aktiviert sein.
- Abmelde-URL: Die URL des Identity Providers, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei Okta eine neue Entitäts-ID verwendet werden soll.
Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein neues Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.
- Klicken Sie abschließend auf Identity-Provider aktualisieren.
- Klicken Sie auf Service-Provider aufrufen, um die Metadatendatei des Portals herunterzuladen. Informationen in dieser Datei dienen zum Registrieren des Portals als vertrauenswürdiger Service-Provider bei Okta.
- Sie können auch Metadaten zu den Enterprise-Gruppen
in Ihrem Identitätsspeicher für das Portal bereitstellen:
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > Config > Update Identity Store.
- Fügen Sie das Gruppenkonfigurations-JSON in das Textfeld Group store configuration (in JSON format) ein.
Wenn Sie Windows Active Directory als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user und userPassword ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird. Das für den user-Parameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Verwenden Sie nach Möglichkeit ein Konto, dessen Kennwort nicht abläuft.
Wenn Sie LDAP als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword, ldapURLForUsers und ldapURLForRoles ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.
Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird.
Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf false fest.
- Wenn Sie das JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Update Configuration, um die Änderungen zu speichern und das Portal neu zu starten.
Registrieren von Portal for ArcGIS als vertrauenswürdigen Service-Provider bei Okta
- Melden Sie sich bei Ihrer Okta-Organisation als Mitglied mit Administratorberechtigungen an.
- Klicken Sie auf der Registerkarte "Anwendungen" auf die Schaltfläche Anwendung hinzufügen.
- Klicken Sie auf Neue App erstellen, und wählen Sie die Option SAML 2.0 aus. Klicken Sie auf Erstellen.
- Geben Sie unter Allgemeine Einstellungen einen App-Namen für Ihre Portal-Bereitstellung ein, und klicken Sie auf Weiter.
- Führen Sie auf der Registerkarte SAML konfigurieren die folgenden Schritte aus:
- Geben Sie den Wert für Single Sign-On (SSO)-URL ein, z. B. https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Dieser Wert kann aus der Metadatendatei des Service-Providers über Ihr Portal heruntergeladen werden.
- Geben Sie den Wert für Zielgruppen-URI ein. Der Standardwert ist auf portalhostname.domain.com.portalcontext gesetzt. Dieser Wert kann aus der Metadatendatei des Service-Providers über Ihr Portal heruntergeladen werden.
- Lassen Sie Name ID Format auf Nicht definiert eingestellt.
- Ändern Sie unter Erweiterte Einstellungen die Option Assertionssignatur in Nicht signiert.
- Fügen Sie diese Attributanweisungen im Abschnitt Attributanweisungen hinzu:
givenName auf user.firstName + " " + user.lastName gesetzt
email auf user.email gesetzt
- Klicken Sie auf Weiter und auf Beenden.
- Jetzt wird der Abschnitt "Anmelden" Ihrer neu erstellten SAML-Anwendung angezeigt. Um die Metadaten des Okta-Identity-Providers abzurufen, klicken Sie auf die Registerkarte Anmelden und auf den Link Metadaten des Identity-Providers.
- Klicken Sie mit der rechten Maustaste auf die Registerkarte Personen, und konfigurieren Sie, welche für Okta authentifizierten Benutzer Zugriff in Ihrem Portal erhalten sollen.