Security Assertion Markup Language (SAML) ist ein offener Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem organisationsspezifischen Identity-Provider und einem Service-Provider (in diesem Fall die ArcGIS Enterprise-Organisation). Diese Methode wird als Single Sign-On mit SAML bezeichnet.
Die Organisation ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web-Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Ihre Organisation zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von organisationsspezifischen Anmeldenamen" beschrieben.
Sie können auch Metadaten zu den SAML-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden SAML-Gruppen Ihres Identitätsspeichers verwenden.
Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der SAML-Gruppe definiert sind. Wenn Sie die erforderlichen SAML-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch vom ArcGIS Enterprise-Portal und nicht vom Identitätsspeicher gesteuert.
Hinweis:
Sie können auch mit Ihrem Portal einen Verbund von SAML-basierten Identity Providern konfigurieren.
Verwenden übereinstimmender Benutzernamen in ArcGIS Online und im ArcGIS Enterprise-Portal
Wenn in der ArcGIS Online-Organisation und dem Portal derselbe SAML-kompatible Identity Provider verwendet wird, können die organisationsspezifischen Benutzernamen so konfiguriert werden, dass sie übereinstimmen. An alle organisationsspezifischen Benutzernamen in ArcGIS Online wird der Kurzname der Organisation angehängt. Dieselben organisationsspezifischen Benutzernamen können in Ihrem Portal verwendet werden, indem die Eigenschaft defaultIDPUsernameSuffix in der Sicherheitskonfiguration des ArcGIS Enterprise-Portals definiert und übereinstimmend mit dem Kurznamen der Organisation festgelegt wird. Dies ist erforderlich, wenn Editor-Tracking für einen Feature-Service aktiviert ist, der von organisationsspezifischen Benutzern über ArcGIS Online und Ihr Portal bearbeitet wird.
SAML-Anmeldung
ArcGIS Enterprise unterstützt vom Service-Provider (SP) und vom Identity-Provider (IdP) initiierte organisationsspezifische Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.
Vom Service-Provider initiierte Anmeldungen
Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der SAML-Identity-Provider-Option werden Mitglieder zu einer Webseite umgeleitet (die als Anmelde-Manager bezeichnet wird), auf der sie aufgefordert werden, ihren SAML-Benutzernamen und ihr Kennwort einzugeben. Nachdem die Anmeldeinformationen des Benutzers bestätigt wurden, informiert der SAML-kompatible Identity-Provider ArcGIS Enterprise darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde und dass der Benutzer zur Website der Organisation umgeleitet wird.
Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die ArcGIS Enterprise-Portal-Website geöffnet. Der Benutzer gibt dann den integrierten Benutzernamen und das Kennwort ein, um auf die Website zuzugreifen. Sie können die Option für integrierte Konten für Ausfallsicherheit nutzen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist. Dies setzt voraus, dass die Option, sich mit einem ArcGIS-Konto anzumelden, nicht deaktiviert wurde.
Vom Identity-Provider initiierte Anmeldungen
Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager zugreifen und sich mit ihrem Konto anmelden. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an ArcGIS Enterprise. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.
Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.
Hinweis:
Wenn SAML-Anmeldungen aufgrund von Problemen im Zusammenhang mit dem Identity-Provider fehlschlagen und die Option für integrierte Konten deaktiviert ist, können Sie erst dann auf das ArcGIS Enterprise-Portal zugreifen, wenn diese Option wieder aktiviert wurde. Eine Anleitung hierzu finden Sie unter dieser Frage in Allgemeine Probleme und Lösungen.
Identity-Provider für SAML
ArcGIS Enterprise unterstützt alle SAML-kompatiblen Identity-Provider. Detaillierte Anweisungen zum Konfigurieren einiger häufig verwendeter SAML-kompatibler Identity-Provider finden Sie im GitHub-Repository "ArcGIS/IdP".
Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit ArcGIS Enterprise beschrieben. Wenden Sie sich an den Administrator Ihres SAML-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den organisationsspezifischen Identity-Provider zu konfigurieren oder zu aktivieren und die für die Konfiguration für das Portal erforderlichen Parameter abzurufen.
Erforderliche Informationen
ArcGIS Enterprise erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund hergestellt werden kann. Da ArcGIS Enterprise einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des Identity-Providers anmeldet, erstellt die ArcGIS Enterprise-Organisation im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von ArcGIS Enterprise erstellte Benutzername stattdessen Unterstriche enthält.
ArcGIS Enterprise unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.
Benutzerprofil-Zuordnungen
In der folgenden Tabelle ist aufgeführt, welche Werte für SAML-Assertionen welchen Portal-Benutzereigenschaften zugeordnet sind:
ArcGIS-Benutzereigenschaft | Vom IdP definiertes Anspruchsattribut |
---|---|
E-Mail-Adresse | emailaddress urn:oid:0.9.2342.19200300.100.1.3 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Vorname | givenName urn:oid:2.5.4.42 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Nachname | surname urn:oid:2.5.4.4 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Gruppen | Group Groups Role Roles MemberOf member-of http://wso2.com/claims/role http://schemas.xmlsoap.org/claims/Group urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:oid:2.16.840.1.113719.1.1.4.1.25 Hinweis:Für mehrere Gruppenansprüche sollte nur ein einzelner Attributname angegeben werden. |
Konfigurieren des Portals mit einem Identity-Provider für SAML
Sie können das Portal so konfigurieren, dass Benutzer sich mit derselben Benutzername-Kennwort-Kombination anmelden können, die sie bereits für die lokalen Systeme nutzen. Vor der Einrichtung von organisationsspezifischen Anmeldenamen müssen Sie für die Organisation einen Standard-Benutzertyp konfigurieren.
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen der Organisation ein (z. B. City of Redlands).
Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
- Wählen Sie Automatisch oder Auf Einladung eines Administrators aus, um anzugeben, ob Benutzer der Organisation automatisch oder auf Einladung beitreten können.Durch Auswahl der ersten Option können Benutzer sich mit ihrem organisationsspezifischen Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm beim Portal registriert. Nachdem die Konten registriert wurden, können sich die Benutzer bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein SAML-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Zudem sollten Sie die Schaltfläche Konto erstellen auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Anweisungen finden Sie im Abschnitt Bestimmen eines organisationsspezifischen Kontos als Administrator unten.
- Geben Sie die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Dadurch werden die erforderlichen Metadateninformationen zu Ihrem SAML-kompatiblen Identity-Provider bereitgestellt. Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/IdP". Es gibt drei mögliche Quellen für diese Metadateninformationen:
- Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
Hinweis:
Wenn Ihr Identity-Provider ein selbstsigniertes Zertifikat einbezieht, kann ein Fehler auftreten, wenn Sie die HTTPS-URL der Metadaten angeben. Dieser Fehler tritt auf, da ArcGIS Enterprise das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
- Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Angaben ein:
- Anmelde-URL (Umleitung): Geben Sie die URL des Identity-Providers (der HTTP-Umleitungsbindung unterstützt) an, die ArcGIS Enterprise verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Anmelde-URL (POST): Geben Sie die URL des Identity-Providers ein (der HTTP-POST-Bindung unterstützt), die ArcGIS Enterprise verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den Identity-Provider an. Dieses Zertifikat ermöglicht es ArcGIS Enterprise, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Identity-Provider empfängt.
Hinweis:
Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.
- Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
- Registrieren Sie die Service-Provider-Metadaten des Portals bei Ihrem Identity-Provider, um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen. Führen Sie einen der folgenden Schritte aus, um die Metadaten von Ihrem Portal abzurufen:
- Klicken Sie im Abschnitt Sicherheit auf der Registerkarte Einstellungen auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als .xml-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können ein Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Textfeld Webanwendungs-URL ein. Andere Optionen, beispielsweise IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung, werden nicht unterstützt und können dazu führen, dass ein ungültiges Token generiert wird.
Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im GitHub-Repository "ArcGIS/idp".
- Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Verschlüsselte Assertion zulassen: Informieren Sie den Identity-Provider für SAML darüber, dass ArcGIS Enterprise verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antworten. Obwohl der gesamte SAML-Datenverkehr an und von ArcGIS Enterprise durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Mit dieser Option sorgen Sie dafür, dass die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung von ArcGIS Enterprise signiert wird. Durch das Signieren der ersten Anmeldeanforderung, die von ArcGIS Enterprise gesendet wird, kann der Identity-Provider überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen
Tipp:
Aktivieren Sie diese Einstellung, um die Integrität von SAML-Anforderungen sicherzustellen. Diese Option können Sie in den erweiterten Einstellungen jederzeit aktivieren, auch wenn Sie diese bei der Erstkonfiguration Ihres Portals übersprungen haben.
- Abmeldung an Identity-Provider propagieren: In ArcGIS Enterprise muss eine Abmelde-URL verwendet werden, um den Benutzer vom Identity-Provider abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Einstellung Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Einstellung nicht aktiviert ist, wird der Benutzer durch Klicken auf Abmelden in ArcGIS Enterprise von ArcGIS Enterprise, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Webbrowser-Cache nicht gelöscht wird, führt direktes erneutes Anmelden bei ArcGIS Enterprise mit der Option für organisationsspezifische Anmeldenamen zur Anmeldung ohne Angabe der Benutzeranmeldeinformationen für den SAML-Identity-Provider. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit zugänglich ist.
- Profile beim Anmelden aktualisieren: Mit dieser Option werden von ArcGIS Enterprise die Attribute givenName und email address der Benutzer aktualisiert, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig aktiviert.
- SAML-basierte Gruppenmitgliedschaft aktivieren: Geben Sie Portal-Administratoren die Möglichkeit, Gruppen im SAML-Identity-Provider mit im ArcGIS Enterprise-Portal erstellten Gruppen zu verknüpfen. Wenn diese Option aktiviert ist, analysiert ArcGIS Enterprise die Antwort auf die SAML-Assertion, um die Gruppen zu ermitteln, denen ein Mitglied angehört. Sie können dann eine oder mehrere vom Identity-Provider bereitgestellte SAML-Gruppen für Wer kann dieser Gruppe beitreten? festlegen, wenn Sie eine neue Gruppe im Portal erstellen.Diese Funktion ist standardmäßig deaktiviert.
Hinweis:
Wenn Sie eine neue Gruppe im ArcGIS Enterprise-Portal erstellen, muss der eingegebene Gruppenname exakt dem Wert der externen SAML-Gruppe entsprechen, wie dieser im Attributwert der SAML-Assertion zurückgegeben wird. Wenn Sie sich nicht sicher sind, wie der richtige Wert lautet, dann wenden Sie sich an den Administrator, der das SAML-System Ihrer Organisation konfiguriert hat.
- Abmelde-URL: Geben Sie die URL des Identity Providers ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des Identity-Providers festgelegt ist, wird sie automatisch festgelegt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihrer ArcGIS Enterprise-Organisation beim SAML-Identity-Provider eine neue Entitäts-ID verwendet werden soll.
Festlegen eines organisationsspezifischen Kontos als Administrator
Die Vorgehensweise beim Festlegen eines organisationsspezifischen Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation automatisch oder auf Einladung eines Administrators beitreten können.
Wenn Benutzer der Organisation automatisch beitreten können
Wenn Sie die Option Automatisch ausgewählt haben, die Benutzern automatisch den Beitritt zur Organisation gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem organisationsspezifischen Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.
Wenn ein Konto erstmals dem Portal automatisch hinzugefügt wird, wird ihm die für neue Mitglieder konfigurierte Standardrolle zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein organisationsspezifisches Konto zuweisen.
- Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des SAML-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
- Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
- Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von ArcGIS Enterprise erstellt haben.
- Suchen Sie das SAML-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.
Das ausgewählte SAML-Konto ist nun ein Administrator des Portals.
Manuelles Hinzufügen organisationsspezifischer Konten zum Portal
Wenn Sie die Option Auf Einladung eines Administrators ausgewählt haben, damit Benutzer der Organisation nur auf Einladung beitreten können, müssen Sie die erforderlichen Konten mit einem Befehlszeilendienstprogramm bei der Organisation registrieren. Wählen Sie die Rolle Administrator für ein SAML-Konto aus, das zum Verwalten des Portals verwendet wird.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto eine andere Rolle zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.
Verhindern, dass Benutzer sich mit einem ArcGIS-Konto anmelden
Wenn Sie verhindern möchten, dass Benutzer sich mit einem ArcGIS-Konto beim Portal anmelden, deaktivieren Sie die Umschaltfläche ArcGIS-Anmeldung auf der Anmeldeseite.
- Melden Sie sich als Administrator der Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Deaktivieren Sie im Abschnitt Anmeldungen die Umschaltfläche ArcGIS-Anmeldung.
Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche ArcGIS-Anmeldung ist nicht mehr verfügbar. Wenn Sie Mitglieder-Anmeldenamen für ArcGIS-Konten wieder aktivieren möchten, aktivieren Sie die Umschaltfläche ArcGIS-Anmeldung im Abschnitt Anmeldungen.
Ändern oder Entfernen des SAML-IdP
Wenn Sie einen SAML-IdP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten SAML-IdP auf die Schaltfläche Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster SAML-Anmeldung bearbeiten.
Um den aktuell registrierten IdP zu entfernen, klicken Sie neben dem IdP auf die Schaltfläche Bearbeiten und dann im Fenster SAML-Anmeldung bearbeiten auf Anmeldung löschen. Nachdem Sie einen IdP entfernt haben, können Sie optional einen neuen IdP oder einen Verbund aus IdPs einrichten.
Best Practices für die SAML-Sicherheit
Wenn Sie SAML-Anmeldungen aktivieren möchten, können Sie ArcGIS Enterprise als SP für Ihren SAML-IdP konfigurieren. Berücksichtigen Sie die im Folgenden beschriebenen Best Practices für eine umfassende Sicherheitsstrategie.
Digitales Signieren von SAML-Anmelde- und -Abmeldeanforderungen und Signieren von Antworten auf SAML-Assertionen
Anhand von Signaturen wird die Integrität von SAML-Nachrichten sichergestellt, wodurch sie einen Schutz vor Man-in-the-Middle-(MITM-)Angriffen darstellen. Durch die digitale Signierung der SAML-Anforderung wird ebenfalls sichergestellt, dass die Anforderung von einem vertrauenswürdigen SP stammt. Auf diese Weise können Denial-of-Service-Angriffe (DOS-Angriffe) besser vom IdP abgewehrt werden. Aktivieren Sie bei der Konfiguration von SAML-Anmeldungen die Option Signierte Anforderung aktivieren.
Hinweis:
Sind signierte Anforderungen aktiviert, muss der SP aktualisiert werden, sobald das Signaturzertifikat des IdP erneuert oder ersetzt wird.
Konfigurieren Sie den SAML-IdP so, dass die SAML-Antwort signiert wird, damit bei der Übertragung keine Änderungen an der Antwort auf die SAML-Assertion vorgenommen werden können.
Hinweis:
Sind signierte Anforderungen aktiviert, muss der SP (ArcGIS Enterprise) aktualisiert werden, sobald das Signaturzertifikat des IdP erneuert oder ersetzt wird.
Verwenden des HTTPS-Endpunktes des IdP
Alle Arten von Kommunikation, die unverschlüsselt zwischen dem SP, dem IdP und dem Browser des Benutzers über ein internes Netzwerk oder das Internet gesendet werden, können von einem böswilligen Benutzer abgefangen werden. Wenn Ihr SAML-IdP die Nutzung von HTTPS unterstützt, empfiehlt sich die Verwendung des HTTPS-Endpunktes, um die Vertraulichkeit der Daten sicherzustellen, die bei SAML-Anmeldungen übermittelt werden.
Verschlüsseln von Antworten auf SAML-Assertionen
Durch die Verwendung von HTTPS für die SAML-Kommunikation wird sichergestellt, dass SAML-Nachrichten sicher zwischen dem IdP und SP gesendet werden. Angemeldete Benutzer können jedoch weiterhin die SAML-Nachrichten über den Webbrowser decodieren und anzeigen. Indem Sie die Verschlüsselung von Antworten auf Assertionen aktivieren, verhindern Sie, dass die zwischen IdP und SP kommunizierten vertraulichen Informationen und sensiblen Daten angezeigt werden können.
Hinweis:
Sind verschlüsselte Assertionen aktiviert, muss der IdP aktualisiert werden, sobald das Verschlüsselungszertifikat des SP (ArcGIS Enterprise) erneuert oder ersetzt wird.
Sicheres Verwalten der Signatur- und Verschlüsselungszertifikate
Verwenden Sie für die digitale Signatur bzw. Verschlüsselung von SAML-Nachrichten sichere kryptografische Schlüssel und erneuern bzw. ersetzen Sie die Zertifikate in einem Abstand von drei bis fünf Jahren.