Microsoft Azure Active Directory (AD) ist ein SAML (Security Assertion Markup Language)-kompatibler Identity-Provider (IDP). Sie können ihn sowohl lokal als auch in der Cloud als IDP für Enterprise-Anmeldenamen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung von Azure AD im ArcGIS Enterprise-Portal und die Registrierung von Portal for ArcGIS im Azure AD-Portal.
Um Azure AD für ArcGIS Enterprise zu konfigurieren, benötigen Sie eine Azure AD Premium-Subskription.
Erforderliche Informationen
Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. Das Attribut NameID ist ein verbindliches Attribut, das von Ihrem IDP in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS verwendet werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Alle anderen Zeichen werden im Benutzernamen, der von Portal for ArcGIS erstellt wird, in Unterstriche geändert.
Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, benutzt Portal for ArcGIS die vom Identity-Provider erhaltenen Werte als vollständigen Namen und als E-Mail-Adresse für das Benutzerkonto. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.
Registrieren von Azure AD als Enterprise-IDP für das Portal
- Melden Sie sich als Mitglied der Standardadministratorrolle Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen bearbeiten > Sicherheit.
- Wählen Sie im Abschnitt Enterprise-Anmeldenamen über SAML die Option Ein Identity-Provider aus, klicken Sie auf die Schaltfläche Enterprise-Anmeldenamen einrichten und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (zum Beispiel City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
- Geben Sie an, ob die Benutzer der Organisation automatisch oder nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der Option Automatisch können sich Benutzer mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die Option Nach dem Hinzufügen der Konten zum Portal erfordert, dass der Administrator die entsprechenden Konten mit einem Befehlszeilendienstprogramm oder Python-Beispielskript beim Portal registriert. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) im Portal zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
- Stellen Sie mithilfe einer der im Folgenden genannten Optionen Metadateninformationen für den Identity-Provider bereit:
- Datei: Laden Sie die Azure AD-Metadatendatei herunter, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
Hinweis:
Wenn Sie zum ersten Mal einen Service-Provider bei Azure AD registrieren, müssen Sie die Metadatendatei herunterladen, nachdem Sie Portal for ArcGIS bei Azure AD registriert haben. - Parameter: Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die angeforderten Parameter bereit: die Anmelde-URL und das Zertifikat, codiert im Base64-Format. Wenden Sie sich an Ihren Azure AD-Administrator, um diese Informationen zu erhalten.
- Datei: Laden Sie die Azure AD-Metadatendatei herunter, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
- Konfigurieren Sie die folgenden erweiterten Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, um Antworten auf die SAML-Assertionen von Azure AD zu verschlüsseln.
- Signierte Anforderung aktivieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die an Azure AD gesendete SAML-Authentifizierungsanforderung signieren soll.
- Abmeldung an Identity-Provider propagieren: Wählen Sie diese Option aus, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer von Azure AD abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, aktivieren Sie die Option Signierte Anforderung aktivieren.
- Profile beim Anmelden aktualisieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben.
- Abmelde-URL: Die IDP-URL wird verwendet, um den aktuell angemeldeten Benutzer abzumelden.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei Azure AD eine neue Entitäts-ID verwendet werden soll.
Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein neues Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.
- Klicken Sie abschließend auf Identity-Provider aktualisieren.
- Klicken Sie auf Service-Provider aufrufen, um die Metadatendatei des Portals herunterzuladen. Informationen in dieser Datei dienen der Registrierung des Portals als vertrauenswürdiger Service-Provider bei Azure AD.
Registrieren von Portal for ArcGIS als vertrauenswürdiger Service-Provider bei Azure AD
- Melden Sie sich als Mitglied mit Administratorberechtigungen beim Azure-Portal an.
- Befolgen Sie die Anweisungen in der Azure-Dokumentation: Fügen Sie Portal for ArcGIS als Nicht-Kataloganwendung zu Azure AD hinzu, und konfigurieren Sie Einmaliges Anmelden. Sie benötigen die Datei Metadata.xml, die Sie aus Portal for ArcGIS heruntergeladen haben.
Portal for ArcGIS wird in der Liste Unternehmensanwendungen in Azure AD aufgeführt.
- Fügen Sie der Anwendung ggf. Benutzer hinzu und weisen Sie sie zu.
- Optional können Sie die an ArcGIS Enterprise übergebenen SAML-Anforderungen konfigurieren und anpassen. Die Interessenattribute in der SAML-Antwort sind givenName und emailaddress.