Oprogramowanie OpenAM 10.1.0 i jego nowsze wersje można skonfigurować jako dostawcę tożsamości (IDP) umożliwiającego korzystanie z loginów korporacyjnych w witrynie Portal for ArcGIS. Proces konfiguracji obejmuje dwa główne etapy: rejestrację korporacyjnego dostawcy tożsamości (IDP) w witrynie Portal for ArcGIS i rejestrację witryny Portal for ArcGIS dla korporacyjnego dostawcy tożsamości.
Wymagane informacje
W przypadku logowania użytkownika z wykorzystaniem loginu korporacyjnego witryna Portal for ArcGIS wymaga uzyskania określonych atrybutów od dostawcy tożsamości (IDP). Atrybut NameID jest obowiązkowy i musi zostać przesłany przez dostawcę tożsamości w odpowiedzi protokołu SAML, aby integracja z witryną Portal for ArcGIS przebiegła pomyślnie. Ponieważ usługa Portal for ArcGIS używa wartości NameID w celu jednoznacznego zidentyfikowania nazwanego użytkownika, zalecane jest używanie stałej wartości identyfikującej użytkownika w sposób unikalny. Podczas logowania użytkownika z IDP witryna Portal for ArcGIS utworzy nowego użytkownika o nazwie NameID w swoim magazynie użytkowników. Znaki dozwolone, z których może składać się wartość wysyłana przez atrybut NameID, to znaki alfanumeryczne, _ (podkreślenie), . (kropka) i @ (małpa). W nazwach użytkowników utworzonych przez witrynę Portal for ArcGIS wszystkie inne znaki zostaną zastąpione znakiem podkreślenia.
Witryna Portal for ArcGIS obsługuje przepływ atrybutów givenName i email address loginu korporacyjnego od korporacyjnego dostawcy tożsamości. Gdy użytkownik loguje się za pomocą loginu korporacyjnego, a witryna Portal for ArcGIS otrzymuje atrybuty o nazwach givenname i email lub mail (wielkość liter nie ma znaczenia), witryna Portal for ArcGIS wypełnia imię i nazwisko oraz adres e-mail powiązane z kontem użytkownika wartościami otrzymanymi od dostawcy tożsamości. Zalecane jest przekazanie atrybutu email address od korporacyjnego dostawcy tożsamości, aby umożliwić użytkownikowi otrzymywanie powiadomień.
Zarejestruj oprogramowanie OpenAM jako korporacyjnego dostawcę tożsamości (IDP) w witrynie Portal for ArcGIS
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Edytuj ustawienia > Zabezpieczenia.
- W sekcji Loginy korporacyjne wybierz opcję Jeden dostawca tożsamości, kliknij przycisk Konfiguracja loginu korporacyjnego i wprowadź nazwę instytucji w wyświetlonym oknie (na przykład Miasto Redlands). Gdy użytkownik uzyskuje dostęp do witryny portalu, nazwa instytucji jest wyświetlana jako jedna z opcji logowania za pomocą protokołu SAML (na przykład Konto City of Redlands).
Notatka:
Dla portalu można zarejestrować tylko jednego korporacyjnego dostawcę tożsamości.
- Zdecyduj, czy użytkownicy będą mogli przystępować do instytucji automatycznie czy po dodaniu ich kont do portalu. Wybór pierwszej opcji pozwala użytkownikowi logować się do instytucji z wykorzystaniem loginu korporacyjnego, bez konieczności jakiejkolwiek ingerencji ze strony administratora. Ich konta zostają zarejestrowane w instytucji automatycznie podczas pierwszego logowania. Druga opcja wiąże się z koniecznością zarejestrowania przez administratora odpowiedniego konta instytucji za pomocą narzędzia wiersza poleceń albo przykładu skryptu języka Python. Po zarejestrowaniu kont użytkownicy będą mogli zalogować się w instytucji.
Wskazówka:
Zaleca się, aby przynajmniej jedno konto firmowe wyznaczyć na konto administratora portalu oraz zmienić atrybuty początkowego konta administratora na niższe lub je usunąć. Zaleca się również wyłączenie przycisku Utwórz konto oraz strony logowania (signup.html) w witrynie internetowej portalu, aby użytkownicy nie mogli tworzyć własnych kont. Szczegółowe instrukcje można znaleźć w temacie Konfiguracja dostawców tożsamości zgodnych z protokołem SAML dla portalu.
- Podaj metadane dostawcy tożsamości, korzystając z jednej z trzech poniższych opcji:
- URL — wybierz tę opcję, jeśli adres URL metadanych integracji OpenAM jest dostępny dla witryny Portal for ArcGIS. Adres ten to zazwyczaj http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Notatka:
Jeżeli korporacyjny dostawca tożsamości korzysta z certyfikatu z podpisem własnym, podczas podawania adresu URL protokołu HTTPS metadanych może wystąpić błąd. Przyczyną tego błędu jest fakt, że witryna Portal for ArcGIS nie może zweryfikować certyfikatu z podpisem własnym dostawcy tożsamości. Alternatywnie można użyć protokołu HTTP w adresie URL, skorzystać z jednej z innych opcji opisanych poniżej lub dla dostawcy tożsamości skonfigurować zaufany certyfikat.
- Plik — jeżeli adres URL nie jest dostępny w witrynie Portal for ArcGIS, zapisz metadane z powyższego adresu URL jako plik XML i prześlij ten plik.
- Parametry — wybierz tę opcję, jeśli adres URL lub plik metadanych integracji jest niedostępny. Wprowadź wartości ręcznie i podaj żądane parametry: adres URL logowania i certyfikat, zakodowane w formacie BASE 64. Aby uzyskać te dane, skontaktuj się z administratorem OpenAM.
- URL — wybierz tę opcję, jeśli adres URL metadanych integracji OpenAM jest dostępny dla witryny Portal for ArcGIS. Adres ten to zazwyczaj http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Konfiguracja ustawień zaawansowanych (jeśli dotyczy):
- Szyfruj potwierdzenie — zaznacz tę opcję, jeśli oprogramowanie OpenAM zostanie skonfigurowane do szyfrowania odpowiedzi SAML na potwierdzenia.
- Aktywuj żądanie podpisania — zaznacz tę opcję, aby witryna Portal for ArcGIS podpisywała żądanie uwierzytelnienia SAML wysyłane do oprogramowania OpenAM.
- Identyfikator jednostki — zaktualizuj tę wartość, aby używać nowego identyfikatora jednostki do jednoznacznej identyfikacji swojego portalu w oprogramowaniu OpenAM.
- Aktualizuj profile podczas logowania — wybierz tę opcję, aby oprogramowanie Portal for ArcGIS aktualizowało atrybuty givenName i email address użytkownika, jeśli ulegną one zmianie od ostatniego zalogowania.
- Włącz przynależność do grup na podstawie protokołu SAML — wybierz tę opcję, aby umożliwić członkom instytucji łączenie określonych grup firmy korzystających z protokołu SAML z grupami w oprogramowaniu Portal for ArcGIS podczas tworzenia grup.
Ustawienia Szyfruj potwierdzenie i Aktywuj żądanie podpisania korzystają z certyfikatu samlcert w magazynie kluczy portalu. Aby użyć nowego certyfikatu, usuń certyfikat samlcert, utwórz nowy certyfikat z tym samym aliasem (samlcert) zgodnie z instrukcją Importuj certyfikat do portalu i ponownie uruchom portal.
Notatka:
Obecnie opcje Prześlij wylogowanie do dostawcy tożsamości i Adres URL wylogowania nie są obsługiwane.
Zarejestruj witrynę Portal for ArcGIS jako zaufanego usługodawcę w OpenAM
- Skonfiguruj hostowanego dostawcę tożsamości (IDP) w oprogramowaniu OpenAM.
- Zaloguj się do konsoli administracyjnej oprogramowania OpenAM. Jest ona zwykle dostępna pod adresem http://servername:port/<deploy_uri>/console.
- Z poziomu karty Typowe zadania kliknij opcję Utwórz hostowanego dostawcę tożsamości.
- Utwórz hostowanego dostawcę tożsamości (IDP) i dodaj go do Kręgu zaufanych. Jeżeli masz już krąg zaufanych, możesz dodać go do tego kręgu. Możesz także utworzyć nowy krąg.
- Zgodnie z ustawieniem domyślnym hostowany dostawca tożsamości (IDP) współpracuje z OpenDJ, wbudowanym magazynem użytkownika, udostępnianym z oprogramowaniem OpenAM. Jeżeli chcesz połączyć OpenAM z innymi magazynami użytkownika, takimi jak Active Directory, musisz utworzyć nowe źródło danych z poziomu karty Kontrola dostępu głównej konsoli administracyjnej OpenAM.
- Skonfiguruj witrynę Portal for ArcGIS Online jako zaufanego dostawcę usługi w oprogramowaniu OpenAM.
- Uzyskaj plik metadanych swojej instytucji w portalu i zapisz go jako plik XML.
Aby uzyskać plik metadanych, zaloguj się jako administrator swojej instytucji i otwórz stronę instytucji. Kliknij przycisk Edytuj ustawienia, kliknij kartę Bezpieczeństwo, a następnie w sekcji Loginy korporacyjne kliknij przycisk Uzyskaj dostawcę tożsamości.
- W ramach konsoli administracyjnej OpenAM z poziomu karty Typowe zadania kliknij opcję Rejestruj zdalnego dostawcę usługi.
- Wybierz opcję Plik dla metadanych i prześlij plik XML z metadanymi, który zapisano w poprzednim etapie.
- Dodaj tego dostawcę usługi do tego samego kręgu zaufanych, do którego został dodany Twój dostawca tożsamości (IDP).
- Uzyskaj plik metadanych swojej instytucji w portalu i zapisz go jako plik XML.
- Skonfiguruj NameIDformat i atrybuty, które oprogramowanie OpenAM przesyła do witryny Portal for ArcGIS po uwierzytelnieniu użytkownika.
- Z poziomu konsoli administracyjnej oprogramowania OpenAM kliknij kartę Integracja. Karta obejmuje uprzednio dodany krąg zaufanych, a także dostawców usługi i dostawców tożsamości (IDP).
- Z poziomu opcji Dostawcy jednostki kliknij dostawcę tożsamości (IDP).
- Z poziomu karty Treść potwierdzenia w sekcji Format ID nazwy sprawdź, czy urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified znajduje się u góry listy. Jest to format NameID, którego witryna Portal for ArcGIS będzie wymagać w żądaniu SAML przesyłanym do oprogramowania OpenAM.
- W sekcji Name ID Value Map przypisz atrybut z profilu użytkownika, taki jak mail lub upn, który zostanie zwrócony jako parametr NameID do witryny Portal for ArcGIS po uwierzytelnieniu użytkownika.
Przykład: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Kliknij kartę Przetwarzanie potwierdzenia w dostawcy tożsamości (IDP). Z poziomu opcji Maper atrybutów skonfiguruj atrybuty z profilu użytkownika, które chcesz przesłać do witryny Portal for ArcGIS.
Witryna Portal for ArcGIS obsługuje przepływ atrybutów givenName i email address loginu korporacyjnego od korporacyjnego dostawcy tożsamości. Gdy użytkownik loguje się za pomocą loginu korporacyjnego, a witryna Portal for ArcGIS otrzymuje atrybuty o nazwach givenname i email lub mail (wielkość liter nie ma znaczenia), witryna Portal for ArcGIS wypełnia imię i nazwisko oraz adres e-mail powiązane z kontem użytkownika wartościami otrzymanymi od dostawcy tożsamości.
Zalecane jest przekazanie adresu e-mail otrzymanego od korporacyjnego dostawcy tożsamości do witryny Portal for ArcGIS. Jest to pomocne, gdy w późniejszym czasie użytkownik zostaje administratorem. Powiązanie konta z adresem e-mail umożliwia użytkownikowi otrzymywanie powiadomień dotyczących aktywności administracyjnej, a także wysyłanie do innych użytkowników zaproszeń do dołączenia do instytucji.
Kliknij przycisk Zapisz, aby zapisać zmiany formatu i treści atrybutu NameID.
- Na karcie Integracja konsoli administracyjnej oprogramowania OpenAM odszukaj dostawcę usług Portal for ArcGIS w sekcji Dostawcy jednostki.
- Na karcie Treść potwierdzenia w sekcji Szyfrowanie wybierz opcję Potwierdzenie, jeśli wybrane zostało ustawienie zaawansowane Szyfrowanie potwierdzenia podczas rejestrowania oprogramowania OpenAM jako korporacyjnego dostawcy tożsamości (IDP) w witrynie Portal for ArcGIS.
- Przy opcji Format ID nazwy sprawdź, czy urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified znajduje się na górze listy. Jest to format NameID, którego witryna Portal for ArcGIS będzie wymagać w żądaniu SAML przesyłanym do oprogramowania OpenAM..
- Kliknij kartę Przetwarzanie potwierdzenia w dostawcy tożsamości (IDP). Z poziomu opcji Maper atrybutów skonfiguruj atrybuty z profilu użytkownika, które chcesz przesłać do witryny Portal for ArcGIS.
- Kliknij przycisk Zapisz, aby zapisać format ID nazwy i treści atrybutu.
- Uruchom ponownie serwer internetowy, w ramach którego jest udostępnione oprogramowanie OpenAM.