Security Assertion Markup Language (SAML) ist ein offener Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem organisationsspezifischen Identity-Provider und einem Service-Provider (in diesem Fall Portal for ArcGIS). Diese Methode wird als Single Sign-On mit SAML bezeichnet.
Das Portal ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web-Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Ihr ArcGIS Enterprise-Portal zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von organisationsspezifischen Anmeldenamen" beschrieben.
Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers verwenden.
Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch vom ArcGIS Enterprise-Portal und nicht vom Identitätsspeicher gesteuert.
Verwenden übereinstimmender Benutzernamen in ArcGIS Online und im ArcGIS Enterprise-Portal
Wenn in der ArcGIS Online-Organisation und dem Portal derselbe SAML-kompatible Identity Provider verwendet wird, können die organisationsspezifischen Benutzernamen so konfiguriert werden, dass sie übereinstimmen. An alle organisationsspezifischen Benutzernamen in ArcGIS Online wird der Kurzname der Organisation angehängt. Dieselben organisationsspezifischen Benutzernamen können in Ihrem Portal verwendet werden, indem die Eigenschaft defaultIDPUsernameSuffix in der Sicherheitskonfiguration des ArcGIS Enterprise-Portals definiert und übereinstimmend mit dem Kurznamen der Organisation festgelegt wird. Dies ist erforderlich, wenn Editor-Tracking für einen Feature-Service aktiviert ist, der von organisationsspezifischen Benutzern über ArcGIS Online und Ihr Portal bearbeitet wird.
SAML-Anmeldung
Portal for ArcGIS unterstützt vom Service-Provider (SP) und vom Identity-Provider (IDP) initiierte organisationsspezifische Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.
Vom Service-Provider initiierte Anmeldungen
Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der SAML-Identity-Provider-Option werden Mitglieder zu einer Webseite umgeleitet (die als Anmelde-Manager bezeichnet wird), auf der sie aufgefordert werden, ihren SAML-Benutzernamen und ihr Kennwort einzugeben. Nachdem die Anmeldeinformationen des Benutzers bestätigt wurden, informiert der SAML-kompatible Identity-Provider Portal for ArcGIS darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde und dass der Benutzer zur Website der Organisation umgeleitet wird.
Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die ArcGIS Enterprise-Portal-Website geöffnet. Der Benutzer gibt dann den integrierten Benutzernamen und das Kennwort ein, um auf die Website zuzugreifen. Sie können die Option für integrierte Konten für Ausfallsicherheit nutzen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist. Dies setzt voraus, dass die Option, sich mit einem ArcGIS-Konto anzumelden, nicht deaktiviert wurde.
Vom Identity-Provider initiierte Anmeldungen
Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager zugreifen und sich mit ihrem Konto anmelden. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an Portal for ArcGIS. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.
Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.
Hinweis:
Wenn SAML-Anmeldungen aufgrund von Problemen im Zusammenhang mit dem Identity-Provider fehlschlagen und die Option für integrierte Konten deaktiviert ist, können Sie erst dann auf das ArcGIS Enterprise-Portal zugreifen, wenn diese Option wieder aktiviert wurde. Eine Anleitung hierzu finden Sie unter dieser Frage in Allgemeine Probleme und Lösungen.
Identity-Provider für SAML
Portal for ArcGIS unterstützt alle SAML-kompatiblen Identity-Provider. Detaillierte Anweisungen zum Konfigurieren einiger häufig verwendeter SAML-kompatibler Identity-Provider finden Sie im GitHub-Repository "ArcGIS/idp".
Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit ArcGIS Enterprise beschrieben. Wenden Sie sich an den Administrator Ihres SAML-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen.
Erforderliche Informationen
Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von Portal for ArcGIS erstellte Benutzername stattdessen Unterstriche enthält.
Portal for ArcGIS unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.
Konfigurieren des Portals mit einem Identity-Provider für SAML
Sie können das Portal so konfigurieren, dass Benutzer sich mit derselben Benutzername-Kennwort-Kombination anmelden können, die sie bereits für die lokalen Systeme nutzen. Vor der Einrichtung von organisationsspezifischen Anmeldenamen müssen Sie für die Organisation einen Standard-Benutzertyp konfigurieren.
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen der Organisation ein (z. B. City of Redlands).
Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. "Mit City of Redlands-Konto").
- Wählen Sie Automatisch oder Auf Einladung eines Administrators aus, um anzugeben, ob Benutzer der Organisation automatisch oder auf Einladung beitreten können.Durch Auswahl der ersten Option können Benutzer sich mit ihrem organisationsspezifischen Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können sich die Benutzer bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein SAML-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Zudem sollten Sie die Schaltfläche Konto erstellen auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Anweisungen finden Sie im Abschnitt Bestimmen eines organisationsspezifischen Kontos als Administrator unten.
- Geben Sie die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Dadurch werden die notwendigen Metadateninformationen zu Ihrem SAML-kompatiblen Identity-Provider bereitgestellt. Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/idp". Es gibt drei mögliche Quellen für diese Metadateninformationen:
- Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
Hinweis:
Wenn Ihr Identity-Provider ein selbstsigniertes Zertifikat einbezieht, kann ein Fehler auftreten, wenn Sie die HTTPS-URL der Metadaten angeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
- Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Angaben ein:
- Anmelde-URL (Umleitung): Geben Sie die URL des Identity-Providers (der HTTP-Umleitungsbindung unterstützt) an, die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Anmelde-URL (POST): Geben Sie die URL des Identity-Providers ein (der HTTP-POST-Bindung unterstützt), die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den Identity-Provider an. Dieses Zertifikat ermöglicht es Portal for ArcGIS, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Identity-Provider empfängt.
Hinweis:
Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.
- Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
- Registrieren Sie die Service-Provider-Metadaten des Portals bei Ihrem Identity-Provider, um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen. Führen Sie einen der folgenden Schritte aus, um die Metadaten von Ihrem Portal abzurufen:
- Klicken Sie im Abschnitt Sicherheit auf der Registerkarte Einstellungen auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als .xml-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können ein Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Textfeld Webanwendungs-URL ein. Andere Optionen, beispielsweise IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung, werden nicht unterstützt und können dazu führen, dass ein ungültiges Token generiert wird.
Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/idp".
- Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Informieren Sie den Identity-Provider für SAML darüber, dass Portal for ArcGIS verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antworten. Obwohl der gesamte SAML-Datenverkehr an und von Portal for ArcGIS durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Mit dieser Option sorgen Sie dafür, dass die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung von Portal for ArcGIS signiert wird. Durch das Signieren der ersten Anmeldeanforderung, die von Portal for ArcGIS gesendet wird, kann der Identity-Provider überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen
Tipp:
Aktivieren Sie diese Einstellung, um die Integrität von SAML-Anforderungen sicherzustellen. Diese Option können Sie in den erweiterten Einstellungen jederzeit aktivieren, auch wenn Sie diese bei der Erstkonfiguration Ihres Portals übersprungen haben.
- Abmeldung an Identity-Provider propagieren: In Portal for ArcGIS muss eine Abmelde-URL verwendet werden, um den Benutzer vom Identity-Provider abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Einstellung Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Einstellung nicht aktiviert ist, wird der Benutzer durch Klicken auf Abmelden in Portal for ArcGIS von Portal for ArcGIS, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Webbrowser-Cache nicht gelöscht wird, führt direktes erneutes Anmelden bei Portal for ArcGIS mit der Option für organisationsspezifische Anmeldenamen zur Anmeldung ohne Angabe der Benutzeranmeldeinformationen für den SAML-Identity-Provider. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit zugänglich ist.
- Profile beim Anmelden aktualisieren: Mit dieser Option werden von Portal for ArcGIS die Attribute givenName und email address der Benutzer aktualisiert, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig aktiviert.
- SAML-basierte Gruppenmitgliedschaft aktivieren: Geben Sie Portal-Administratoren die Möglichkeit, Gruppen im SAML-Identity-Provider mit im ArcGIS Enterprise-Portal erstellten Gruppen zu verknüpfen. Wenn diese Option aktiviert ist, analysiert Portal for ArcGIS die Antwort auf die SAML-Assertion, um die Gruppen zu ermitteln, denen ein Mitglied angehört. Sie können dann eine oder mehrere vom Identity-Provider bereitgestellte Enterprise-Gruppen für Wer kann dieser Gruppe beitreten? festlegen, wenn Sie eine neue Gruppe im Portal erstellen. Diese Funktion ist standardmäßig deaktiviert.
- Abmelde-URL: Geben Sie die URL des Identity Providers ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des Identity-Providers festgelegt ist, wird sie automatisch festgelegt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihrer Portal for ArcGIS-Organisation beim SAML-Identity-Provider eine neue Entitäts-ID verwendet werden soll.
Konfigurieren eines SAML-kompatiblen IDP für ein Portal mit hoher Verfügbarkeit
Portal for ArcGIS verwendet ein Zertifikat mit dem Alias samlcert, um signierte Anforderungen (für An- und Abmeldungen) an den IDP zu senden und die verschlüsselten Antworten des IDP zu entschlüsseln. Bei der Konfiguration eines ArcGIS Enterprise-Portals mit hoher Verfügbarkeit und der Verwendung eines SAML-kompatiblen IDP müssen Sie sicherstellen, dass von allen Portal for ArcGIS-Instanzen das gleiche Zertifikat für die Kommunikation mit dem IDP verwendet wird.
Die beste Methode zum Sicherstellen, dass alle Instanzen das gleiche Zertifikat für SAML verwenden, besteht darin, ein neues Zertifikat mit dem Alias samlcert zu erstellen und es in die einzelnen Portal for ArcGIS-Instanzen Ihrer Bereitstellung mit hoher Verfügbarkeit zu importieren.
- Melden Sie sich beim Portal-Administratorverzeichnis unter https://example.domain.com:7443/arcgis/portaladmin an.
- Navigieren Sie zu Security > sslcertificates, und klicken Sie auf das vorhandene samlcert-Zertifikat.
- Klicken Sie auf delete.
- Wiederholen Sie Schritte 1 bis 3, um in allen Instanzen Ihres Portals mit hoher Verfügbarkeit die vorhandenen samlcert-Zertifikate zu löschen.
- Erstellen Sie über das ArcGIS-Portal-Administratorverzeichnis ein neues selbstsigniertes Zertifikat.
- Geben Sie bei der Konfiguration des Zertifikats samlcert als Alias an. Als Namen unter Common Name und als DNS-Alias im Feld Subject Alternative Name geben Sie den Hostnamen des Load Balancers Ihrer Bereitstellung an.
- Exportieren Sie anschließend das erstellte Zertifikat als .pfx-Datei:
- Starten Sie eine Terminalsitzung, und authentifizieren Sie sich als der Benutzer, der Portal for ArcGIS installiert hat.
- Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal installation location>/etc/ssl.
- Geben Sie den folgenden Befehl ein, um die Datei samlcert im Dateiformat .pfx zu exportieren:
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importieren Sie das neue Zertifikat in jede Portal for ArcGIS-Instanz, indem Sie zur SeiteSecurity > sslcertificates > Import Existing Server Certificate navigieren.
- Starten Sie Portal for ArcGIS auf jeder Instanz Ihres Portals mit hoher Verfügbarkeit neu.
Anhand der Service-Provider-Metadatendatei in Ihrem ArcGIS Enterprise-Portal können Sie prüfen, ob die Zertifikate für die Kommunikation mit dem SAML-IDP in der gesamten Bereitstellung mit hoher Verfügbarkeit identisch sind.
- Navigieren Sie auf der Registerkarte Organisation zu Einstellungen bearbeiten > Sicherheit.
- Klicken Sie im Element Enterprise-Anmeldenamen über SAML auf der Seite Sicherheit auf Identity-Provider bearbeiten. Öffnen Sie das Menü Erweiterte Einstellungen anzeigen, und vergewissern Sie sich, dass die Option Assertion verschlüsseln ausgewählt ist. Wählen Sie andernfalls die Option aus, und klicken Sie auf Identity-Provider aktualisieren, um die Änderung zu speichern.
- Kehren Sie zum Element Enterprise-Anmeldenamen über SAML zurück, und wählen Sie Service-Provider abrufen aus. Dadurch werden die Service-Provider-Metadaten als .xml-Datei auf Ihren Computer exportiert.
- Öffnen Sie die heruntergeladene .xml-Datei. Stellen Sie sicher, dass folgender Ausdruck vorhanden ist: <md:KeyDescriptor use="encryption">. Er zeigt an, dass das Verschlüsselungszertifikat vorhanden ist.
- Prüfen Sie die Werte im Unterabschnitt <ds:KeyInfo>.
- Wiederholen Sie diese Schritte für jede Portal for ArcGIS-Instanz in Ihrer Bereitstellung, um die jeweilige Service-Provider-Metadatendatei abzurufen.
Die exportierten Metadatendateien müssen identische Informationen im Unterabschnitt <ds:KeyInfo> aufweisen. Daran sehen Sie, dass alle Portal for ArcGIS-Instanzen das gleiche Zertifikat für die Kommunikation mit dem SAML-kompatiblen IDP nutzen.
Festlegen eines organisationsspezifischen Kontos als Administrator
Die Vorgehensweise beim Festlegen eines organisationsspezifischen Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation automatisch oder auf Einladung eines Administrators beitreten können.
Wenn Benutzer der Organisation automatisch beitreten können
Wenn Sie die Option Automatisch ausgewählt haben, die Benutzern automatisch den Beitritt zur Organisation gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem organisationsspezifischen Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.
Wenn ein Konto erstmals dem Portal automatisch hinzugefügt wird, wird ihm die für neue Mitglieder konfigurierte Standardrolle zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein organisationsspezifisches Konto zuweisen.
- Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des SAML-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
- Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
- Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
- Suchen Sie das SAML-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.
Das ausgewählte SAML-Konto ist nun ein Administrator des Portals.
Manuelles Hinzufügen organisationsspezifischer Konten zum Portal
Wenn Sie die Option Auf Einladung eines Administrators ausgewählt haben, damit Benutzer der Organisation nur auf Einladung beitreten können, müssen Sie die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Wählen Sie die Rolle Administrator für ein SAML-Konto aus, das zum Verwalten des Portals verwendet wird.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto eine andere Rolle zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung neuer integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.
Verhindern, dass Benutzer sich mit einem ArcGIS-Konto anmelden
Wenn Sie verhindern möchten, dass Benutzer sich mit einem ArcGIS-Konto beim Portal anmelden, deaktivieren Sie die Umschaltfläche ArcGIS-Anmeldung auf der Anmeldeseite.
- Melden Sie sich als Administrator der Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Deaktivieren Sie im Abschnitt Anmeldungen die Umschaltfläche ArcGIS-Anmeldung.
Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche ArcGIS-Anmeldung ist nicht mehr verfügbar. Wenn Sie Mitglieder-Anmeldenamen für ArcGIS-Konten wieder aktivieren möchten, aktivieren Sie die Umschaltfläche ArcGIS-Anmeldung im Abschnitt Anmeldungen.
Ändern oder Entfernen des SAML-IDP
Wenn Sie einen SAML-IDP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten SAML-IDP auf die Schaltfläche Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster SAML-Anmeldung bearbeiten.
Um den aktuell registrierten IDP zu entfernen, klicken Sie neben dem IDP auf die Schaltfläche Bearbeiten und dann im Fenster SAML-Anmeldung bearbeiten auf Anmeldung löschen. Nachdem Sie einen IDP entfernt haben, können Sie optional einen neuen IDP oder einen Verbund aus IDPs einrichten.
Best Practices für die SAML-Sicherheit
Wenn Sie SAML-Anmeldungen aktivieren möchten, können Sie ArcGIS Enterprise als SP für Ihren SAML-IDP konfigurieren. Berücksichtigen Sie die im Folgenden beschriebenen Best Practices für eine umfassende Sicherheitsstrategie.
Digitales Signieren von SAML-Anmelde- und -Abmeldeanforderungen und Signieren von Antworten auf SAML-Assertionen
Anhand von Signaturen wird die Integrität von SAML-Nachrichten sichergestellt, wodurch sie einen Schutz vor Man-in-the-Middle-(MITM-)Angriffen darstellen. Durch die digitale Signierung der SAML-Anforderung wird ebenfalls sichergestellt, dass die Anforderung von einem vertrauenswürdigen SP stammt. Auf diese Weise können Denial-of-Service-Angriffe (DOS-Angriffe) besser vom IDP abgewehrt werden. Aktivieren Sie bei der Konfiguration von SAML-Anmeldungen die Option Signierte Anforderung aktivieren.
Hinweis:
Sind signierte Anforderungen aktiviert, muss der IDP aktualisiert werden, sobald das Signaturzertifikat des SP erneuert oder ersetzt wird.
Konfigurieren Sie den SAML-IDP so, dass die SAML-Antwort signiert wird, damit bei der Übertragung keine Änderungen an der Antwort auf die SAML-Assertion vorgenommen werden können.
Hinweis:
Sind signierte Anforderungen aktiviert, muss der SP (ArcGIS Enterprise) aktualisiert werden, sobald das Signaturzertifikat des IDP erneuert oder ersetzt wird.
Verwenden des HTTPS-Endpunktes des IDP
Alle Arten von Kommunikation, die unverschlüsselt zwischen dem SP, IDP und dem Browser des Benutzers über ein internes Netzwerk oder das Internet gesendet werden, können von einem böswilligen Benutzer abgefangen werden. Wenn Ihr SAML-IDP die Nutzung von HTTPS unterstützt, empfiehlt sich die Verwendung des HTTPS-Endpunktes, um die Vertraulichkeit der Daten sicherzustellen, die bei SAML-Anmeldungen übermittelt werden.
Verschlüsseln von Antworten auf SAML-Assertionen
Durch die Verwendung von HTTPS für die SAML-Kommunikation wird sichergestellt, dass SAML-Nachrichten sicher zwischen dem IDP und SP gesendet werden. Angemeldete Benutzer können jedoch weiterhin die SAML-Nachrichten über den Webbrowser decodieren und anzeigen. Indem Sie die Verschlüsselung von Antworten auf Assertionen aktivieren, verhindern Sie, dass die zwischen IDP und SP kommunizierten vertraulichen Informationen und sensiblen Daten angezeigt werden können.
Hinweis:
Sind verschlüsselte Assertionen aktiviert, muss der IDP aktualisiert werden, sobald das Verschlüsselungszertifikat des SP (ArcGIS Enterprise) erneuert oder ersetzt wird.
Sicheres Verwalten der Signatur- und Verschlüsselungszertifikate
Verwenden Sie für die digitale Signatur bzw. Verschlüsselung von SAML-Nachrichten sichere kryptografische Schlüssel und erneuern bzw. ersetzen Sie die Zertifikate in einem Abstand von drei bis fünf Jahren.