Konfigurieren eines SAML-kompatiblen Identity-Providers mit dem Portal—Portal for ArcGIS

Security Assertion Markup Language (SAML) ist ein offener Standard, um Authentifizierungs- und Autorisierungsdaten zwischen einem Enterprise-Identity-Provider und einem Service-Provider (in diesem Fall Portal for ArcGIS) sicher auszutauschen. Die hierzu verwendete Methode wird als Web Single Sign-On mit SAML bezeichnet. Das Portal ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Portal for ArcGIS zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Enterprise-Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als Einrichtung von Enterprise-Anmeldenamen beschrieben.

Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch von Portal for ArcGIS und nicht von Ihrem Identitätsspeicher gesteuert.

Abgleichen von ArcGIS Online-Benutzernamen in Portal for ArcGIS

Wenn in Ihrer ArcGIS Online-Organisation und in Ihrem Portal derselbe SAML-kompatible Identity Provider verwendet wird, können die Enterprise-Benutzernamen so konfiguriert werden, dass sie übereinstimmen. An alle Enterprise-Benutzernamen in ArcGIS Online wird der Kurzname der Organisation angehängt. Dieselben Enterprise-Benutzernamen können in Ihrem Portal verwendet werden, indem die Eigenschaft defaultIDPUsernameSuffix in der Sicherheitskonfiguration des Portals definiert und dem Kurznamen der Organisation entsprechend festgelegt wird. Dies ist erforderlich, wenn Editor-Tracking für einen Feature-Service aktiviert ist, der von Enterprise-Benutzern über ArcGIS Online und Ihr Portal bearbeitet wird.

SAML-Anmeldung

Portal for ArcGIS unterstützt vom Service-Provider (SP) und vom Identity-Provider (IDP) initiierte Enterprise-Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.

Vom Service-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der Option "Identity-Provider für SAML" wird der Benutzer zu einer Webseite umgeleitet (die als Anmelde-Manager des Unternehmens bezeichnet wird), auf der sie aufgefordert werden, ihren Enterprise-Benutzernamen und ihr Kennwort einzugeben. Nachdem der Anmeldename des Benutzers bestätigt wurde, informiert der Enterprise-Identity-Provider Portal for ArcGIS darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde und dass der Benutzer zur Website der Organisation umgeleitet wird.

Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die Portal-Website geöffnet. Der Benutzer kann dann den integrierten Benutzernamen und das Kennwort eingeben, um auf die Website zuzugreifen. Diese Option kann nicht deaktiviert werden. Die Option für integrierte Konten kann als Ausfallsicherheit dienen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist.

Vom Identity-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager des Unternehmens zugreifen und sich mit ihrem Konto anmelden. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an Portal for ArcGIS. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.

Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager des Unternehmens ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.

Identity-Provider für SAML

In den folgenden Lernprogrammen wird die Verwendung unterschiedlicher SAML-kompatibler Identity-Provider mit Portal for ArcGIS demonstriert:

Eine Beschreibung des Prozesses zum Abrufen der erforderlichen Metadaten von den oben aufgeführten Identity-Providern finden Sie unter den jeweiligen Links. Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit Portal for ArcGIS beschrieben. Wenden Sie sich an den Administrator Ihres Enterprise-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den Enterprise-Identity-Provider zu konfigurieren oder zu aktivieren und die für die Konfiguration für das Portal erforderlichen Parameter abzurufen.

Unterstützen mehrerer SAML-Identity-Provider

Mit SAML können Sie den Zugriff auf Ihr Portal mit mehreren Identitätsspeichern gewähren. Auf diese Weise können Benutzer innerhalb oder außerhalb Ihrer Organisation besser verwaltet werden.

Dies wird durch Herstellen einer Vertrauensstellung zwischen den Identitätsspeichern erzielt, die Sie dem Portal zur Verfügung stellen möchten. Dies erfolgt in der Regel durch einen Sicherheitsadministrator. Vertrauensstellungen werden nicht in Portal for ArcGIS konfiguriert. Nachdem die Vertrauensstellung hergestellt wurde, müssen Sie lediglich einen der vertrauenswürdigen Identitätsspeicher mit Ihrem Portal konfigurieren (wie unten beschrieben). Wenn Benutzer auf die Portal-Website oder die Identity-Provider-Site zugreifen, wird die Option zum Anmelden mit einem Enterprise-Konto angezeigt, das von einem der vertrauenswürdigen Identity-Provider verwaltet wird.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den vom NameID-Attribut gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit der von Portal for ArcGIS erstellte Benutzername Unterstriche enthalten kann.

Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider erhaltenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.

Konfigurieren eines Portals mit einem Identity-Provider für SAML

Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Eigene Organisation > Einstellungen bearbeiten > Sicherheit.
Klicken Sie im Bereich Enterprise-Anmeldenamen auf die Schaltfläche Identity-Provider festlegen, und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
Legen Sie fest, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie im Abschnitt Bestimmen eines Enterprise-Kontos als Administrator unten.
Stellen Sie die notwendigen Metadateninformationen zu Ihrem SAML-kompatiblen Enterprise-Identity-Provider für ArcGIS Online bereit. Geben Sie hierzu die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Links zu Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben. Es gibt drei mögliche Quellen für diese Metadateninformationen:
- Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
  Hinweis:
  Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat einbezieht, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
- Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Parameter ein:
  - Anmelde-URL (Umleitung): Geben Sie die URL des Identity-Providers (der HTTP-Umleitungsbindung unterstützt) an, die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
  - Anmelde-URL (POST): Geben Sie die URL des Identity-Providers ein (der HTTP-POST-Bindung unterstützt), die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
  - Zertifikat: Geben Sie das Zertifikat für den Enterprise-Identity-Provider an. Dieses Zertifikat ermöglicht es Portal for ArcGIS, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Enterprise-Identity-Provider empfängt.
Hinweis:
Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.
Um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen, müssen Sie die Service-Provider-Metadaten des Portals bei Ihrem Enterprise-Identity-Provider registrieren. Es gibt zwei Möglichkeiten, Metadaten von Ihrem Portal abzurufen:
- Sie können im Abschnitt Sicherheit der Seite Einstellungen bearbeiten Ihrer Organisation auf die Schaltfläche Service-Provider aufrufen klicken. Dadurch werden die Metadaten für Ihre Organisation angezeigt, die Sie als XML-Datei auf dem Computer speichern können.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiger Token erstellt wird.
Links zu Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben.
Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Wählen Sie diese Option aus, um den SAML-Identity-Provider darüber zu informieren, dass Portal for ArcGIS verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option aktiviert ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antworten. Obwohl der gesamte SAML-Datenverkehr an und von Portal for ArcGIS durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die von Portal for ArcGIS gesendet wird, kann der Identity-Provider überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen
- Abmeldung an Identity-Provider propagieren: Wählen Sie diese Option aus, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer vom Identity-Provider abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option deaktiviert ist, wird der Benutzer durch Klicken auf Abmelden in Portal for ArcGIS von Portal for ArcGIS, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache nicht gelöscht wird, führt der Versuch, sich mit der Option für Enterprise-Anmeldenamen direkt wieder bei Portal for ArcGIS anzumelden, zur sofortigen Anmeldung, ohne Benutzeranmeldeinformationen für den SAML-Identity-Provider eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
- Abmelde-URL: Geben Sie die URL des Identity Providers ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des Identity-Providers festgelegt ist, wird sie automatisch festgelegt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihrer Portal for ArcGIS-Organisation beim SAML-Identity-Provider eine neue Entitäts-ID verwendet werden soll.
Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen:
1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
2. Klicken Sie auf Security > Config > Update Identity Store.
3. Fügen Sie das Gruppenkonfigurations-JSON in das Textfeld Group store configuration (in JSON format) ein.
  - Wenn Sie Windows Active Directory als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
    { "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user und userPassword ändern. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird. Das für den user-Parameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Windows-Gruppen im Netzwerk. Verwenden Sie nach Möglichkeit ein Konto, dessen Kennwort nicht abläuft.
  - Wenn Sie LDAP als Identitätsspeicher verwenden, kopieren Sie den folgenden Text, und ändern Sie ihn so, dass er Ihre Site-spezifischen Informationen enthält:
    { "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
    In den meisten Fällen müssen Sie lediglich die Werte für die Parameter user, userPassword, ldapURLForUsers und ldapURLForRoles ändern. Die URL für Ihr LDAP erhalten Sie von Ihrem LDAP-Administrator.
    Im vorstehenden Beispiel bezieht sich die LDAP-URL auf Benutzer in einer bestimmten Organisationseinheit (ou=users). Wenn Benutzer in mehreren Organisationseinheiten vorhanden sind, kann die LDAP-URL auf eine Organisationseinheit einer höheren Ebene oder bei Bedarf sogar auf die Stammebene verweisen. In diesem Fall sieht die URL stattdessen wie folgt aus:
    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
    Das für den Benutzerparameter verwendete Konto benötigt lediglich Berechtigungen zum Suchen der Namen von Gruppen in Ihrer Organisation. Obwohl das Kennwort in Klartext eingegeben wird, wird es verschlüsselt, wenn es im Konfigurationsverzeichnis des Portals gespeichert oder angezeigt wird.
    Wenn für LDAP die Unterscheidung zwischen Groß- und Kleinschreibung konfiguriert wurde, legen Sie den Parameter caseSensitive auf false fest.
4. Wenn Sie das JSON für die Konfiguration des Benutzerspeichers eingegeben haben, klicken Sie auf Update Configuration, um die Änderungen zu speichern und das Portal neu zu starten.

Festlegen eines Enterprise-Kontos als Administrator

Die Vorgehensweise beim Festlegen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Nachdem die Konten dem Portal hinzugefügt wurden beitreten können.

Wenn Benutzer der Organisation automatisch beitreten können

Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.

Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.

Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.

Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.

Manuelles Hinzufügen von Enterprise-Konten zum Portal

Wenn Sie die Option ausgewählt haben, mit der festgelegt wird, ob Benutzer der Organisation nur Nach dem Hinzufügen der Konten zum Portal beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle Benutzer zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Konten und -Anmeldeinformationen beim Portal anmelden und keine unnötigen integrierten Konten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.

Deaktivieren der Anmeldung mit ArcGIS-Konten

Wenn Sie verhindern möchten, dass Benutzer sich beim Portal mit einem ArcGIS-Konto anmelden, können Sie die Option zur Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren. Führen Sie dazu die folgenden Schritte aus.

Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Eigene Organisation > Einstellungen bearbeiten > Sicherheit.
Wählen Sie im Abschnitt Anmeldeoptionen die Optionsschaltfläche für Nur ihr SAML-IDP-Konto aus, wobei der IDP je nach Konfiguration Ihres Portals variiert.
Klicken Sie auf Speichern.

Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar. Sie können Mitgliederanmeldungen mit ArcGIS-Konten erneut aktivieren, indem Sie die Option Ihr SAML-IDP-Konto oder Portal for ArcGIS-Konto unter Anmeldeoptionen auswählen, wobei der IDP je nach Konfiguration Ihres Portals variiert.

Ändern des Identity-Providers für SAML

Sie können den aktuell registrierten Identity-Provider über die Schaltfläche Identity-Provider entfernen entfernen. Diese Schaltfläche wird nur aktiviert, wenn Sie einen SAML-kompatiblen Identity-Provider eingerichtet haben. Sobald Sie den Identity-Provider entfernt haben, können Sie bei Bedarf einen neuen erstellen.

Feedback zu diesem Thema?