Die Organisation kann mithilfe von SAML (Security Assertion Markup Language) ihre Computerbenutzer authentifizieren und den Zugriff auf webfähige Ressourcen autorisieren. Dazu wird ein einziger SAML-kompatibler Identity-Provider (IDP) für die Benutzerauthentifizierung konfiguriert. Die Webressourcen der Organisation werden auf einem oder mehreren Service-Providern gehostet, die die Autorisierung des Zugriffs auf die Webressourcen übernehmen. Die Organisation selbst verfügt über die vollständige Kontrolle für die Verwaltung des IDPs und der Service-Provider. Damit die SAML-basierte Authentifizierung und Autorisierung unterstützt wird, muss jeder Service-Provider der Organisation für die Arbeit beim IDP registriert werden. Jeder Service-Provider kann nur bei einem einzigen IDP registriert werden.
Über SAML können Sie Ressourcen auch für mehrere unabhängig voneinander verwaltete Organisationen freigeben. Möglich wird dies durch Entitäten für die Verbundverwaltung, die die SAML-basierte Freigabe von Ressourcen zwischen den Mitgliedsorganisationen ermöglichen. Eine Mitgliedsorganisation, die ihre Webressourcen im Verbund freigeben möchte, reserviert einen oder mehrere Service-Provider ausschließlich für die Arbeit im Verbund. Um auf eine gesicherte Ressource, die für den Verbund freigegeben wurde, zuzugreifen, authentifiziert ein Benutzer seine Identität beim IDP seiner Home-Organisation. Nach der erfolgreichen Authentifizierung wird diese geprüfte Identität für den Service-Provider, der die gesicherte Ressource hostet, bereitgestellt. Der Service-Provider erteilt dann den Zugriff auf die Ressource, nachdem die Zugriffsberechtigungen des Benutzers überprüft wurden.
In 10.6.1 kann Ihr ArcGIS Enterprise-Portal mit einem SAML-basierten Verbund aus IDPs konfiguriert werden. Das Portal greift auf den im Verbund gehosteten Discovery-Service zu, der eine Liste der am Verbund beteiligten Identity-Provider und Service-Provider bereitstellt.
Einige gängige SAML-basierte Identity-Provider im Verbund sind InCommon, eduGAIN, SWITCHaai, DFN-AAI und die UK Access Management Federation.
Konfigurieren des Verbunds mit dem Portal
Gehen Sie folgendermaßen vor, um einen SAML-basierten Verbund von Identity-Providern für Ihr Portal zu konfigurieren.
- Melden Sie sich als Administrator bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Wählen Sie im Abschnitt Enterprise-Anmeldenamen die Option Ein Verbund von Identity-Providern aus, klicken Sie auf die Schaltfläche Enterprise-Anmeldenamen einrichten und geben Sie in dem daraufhin angezeigten Fenster die Beschreibung Ihres Verbunds ein. Diese Beschreibung wird den Benutzern beim Zugriff auf die Portal-Website als Teil der SAML-Anmeldeoption angezeigt.
- Wählen Sie aus, wie Ihre Benutzer der Portal-Organisation beitreten können:
- Automatisch: Bei dieser Option können sich Benutzer mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne die entsprechende Berechtigung von ihrem Administrator zu benötigen, da ihr Konto bei der ersten Anmeldung automatisch beim Portal registriert wird.
- Auf Einladung eines Administrators: Bei dieser Option muss der Portal-Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Python-Skript bei der Organisation registrieren.
Hinweis:
Esri empfiehlt, mindestens ein Enterprise-Konto als Administrator Ihres Portals festzulegen und die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Weitere Informationen finden Sie weiter unten im Abschnitt Festlegen eines Enterprise-Kontos als Administrator.
- Geben Sie die URL zum im Verbund gehosteten zentralen IDP-Discovery-Service an, wie zum Beispiel https://wayf.samplefederation.com/WAYF.
- Geben Sie die URL zu den Verbundmetadaten an. Dies ist eine Aggregation der Metadaten aller am Verbund beteiligten Identity-Provider und Service-Provider.
- Kopieren Sie das im Base64-Format codierte Zertifikat über die Zwischenablage. Dieses Zertifikat ermöglicht dem Portal die Prüfung der Gültigkeit der Verbundmetadaten.
- Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Wählen Sie diese Option aus, um den SAML-Identity-Provider darüber zu informieren, dass Ihr Portal verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr zum und vom Portal durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Wählen Sie diese Option aus, wenn das Portal die an den IDP gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die durch das Portal gesendet wird, kann der IDP überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen.
- Abmeldung an Identity-Provider propagieren: Wählen Sie diese Option aus, damit das Portal eine Abmelde-URL verwendet, um den Benutzer vom IDP abzumelden. Wenn Sie diese Option auswählen, dann geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht ausgewählt wurde, wird der Benutzer beim Klicken auf Abmelden auf der Portal-Website vom Portal, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache des Benutzers nicht gelöscht wird, führt der Versuch, sich mit der Option für Enterprise-Anmeldenamen direkt wieder beim Portal anzumelden, zur sofortigen Anmeldung, ohne Anmeldeinformationen für den IDP eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
- Profile beim Anmelden aktualisieren: Wählen Sie diese Option aus, wenn das Portal die Attribute "givenName" und "email address" der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig ausgewählt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung der Portal-Organisation beim SAML-Verbund eine neue Entitäts-ID verwendet werden soll.
Registrieren des Portals als vertrauenswürdiger Service-Provider beim SAML-Verbund
Um den Konfigurationsprozess abzuschließen, müssen Sie eine vertrauenswürdige Verbindung mit dem Discovery-Service des Verbunds und dem IDP Ihrer Organisation einrichten, indem Sie die Service-Provider-Metadaten des Portals bei ihnen registrieren. Zum Abrufen dieser Metadaten gibt es zwei Möglichkeiten:
- Sie können im Abschnitt Sicherheit der Seite Einstellungen bearbeiten Ihrer Organisation auf die Schaltfläche Service-Provider aufrufen klicken. Dadurch werden die Metadaten für Ihre Organisation angezeigt, die Sie als XML-Datei auf dem Computer speichern können.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiges Token erstellt wird.
Nachdem Sie die Service-Provider-Metadaten heruntergeladen haben, bitten Sie die Administratoren des SAML-Verbunds um Anweisungen zum Integrieren der Metadaten in die aggregierte Metadatendatei des Verbunds. Sie benötigen von den Administratoren auch Anweisungen zum Registrieren Ihres Identity Providers beim Verbund.
Festlegen eines Enterprise-Kontos als Administrator
Die Vorgehensweise beim Festlegen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Nachdem die Konten dem Portal hinzugefügt wurden beitreten können.
Wenn Benutzer der Organisation automatisch beitreten können
Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.
Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.
- Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
- Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
- Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
- Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.
Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.
Manuelles Hinzufügen von Enterprise-Konten zum Portal
Wenn Sie die Option ausgewählt haben, mit der festgelegt wird, ob Benutzer der Organisation nur Nach dem Hinzufügen der Konten zum Portal beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle Benutzer zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Konten und -Anmeldeinformationen beim Portal anmelden und keine unnötigen integrierten Konten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.
Deaktivieren der Anmeldung mit ArcGIS-Konten
Wenn Sie verhindern möchten, dass sich Benutzer mit einem ArcGIS-Konto beim Portal anmelden, können Sie die Schaltfläche Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren, indem Sie die folgenden Schritte ausführen.
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen bearbeiten > Sicherheit.
- Wählen Sie im Abschnitt Anmeldeoptionen die Optionsschaltfläche für Nur ihr SAML-IDP-Konto aus, wobei der IDP je nach Konfiguration Ihres Portals variiert.
- Klicken Sie auf Speichern.
Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar. Sie können Mitgliederanmeldungen mit ArcGIS-Konten erneut aktivieren, indem Sie die Option Ihr SAML-IDP-Konto oder Portal for ArcGIS-Konto unter Anmeldeoptionen auswählen, wobei der IDP und der Name Ihres Portals je nach Konfiguration variieren.
Ändern oder Entfernen des Identity-Providers für SAML
Sie können mit der Schaltfläche Enterprise-Anmeldung bearbeiten die Einstellungen für Ihren Verbund aktualisieren oder mit der Schaltfläche Enterprise-Anmeldung entfernen den Verbund aus Ihrem Portal entfernen. Diese Schaltflächen werden angezeigt, nachdem Sie den Verbund mit Ihrem Portal eingerichtet haben. Wenn Sie ihn entfernt haben, können Sie bei Bedarf einen neuen Identity-Provider oder Verbund aus Identity-Providern einrichten.