Skip To Content

Konfigurieren von OpenAM

Sie können OpenAM 10.1.0 und höhere Versionen als Identity-Provider (IDP) für Enterprise-Anmeldenamen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des Enterprise-Identity-Providers bei Portal for ArcGIS und die Registrierung von Portal for ArcGIS beim Enterprise-Identity-Provider.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. Das Attribut NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit der von Portal for ArcGIS erstellte Benutzername Unterstriche enthalten kann.

Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, benutzt Portal for ArcGIS die vom Identity-Provider erhaltenen Werte als vollständigen Namen und als E-Mail-Adresse für das Benutzerkonto. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.

Registrieren von OpenAM als Enterprise-Identity-Provider bei Portal for ArcGIS

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen bearbeiten > Sicherheit.
  2. Wählen Sie im Abschnitt Enterprise-Anmeldenamen die Option Ein Identity-Provider aus, klicken Sie auf die Schaltfläche Enterprise-Anmeldenamen einrichten und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (zum Beispiel City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
    Hinweis:

    Sie können nur einen Enterprise-Identity-Provider (IDP) oder einen Verbund von IDPs, für Ihr Portal registrieren.

  3. Legen Sie fest, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
    Tipp:

    Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.

  4. Stellen Sie mithilfe einer der im Folgenden drei Optionen Metadateninformationen für den Identity-Provider bereit:
    • URL: Aktivieren Sie diese Option, wenn Portal for ArcGIS Zugriff auf die OpenAM-Verbundmetadaten hat. Die URL lautet in der Regel http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
      Hinweis:

      Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat beinhaltet, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity-Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.

    • Datei: Wenn Portal for ArcGIS nicht auf die URL zugreifen kann, speichern Sie die Metadaten aus der URL oben als XML-Datei, und laden Sie die Datei hoch.
    • Parameter – Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die angeforderten Parameter bereit: die Anmelde-URL und das Zertifikat, codiert im Base64-Format. Wenden Sie sich an Ihren OpenAM-Administrator, um diese Informationen zu erhalten.
  5. Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
    • Assertion verschlüsseln: Aktivieren Sie diese Option, wenn OpenAM zur Verschlüsselung von Antworten auf SAML-Assertionen konfiguriert wird.
    • Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an OpenAM gesendete SAML-Authentifizierungsanforderung signieren soll.
    • Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei OpenAM eine neue Entitäts-ID verwendet werden soll.
    • Profile beim Anmelden aktualisieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben.
    • SAML-basierte Gruppenmitgliedschaft aktivieren: Wählen Sie diese Option aus, damit Mitglieder der Organisation bestimmte SAML-basierte Enterprise-Gruppen während der Gruppenerstellung mit Portal for ArcGIS-Gruppen verknüpfen können.

    Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein neues Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.

    Hinweis:

    Abmeldung an Identity-Provider propagieren und Abmelde-URL werden derzeit nicht unterstützt.

Registrieren von Portal for ArcGIS als vertrauenswürdigen Service-Provider bei OpenAM

  1. Konfigurieren Sie einen gehosteten Identity-Provider in OpenAM.
    1. Melden Sie sich bei der OpenAM-Verwaltungskonsole an. Diese ist in der Regel unter http://servername:port/<deploy_uri>/console verfügbar.
    2. Klicken Sie auf der Registerkarte Gängige Tasks auf Gehosteten Identity-Provider erstellen.
    3. Erstellen Sie einen gehosteten Identity-Provider und fügen Sie diesen einem Circle of Trust hinzu. Sie können ihn einem bereits vorhandenen "Circle of Trust" hinzufügen oder Sie können einen neuen "Circle of Trust" erstellen.
    4. Der gehostete Identity-Provider arbeitet standardmäßig mit OpenDJ, einem eingebetteten Benutzerspeicher, der in OpenAM integriert wird. Wenn Sie OpenAM mit anderen Benutzerspeichern wie Active Directory verbinden möchten, müssen Sie eine neue Datenquelle auf der Registerkarte Zugriffssteuerung der Haupt-OpenAM-Verwaltungskonsole erstellen.
  2. Konfigurieren Sie Portal for ArcGIS als vertrauenswürdigen Service-Provider bei OpenAM.
    1. Rufen Sie die Metadatendatei Ihres Portals auf, und speichern Sie sie als XML-Datei.

      Um die Metadatendatei abzurufen, melden Sie sich als Administrator bei der Organisation an, und öffnen Sie die Organisationsseite. Klicken Sie auf die Schaltfläche Einstellungen bearbeiten und die Registerkarte Sicherheit und im Abschnitt Enterprise-Anmeldenamen auf die Schaltfläche Service-Provider aufrufen.

    2. Klicken Sie in der OpenAM-Verwaltungskonsole unter Gängige Tasks auf Remote-Service-Provider registrieren.
    3. Wählen Sie die Option Datei für die Metadaten und laden Sie die im vorherigen Schritt gespeicherte Metadaten-XML hoch.
    4. Fügen Sie diesen Service-Provider demselben "Circle of Trust" hinzu, dem Sie Ihren Identity-Provider hinzugefügt haben.
  3. Konfigurieren Sie das NameID-Format und die Attribute, die OpenAM zum Senden an Portal for ArcGIS benötigt, nachdem der Benutzer authentifiziert wurde.
    1. Klicken Sie in der OpenAM-Verwaltungskonsole auf die Registerkarte Federation. Die Registerkarte enthält den zuvor hinzugefügten "Circle of Trust" sowie die Service- und Identity-Provider.
    2. Klicken Sie unter Entity Providers auf Ihren Identity-Provider.
    3. Überprüfen Sie auf der Registerkarte Assertion Content unter Name ID Format, ob urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oben aufgelistet ist. Dies ist das Format der NameID, die Portal for ArcGIS in seiner SAML-Anforderung an OpenAM anfordert.
    4. Ordnen Sie unter Namens-ID-Wertzuordnung ein Attribut aus dem Profil des Benutzers zu, beispielsweise mail oder upn, das nach der Authentifizierung des Benutzers als NameID an Portal for ArcGIS zurückgegeben wird.

      Beispiel: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn

    5. Klicken Sie im Identity-Provider auf die Registerkarte Assertion Processing. Konfigurieren Sie unter Attribute Mapper die Attribute aus dem Benutzerprofil, die an Portal for ArcGIS gesendet werden sollen.

      Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, benutzt Portal for ArcGIS die vom Identity-Provider erhaltenen Werte als vollständigen Namen und als E-Mail-Adresse für das Benutzerkonto.

      Es empfiehlt sich, die E-Mail-Adresse vom Enterprise-Identity-Provider an Portal for ArcGIS weiterzugeben. Dies ist hilfreich, falls der Benutzer später zum Administrator wird. Wenn eine E-Mail-Adresse im Konto vorhanden ist, kann der Benutzer Benachrichtigungen zu administrativen Aktivitäten empfangen und Einladungen an andere Benutzer senden, um ihnen den Beitritt zur Organisation zu ermöglichen.

      Klicken Sie auf Speichern, um das NameID-Format und die Änderungen der Attributinhalte zu speichern.

    6. Navigieren Sie auf der Registerkarte Verbindung der OpenAM-Verwaltungskonsole unter Entitäts-Provider zum Portal for ArcGIS-Service-Provider.
    7. Aktivieren Sie auf der Registerkarte Assertion Content unter Verschlüsselung die Option Assertion, wenn Sie bei der Registrierung von OpenAM als Enterprise-Identity-Provider bei Portal for ArcGIS die erweiterte Einstellung Assertion verschlüsseln ausgewählt haben.
    8. Überprüfen Sie unter Name ID Format, ob urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oben aufgelistet ist. Dies ist das Format der NameID, die Portal for ArcGIS in seiner SAML-Anforderung an OpenAM anfordert..
    9. Klicken Sie im Identity-Provider auf die Registerkarte Assertion Processing. Konfigurieren Sie unter Attribute Mapper die Attribute aus dem Benutzerprofil, die an Portal for ArcGIS gesendet werden sollen.
    10. Klicken Sie auf Speichern, um das Name ID Format und die Änderungen der Attributinhalte zu speichern.
  4. Starten Sie den Webserver neu, auf dem OpenAM bereitgestellt wird.