Skip To Content

Konfigurieren eines SAML-kompatiblen Identity-Providers mit dem Portal

Security Assertion Markup Language (SAML) ist ein offener Standard, um Authentifizierungs- und Autorisierungsdaten zwischen einem Enterprise-Identity-Provider und einem Service-Provider (in diesem Fall Portal for ArcGIS) sicher auszutauschen. Die hierzu verwendete Methode wird als Single Sign-On mit SAML bezeichnet. Das Portal ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Ihr ArcGIS Enterprise-Portal zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Enterprise-Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von Enterprise-Anmeldenamen" beschrieben.

Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen. Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch vom ArcGIS Enterprise-Portal und nicht von Ihrem Identitätsspeicher gesteuert.

Verwenden übereinstimmender Benutzernamen in ArcGIS Online und im ArcGIS Enterprise-Portal

Wenn in der ArcGIS Online-Organisation und dem Portal derselbe SAML-kompatible Identity-Provider verwendet wird, können die Enterprise-Benutzernamen so konfiguriert werden, dass sie übereinstimmen. An alle Enterprise-Benutzernamen in ArcGIS Online wird der Kurzname der Organisation angehängt. Dieselben Enterprise-Benutzernamen können in Ihrem Portal verwendet werden, indem die Eigenschaft defaultIDPUsernameSuffix in der Sicherheitskonfiguration des ArcGIS Enterprise-Portals definiert und übereinstimmend mit dem Kurznamen der Organisation festgelegt wird. Dies ist erforderlich, wenn Editor-Tracking für einen Feature-Service aktiviert ist, der von Enterprise-Benutzern über ArcGIS Online und Ihr Portal bearbeitet wird.

SAML-Anmeldung

Portal for ArcGIS unterstützt vom Service-Provider (SP) und vom Identity-Provider (IDP) initiierte Enterprise-Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.

Vom Service-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der Option "Identity-Provider für SAML" wird der Benutzer zu einer Webseite umgeleitet (die als Anmelde-Manager des Unternehmens bezeichnet wird), auf der sie aufgefordert werden, ihren Enterprise-Benutzernamen und ihr Kennwort einzugeben. Nachdem der Anmeldename des Benutzers bestätigt wurde, informiert der Enterprise-Identity-Provider Portal for ArcGIS darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde, und dass der Benutzer zur Website der Organisation umgeleitet wird.

Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die ArcGIS Enterprise-Portal-Website geöffnet. Der Benutzer kann dann den integrierten Benutzernamen und das Kennwort eingeben, um auf die Website zuzugreifen. Diese Option kann nicht deaktiviert werden. Die Option für integrierte Konten kann als Ausfallsicherheit dienen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist.

Vom Identity-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager des Unternehmens zugreifen und sich mit ihrem Konto anmelden. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an Portal for ArcGIS. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.

Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager des Unternehmens ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.

Hinweis:

Wenn SAML-Anmeldungen aufgrund von Problemen im Zusammenhang mit dem Identity-Provider für SAML fehlschlagen und Sie die Option für integrierte Konten deaktiviert haben, können Sie erst dann auf das ArcGIS Enterprise-Portal zugreifen, wenn diese Option wieder aktiviert wurde. Informationen zur Vorgehensweise finden Sie unter dieser Frage in Allgemeine Probleme und Lösungen.

Identity-Provider für SAML

Portal for ArcGIS unterstützt alle SAML-kompatiblen Identity-Provider. Detaillierte Anweisungen zum Konfigurieren einiger häufig verwendeter SAML-kompatibler Identity-Provider finden Sie im GitHub-Repository "ArcGIS/idp".

Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit ArcGIS Enterprise beschrieben. Wenden Sie sich an den Administrator Ihres SAML-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit Enterprise-Anmeldenamen anmeldet. NameID ist ein verbindliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den vom Attribut NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von Portal for ArcGIS erstellte Benutzername stattdessen Unterstriche enthält.

Portal for ArcGIS unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Identity-Provider. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und Portal for ArcGIS Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt Portal for ArcGIS die vom Identity-Provider empfangenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an. Es wird empfohlen, dass Sie die email address des Enterprise-Identity-Providers übergeben, sodass der Benutzer Benachrichtigungen empfangen kann.

Konfigurieren eines Portals mit einem Identity-Provider für SAML

Sie können das Portal so konfigurieren, dass Benutzer sich mit derselben Benutzername-Kennwort-Kombination anmelden können, die sie bereits für die lokalen Systeme nutzen. Vor der Einrichtung von Enterprise-Anmeldenamen müssen Sie für die Organisation einen Standard-Benutzertyp konfigurieren.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
  2. Wählen Sie im Abschnitt Enterprise-Anmeldenamen über SAML die Option Ein Identity-Provider aus, klicken Sie auf die Schaltfläche Enterprise-Anmeldenamen einrichten und geben Sie in dem daraufhin angezeigten Fenster den Namen Ihrer Organisation ein (zum Beispiel City of Redlands). Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
  3. Geben Sie an, ob die Benutzer der Organisation Automatisch oder Nach dem Hinzufügen der Konten zum Portal beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
    Tipp:

    Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird ebenfalls empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie im Abschnitt Bestimmen eines Enterprise-Kontos als Administrator unten.

  4. Stellen Sie die notwendigen Metadateninformationen zu Ihrem SAML-kompatiblen Enterprise-Identity-Provider für ArcGIS Online bereit. Geben Sie hierzu die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/idp". Es gibt drei mögliche Quellen für diese Metadateninformationen:
    • Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
      Hinweis:

      Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat beinhaltet, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.

    • Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
    • Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Parameter ein:
      • Anmelde-URL (Umleitung): Geben Sie die URL des Identity-Providers (der HTTP-Umleitungsbindung unterstützt) an, die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Anmelde-URL (POST): Geben Sie die URL des Identity-Providers ein (der HTTP-POST-Bindung unterstützt), die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den Enterprise-Identity-Provider an. Dieses Zertifikat ermöglicht es Portal for ArcGIS, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Enterprise-Identity-Provider empfängt.
    Hinweis:

    Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.

  5. Um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen, müssen Sie die Service-Provider-Metadaten des Portals bei Ihrem Enterprise-Identity-Provider registrieren. Es gibt zwei Möglichkeiten, Metadaten von Ihrem Portal abzurufen:
    • Sie können im Abschnitt Sicherheit der Registerkarte Einstellungen Ihrer Organisation auf die Schaltfläche Service-Provider aufrufen klicken. Dadurch werden die Metadaten für Ihre Organisation angezeigt, die Sie als .xml-Datei auf dem Computer speichern können.
    • Öffnen Sie die URL der Metadaten, und speichern Sie sie als .xml-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können ein Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiges Token erstellt wird.

    Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/idp".

  6. Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
    • Assertion verschlüsseln: Wählen Sie diese Option aus, um den SAML-Identity-Provider darüber zu informieren, dass Portal for ArcGIS verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antworten. Obwohl der gesamte SAML-Datenverkehr an und von Portal for ArcGIS durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
    • Signierte Anforderung aktivieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die von Portal for ArcGIS gesendet wird, kann der Identity-Provider überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen
    • Abmeldung an Identity-Provider propagieren: Wählen Sie diese Option aus, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer vom Identity-Provider abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht aktiviert ist, wird der Benutzer durch Klicken auf Abmelden in Portal for ArcGIS von Portal for ArcGIS, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache nicht gelöscht wird, führt der Versuch, sich mit der Option für Enterprise-Anmeldenamen direkt wieder bei Portal for ArcGIS anzumelden, zur sofortigen Anmeldung, ohne Benutzeranmeldeinformationen für den SAML-Identity-Provider eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die Öffentlichkeit leicht zugänglich ist.
    • Profile beim Anmelden aktualisieren: Wählen Sie diese Option aus, wenn Portal for ArcGIS die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig ausgewählt.
    • SAML-basierte Gruppenmitgliedschaft aktivieren: Wählen Sie diese Option aus, um Portal-Administratoren die Möglichkeit zu geben, Gruppen im SAML-Identity-Provider mit im ArcGIS Enterprise-Portal erstellten Gruppen zu verknüpfen. Wenn diese Option ausgewählt ist, analysiert Portal for ArcGIS die Antwort auf die SAML-Assertion, um zu ermitteln, welcher Gruppe ein Mitglied angehört. Sie können dann eine oder mehrere vom Identity-Provider bereitgestellte Enterprise-Gruppen für Wer kann dieser Gruppe beitreten? festlegen, wenn Sie eine Gruppe im Portal erstellen. Diese Option ist standardmäßig nicht ausgewählt.
    • Abmelde-URL: Geben Sie die URL des Identity Providers ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des Identity-Providers festgelegt ist, wird sie automatisch festgelegt.
    • Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihrer Portal for ArcGIS-Organisation beim SAML-Identity-Provider eine neue Entitäts-ID verwendet werden soll.

Konfigurieren eines SAML-kompatiblen IDP für ein Portal mit hoher Verfügbarkeit

Portal for ArcGIS verwendet ein Zertifikat mit dem Alias samlcert, um signierte Anforderungen (für An- und Abmeldungen) an den IDP zu senden und die verschlüsselten Antworten des IDP zu entschlüsseln. Bei der Konfiguration eines ArcGIS Enterprise-Portals mit hoher Verfügbarkeit und der Verwendung eines SAML-kompatiblen IDP müssen Sie sicherstellen, dass von allen Portal for ArcGIS-Instanzen das gleiche Zertifikat für die Kommunikation mit dem IDP verwendet wird.

Die beste Methode zum Sicherstellen, dass alle Instanzen das gleiche Zertifikat für SAML verwenden, besteht darin, ein neues Zertifikat mit dem Alias samlcert zu erstellen und es in die einzelnen Portal for ArcGIS-Instanzen Ihrer Bereitstellung mit hoher Verfügbarkeit zu importieren.

  1. Melden Sie sich beim Portal-Administratorverzeichnis unter https://example.domain.com:7443/arcgis/portaladmin an.
  2. Navigieren Sie zu Security > sslcertificates, und klicken Sie auf das vorhandene samlcert-Zertifikat.
  3. Klicken Sie auf delete.
  4. Wiederholen Sie Schritte 1 bis 3, um in allen Instanzen Ihres Portals mit hoher Verfügbarkeit die vorhandenen samlcert-Zertifikate zu löschen.
  5. Erstellen Sie über das ArcGIS-Portal-Administratorverzeichnis ein neues selbstsigniertes Zertifikat.
  6. Geben Sie bei der Konfiguration des Zertifikats samlcert als Alias an. Unter Common Name und als DNS-Alias in Subject Alternative Name geben Sie den Hostnamen des Load Balancers Ihrer Bereitstellung an.
  7. Exportieren Sie anschließend das erstellte Zertifikat als .pfx-Datei:
    1. Starten Sie eine Terminalsitzung, und authentifizieren Sie sich als der Benutzer, der Portal for ArcGIS installiert hat.
    2. Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal installation location>/etc/ssl.
    3. Geben Sie den folgenden Befehl ein, um die Datei samlcert im Dateiformat .pfx zu exportieren:
      ..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
  8. Importieren Sie das neue Zertifikat in jede Portal for ArcGIS-Instanz, indem Sie zur SeiteSecurity > sslcertificates > Import Existing Server Certificate navigieren.
  9. Starten Sie Portal for ArcGIS auf jeder Instanz Ihres Portals mit hoher Verfügbarkeit neu.

Anhand der Service-Provider-Metadatendatei in Ihrem ArcGIS Enterprise-Portal können Sie prüfen, ob die Zertifikate für die Kommunikation mit dem SAML-IDP in der gesamten Bereitstellung mit hoher Verfügbarkeit identisch sind.

  1. Navigieren Sie von der Registerkarte Organisation zu Einstellungen bearbeiten > Sicherheit.
  2. Klicken Sie im Element Enterprise-Anmeldenamen über SAML auf der Seite Sicherheit auf Identity-Provider bearbeiten. Öffnen Sie das Menü Erweiterte Einstellungen anzeigen, und vergewissern Sie sich, dass die Option Assertion verschlüsseln ausgewählt ist. Wählen Sie andernfalls die Option aus, und klicken Sie auf Identity-Provider aktualisieren, um die Änderung zu speichern.
  3. Kehren Sie zum Element Enterprise-Anmeldenamen über SAML zurück, und wählen Sie Service-Provider abrufen aus. Dadurch werden die Service-Provider-Metadaten als .xml-Datei auf Ihren Computer exportiert.
  4. Öffnen Sie die heruntergeladene .xml-Datei. Stellen Sie sicher, dass folgender Ausdruck vorhanden ist: <md:KeyDescriptor use="encryption">. Er zeigt an, dass das Verschlüsselungszertifikat vorhanden ist.
  5. Prüfen Sie die Werte im Unterabschnitt <ds:KeyInfo>.
  6. Wiederholen Sie diese Schritte für jede Portal for ArcGIS-Instanz in Ihrer Bereitstellung, um die jeweilige Service-Provider-Metadatendatei abzurufen.

Die exportierten Metadatendateien müssen identische Informationen im Unterabschnitt <ds:KeyInfo> aufweisen. Daran sehen Sie, dass alle Portal for ArcGIS-Instanzen das gleiche Zertifikat für die Kommunikation mit dem SAML-kompatiblen IDP nutzen.

Festlegen eines Enterprise-Kontos als Administrator

Die Vorgehensweise beim Festlegen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Nachdem die Konten dem Portal hinzugefügt wurden beitreten können.

Wenn Benutzer der Organisation automatisch beitreten können

Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.

Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.

  1. Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
  2. Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
  3. Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
  4. Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.

Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.

Manuelles Hinzufügen von Enterprise-Konten zum Portal

Wenn Sie die Option ausgewählt haben, mit der festgelegt wird, ob Benutzer der Organisation nur Nach dem Hinzufügen der Konten zum Portal beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle Benutzer zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Nachdem Sie den Zugriff auf Ihr Portal gesichert haben, wird empfohlen, die Schaltfläche Konto erstellen und die Anmeldeseite (signup.html) auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Dies bedeutet, dass sich alle Mitglieder mit ihren Enterprise-Konten und -Anmeldeinformationen beim Portal anmelden und keine unnötigen integrierten Konten erstellt werden können. Vollständige Anweisungen finden Sie unter Deaktivierung der Möglichkeit für Benutzer, integrierte Portal-Konten zu erstellen.

Deaktivieren der Anmeldung mit ArcGIS-Konten

Wenn Sie verhindern möchten, dass Benutzer sich mit einem ArcGIS-Konto beim Portal anmelden, können Sie die Schaltfläche Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren. Führen Sie dazu die folgenden Schritte aus.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen bearbeiten > Sicherheit.
  2. Wählen Sie im Abschnitt Anmeldeoptionen die Optionsschaltfläche für Nur ihr SAML-IDP-Konto aus, wobei der IDP je nach Konfiguration Ihres Portals variiert.
  3. Klicken Sie auf Speichern.

Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar. Sie können Mitgliederanmeldungen mit ArcGIS-Konten erneut aktivieren, indem Sie die Option Ihr SAML-IDP-Konto oder Portal for ArcGIS-Konto unter Anmeldeoptionen auswählen, wobei der IDP je nach Konfiguration Ihres Portals variiert.

Ändern des Identity-Providers für SAML

Den aktuell registrierten Identity-Provider können Sie über die Schaltflächen Enterprise-Anmeldung bearbeiten und Enterprise-Anmeldung entfernen entfernen. Diese Schaltflächen werden nur aktiviert, wenn Sie einen SAML-kompatiblen Identity-Provider eingerichtet haben. Sobald Sie den Identity-Provider entfernt haben, können Sie bei Bedarf einen neuen erstellen.