Okta można skonfigurować jako dostawcę tożsamości (IDP) dla loginów korporacyjnych w witrynie Portal for ArcGIS. Proces konfiguracji obejmuje dwa główne etapy: rejestrację korporacyjnego dostawcy tożsamości (IDP) w witrynie Portal for ArcGIS i rejestrację witryny Portal for ArcGIS dla korporacyjnego dostawcy tożsamości.
Wymagane informacje
W przypadku logowania użytkownika z wykorzystaniem loginu korporacyjnego witryna Portal for ArcGIS wymaga uzyskania określonych atrybutów od dostawcy tożsamości (IDP). Atrybut NameID jest obowiązkowy i musi zostać przesłany przez dostawcę tożsamości w odpowiedzi protokołu SAML, aby integracja z witryną Portal for ArcGIS przebiegła pomyślnie. Ponieważ usługa Portal for ArcGIS używa wartości NameID w celu jednoznacznego zidentyfikowania nazwanego użytkownika, zalecane jest używanie stałej wartości identyfikującej użytkownika w sposób unikalny. Podczas logowania użytkownika z IDP witryna Portal for ArcGIS utworzy nowego użytkownika o nazwie NameID w swoim magazynie użytkowników. Znaki dozwolone, z których może składać się wartość wysyłana przez atrybut NameID, to znaki alfanumeryczne, _ (podkreślenie), . (kropka) i @ (małpa). W nazwach użytkowników utworzonych przez witrynę Portal for ArcGIS wszystkie inne znaki zostaną zastąpione znakiem podkreślenia.
Witryna Portal for ArcGIS obsługuje przepływ atrybutów givenName i email address loginu korporacyjnego od korporacyjnego dostawcy tożsamości. Gdy użytkownik loguje się za pomocą loginu korporacyjnego, a witryna Portal for ArcGIS otrzymuje atrybuty o nazwach givenname i email lub mail (wielkość liter nie ma znaczenia), witryna Portal for ArcGIS wypełnia imię i nazwisko oraz adres e-mail powiązane z kontem użytkownika wartościami otrzymanymi od dostawcy tożsamości. Zalecane jest przekazanie atrybutu email address od korporacyjnego dostawcy tożsamości, aby umożliwić użytkownikowi otrzymywanie powiadomień.
Zarejestruj Okta jako korporacyjnego dostawcę tożsamości (IDP) w witrynie Portal for ArcGIS
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Edytuj ustawienia > Zabezpieczenia.
- W sekcji Loginy korporacyjne wybierz opcję Jeden dostawca tożsamości, kliknij przycisk Konfiguracja loginu korporacyjnego i wprowadź nazwę instytucji w wyświetlonym oknie (na przykład Miasto Redlands). Gdy użytkownik uzyskuje dostęp do witryny portalu, nazwa instytucji jest wyświetlana jako jedna z opcji logowania za pomocą protokołu SAML (na przykład Konto City of Redlands).
Notatka:
Dla portalu można zarejestrować tylko jednego korporacyjnego dostawcę tożsamości.
- Zdecyduj, czy użytkownicy będą mogli przystępować do instytucji automatycznie czy po dodaniu ich kont do portalu. Wybór pierwszej opcji pozwala użytkownikowi logować się do instytucji z wykorzystaniem loginu korporacyjnego, bez konieczności jakiejkolwiek ingerencji ze strony administratora. Ich konta zostają zarejestrowane w instytucji automatycznie podczas pierwszego logowania. Druga opcja wiąże się z koniecznością zarejestrowania przez administratora odpowiedniego konta instytucji za pomocą narzędzia wiersza poleceń albo przykładu skryptu języka Python. Po zarejestrowaniu kont użytkownicy będą mogli zalogować się w instytucji.
Wskazówka:
Zaleca się, aby przynajmniej jedno konto firmowe wyznaczyć na konto administratora portalu oraz zmienić atrybuty początkowego konta administratora na niższe lub je usunąć. Zaleca się również wyłączenie przycisku Utwórz konto oraz strony logowania (signup.html) w witrynie internetowej portalu, aby użytkownicy nie mogli tworzyć własnych kont. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
- Podaj metadane dostawcy tożsamości, korzystając z jednej z poniższych opcji:
- Plik — pobierz lub uzyskaj kopię pliku metadanych integracji Okta i prześlij plik do witryny Portal for ArcGIS, korzystając z opcji Plik.
Notatka:
Jeśli rejestrujesz dostawcę usług w Okta po raz pierwszy, musisz uzyskać plik metadanych po zarejestrowaniu witryny Portal for ArcGIS w usłudze Okta. - Parametry — wybierz tę opcję, jeśli adres URL lub plik metadanych integracji jest niedostępny. Wprowadź wartości ręcznie i podaj żądane parametry: adres URL logowania i certyfikat, zakodowane w formacie BASE 64. Aby uzyskać te dane, skontaktuj się z administratorem usługi Okta.
- Plik — pobierz lub uzyskaj kopię pliku metadanych integracji Okta i prześlij plik do witryny Portal for ArcGIS, korzystając z opcji Plik.
- Konfiguracja ustawień zaawansowanych (jeśli dotyczy):
- Szyfruj potwierdzenie — zaznacz tę opcję, aby szyfrować odpowiedzi na potwierdzenia SAML usługi Okta.
- Włącz żądanie podpisu — zaznacz tę opcję, aby witryna Portal for ArcGIS podpisywała żądanie uwierzytelnienia SAML wysyłane do usługi Okta.
- Prześlij informację o wylogowaniu do dostawcy tożsamości — wybierz tę opcję, aby witryna Portal for ArcGIS używała adresu URL wylogowania w celu wylogowania użytkownika z usługi Okta. Wprowadź adres URL do używania w ustawieniu Adresu URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, opcja Włącz żądanie podpisu musi być zaznaczona.
- Aktualizuj profile podczas logowania — wybierz tę opcję, aby oprogramowanie Portal for ArcGIS aktualizowało atrybuty givenName i email address użytkownika, jeśli ulegną one zmianie od ostatniego zalogowania.
- Włącz przynależność do grup na podstawie protokołu SAML — wybierz tę opcję, aby umożliwić członkom instytucji łączenie określonych grup firmy korzystających z protokołu SAML z grupami w oprogramowaniu Portal for ArcGIS podczas tworzenia grup.
- Adres URL wylogowania — adres URL dostawcy tożsamości używany do wylogowania bieżącego użytkownika.
- Identyfikator jednostki — zaktualizuj tę wartość, aby używać nowego identyfikatora jednostki do jednoznacznej identyfikacji swojego portalu w usłudze Okta.
Ustawienia Szyfruj potwierdzenie i Aktywuj żądanie podpisania korzystają z certyfikatu samlcert w magazynie kluczy portalu. Aby użyć nowego certyfikatu, usuń certyfikat samlcert, utwórz nowy certyfikat z tym samym aliasem (samlcert) zgodnie z instrukcją Importuj certyfikat do portalu i ponownie uruchom portal.
- Po zakończeniu kliknij przycisk Aktualizuj dostawcę tożsamości.
- Kliknij przycisk Uzyskaj dostawcę tożsamości, aby pobrać plik metadanych portalu. Informacje znajdujące się w tym pliku zostaną użyte w celu zarejestrowania portalu jako zaufanego dostawcy usług w Okta.
Zarejestruj witrynę Portal for ArcGIS jako zaufanego dostawcę usług w Okta
- Zaloguj się do instytucji Okta jako użytkownik z uprawnieniami administracyjnymi.
- Na karcie Aplikacje kliknij przycisk Dodaj aplikację.
- Kliknij przycisk Utwórz nową aplikację i wybierz opcję SAML 2.0. Kliknij przycisk Utwórz.
- W obszarze Ustawienia ogólne wprowadź wartość w polu Nazwa aplikacji na potrzeby wdrożenia portalu i kliknij przycisk Dalej.
- Na karcie Configure SAML (Konfiguracja protokołu SAML) wykonaj następujące czynności:
- Wprowadź wartość w polu Single sign on URL (Adres URL jednokrotnego logowania), na przykład https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Tę wartość można skopiować z pliku metadanych dostawcy usług pobranego z portalu.
- Wprowadź wartość w polu Audience URI (Identyfikator URI odbiorców). Wartość domyślna to portalhostname.domain.com.portalcontext. Tę wartość można skopiować z pliku metadanych dostawcy usług pobranego z portalu.
- Pozostaw w opcji Name ID format (Format ID nazwy) ustawienie Unspecified (Nieokreślone).
- W sekcji Advanced Settings (Ustawienia zaawansowane) zmień ustawienie opcji Assertion Signature (Sygnatura potwierdzenia) na Unsigned (Niepodpisane).
- W sekcji Attribute Statements (Instrukcje atrybutów) dodaj następujące instrukcje atrybutów:
Ustaw givenName na user.firstName + " " + user.lastName
Ustaw email na user.email
- Kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ.
- Zostanie wyświetlona sekcja logowania nowo utworzonej aplikacji SAML. Aby uzyskać metadane IDP usługi Okta, kliknij kartę Sign On (Logowanie) i kliknij łącze Identity Provider metadata (Metadane dostawcy tożsamości).
- Kliknij prawym przyciskiem myszy kartę People (Osoby) i skonfiguruj uwierzytelnionych użytkowników usługi Okta, którzy będą mieli dostęp do portalu.