Skip To Content

Konfiguracja federacji dostawców tożsamości z portalem

Instytucja może używać protokołu Security Assertion Markup Language (SAML) do uwierzytelniania użytkowników komputerów i autoryzowania dostępu do zasobów internetowych. Aby to umożliwić, jeden oparty na protokole SAML dostawca tożsamości zostaje skonfigurowany do obsługi uwierzytelniania użytkowników. Zasoby internetowe instytucji są hostowane przez jednego lub wielu dostawców usług, którzy obsługują uwierzytelnianie dostępu do tych zasobów internetowych. Instytucja w pełni kontroluje funkcje zarządzania swoimi dostawcami tożsamości i dostawcami usług. Aby umożliwić obsługę opartego na protokole SAML uwierzytelniania i autoryzacji, wszyscy dostawcy usług instytucji muszą być zarejestrowani do pracy z ich dostawcami tożsamości. Każdy dostawca usług może być zarejestrowany tylko u jednego dostawcy tożsamości.

Protokołu SAML można także używać do udostępniania zasobów między wieloma niezależnie zarządzanymi instytucjami. Jest to możliwe dzięki jednostkom zarządzania federacją, które zapewniają oparte na protokole SAML udostępnianie zasobów między instytucjami członkowskim. Instytucja członkowska, która chce udostępniać swoje zasoby internetowe za pośrednictwem federacji, rezerwuje jednego lub większą liczbę dostawców usług do pracy wyłącznie w ramach federacji. Aby uzyskać dostęp do zabezpieczonego zasobu udostępnionego w ramach federacji, użytkownik uwierzytelnia swoją tożsamość przy użyciu dostawcy tożsamości instytucji macierzystej. Po pomyślnym uwierzytelnieniu, ta zweryfikowana tożsamość jest przedstawiana dostawcy usług hostującemu zabezpieczony zasób. Następnie dostawca usług nadaje dostęp do zasobu po zweryfikowaniu uprawnień dostępu użytkownika.

W wersji 10.6.1 portal ArcGIS Enterprise można skonfigurować przy użyciu opartej na protokole SAML federacji dostawców tożsamości. Portal uzyskuje dostęp do hostowanej przez federację usługi wykrywania, która zapewnia listę dostawców tożsamości oraz dostawców usług uczestniczących w federacji.

Niektóre popularne oparte na protokole SAML federacje dostawców tożsamości to InCommon, eduGAIN, SWITCHaai, DFN-AAI oraz UK Access Management Federation.

Konfigurowanie federacji w portalu

Aby skonfigurować opartą na protokole SAML federację dostawców tożsamości z portalem, wykonaj następujące czynności.

  1. Zaloguj się do witryny portalu jako administrator i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
  2. W sekcji Loginy korporacyjne wybierz opcję Federacja dostawców tożsamości, kliknij przycisk Skonfiguruj login korporacyjny i wprowadź opis federacji w wyświetlonym oknie. Opis jest wyświetlany użytkownikom, którzy uzyskują dostęp do witryny portalu przy użyciu opcji logowania SAML.
  3. Wybierz sposób, w jaki użytkownicy mogą dołączyć do instytucji portalu:
    • Automatycznie — umożliwia użytkownikom logowanie się w instytucji za pomocą loginów korporacyjnych bez potrzeby uzyskania uprawnienia od administratora, ponieważ ich konta zostają zarejestrowane w portalu automatycznie podczas pierwszego logowania.
    • Na zaproszenie administratora — wymaga zarejestrowania przez administratora portalu wymaganych kont w instytucji za pomocą narzędzia wiersza poleceń albo skryptu języka Python.
    Notatka:

    Firma Esri zaleca wyznaczenie co najmniej jednego konta korporacyjnego jako administratora portalu oraz wyłączenie przycisku Utwórz konto i strony rejestracji (signup.html) w witrynie portalu, dzięki czemu użytkownicy nie będą mogli tworzyć własnych kont. Aby uzyskać więcej informacji, należy zapoznać się z poniższą sekcją Nadawanie uprawnień administracyjnych dla konta korporacyjnego.

  4. Podaj adres URL scentralizowanej usługi wykrywania dostawcy tożsamości hostowanej przez federację, na przykład: https://wayf.samplefederation.com/WAYF.
  5. Podaj adres URL metadanych federacji, czyli agregowanych metadanych wszystkich dostawców tożsamości i dostawców usług uczestniczących w federacji.
  6. Skopiuj i wklej certyfikat zakodowany w formacie Base64, który umożliwia portalowi zweryfikowanie poprawności metadanych federacji.
  7. Skonfiguruj odpowiednio ustawienia zaawansowane:
    1. Szyfruj potwierdzenie — wybierz tę opcję, aby wskazać dostawcy tożsamości używającemu protokołu SAML, że portal obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Po wybraniu tej opcji dostawca tożsamości szyfruje sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z portalu jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
    2. Włącz żądanie podpisu — wybierz tę opcję, aby portal podpisywał żądanie uwierzytelniania SAML wysyłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez portal umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
    3. Prześlij wylogowanie do dostawcy tożsamości — wybierz tę opcję, aby portal używał adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. W przypadku wybrania tej opcji wprowadź adres URL do używania w ustawieniu Adresu URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, opcja Włącz żądanie podpisu także musi być zaznaczona. Gdy ta opcja nie jest wybrana, kliknięcie opcji Wyloguj się w witrynie portalu spowoduje wylogowanie użytkownika z portalu, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, kolejna próba ponownego zalogowania się do portalu przy użyciu loginu korporacyjnego spowoduje natychmiastowe zalogowanie bez konieczności podawania poświadczeń dostawcy tożsamości. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer łatwo dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
    4. Aktualizuj profile podczas logowania — wybierz tę opcję, aby portal aktualizował atrybut givenName i atrybut adresu e-mail użytkownika, jeśli ulegną one zmianie od ostatniego zalogowania. Ta opcja jest wybrana domyślnie.
    5. Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji w federacji SAML.

Rejestracja portalu przy użyciu tej samej federacji SAML, w której zarejestrowany jest zaufany dostawca usług

Aby ukończyć proces konfiguracji, należy ustanowić relację zaufania z usługą wykrywania federacji i dostawcą tożsamości instytucji przez zarejestrowanie metadanych dostawcy usługi portalu u dostawcy. Istnieją dwa sposoby uzyskania tych metadanych:

  • W sekcji Bezpieczeństwo strony Edytuj ustawienia instytucji kliknij przycisk Uzyskaj dostawcę tożsamości. Spowoduje to wyświetlenie metadanych instytucji, które można zapisać jako plik XML na komputerze.
  • Otwórz adres URL metadanych i zapisz jako plik XML na komputerze. Adres URL ma format: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, na przykład, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Możesz wygenerować token, korzystając z adresu https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Wprowadzając adres URL na stronie Generowanie tokena, należy podać w polu Webapp URL w pełni kwalifikowaną nazwę domeny serwera dostawcy tożsamości. Wybór jakiejkolwiek innej opcji, na przykład Adres IP lub Adres IP źródła żądania, jest nieobsługiwany i może spowodować wygenerowanie nieprawidłowego tokena.

Po pobraniu metadanych dostawcy usług skontaktuj się z administratorami federacji SAML w celu uzyskania instrukcji dotyczących sposobu integracji metadanych z plikiem zagregowanych metadanych federacji. Konieczne jest także uzyskanie instrukcji dotyczących rejestrowania dostawcy tożsamości w federacji.

Nadawanie uprawnień administracyjnych dla konta korporacyjnego

Sposób nadawania uprawnień administratora portalu dla konta korporacyjnego zależy od tego, czy użytkownicy będą mogli dołączyć do instytucji Automatycznie czy Po dodaniu kont do portalu.

Automatyczne dołączanie do instytucji

Jeśli wybrano opcję umożliwiającą użytkownikom dołączanie do instytucji Automatycznie, należy zalogować się do konta korporacyjnego, które ma być używane jako konto administratora portalu, a następnie otworzyć stronę główną witryny portalu.

Gdy konto zostaje po raz pierwszy automatycznie dodane do portalu, przypisywana jest do niego rola użytkownika. Tylko administrator instytucji może zmienić rolę przypisaną do konta. Dlatego też należy zalogować się do portalu za pomocą Początkowego konta administratora i przypisać konto korporacyjne do roli administratora.

  1. Otwórz witrynę portalu, kliknij opcję logowania przy użyciu dostawcy tożsamości SAML i podaj poświadczenia konta korporacyjnego, którego chcesz używać jako administrator. Jeśli to konto należy do kogoś innego, użytkownik ten powinien zalogować się na portal, aby konto tej osoby zostało zarejestrowane w portalu.
  2. Sprawdź, czy konto zostało dodane do portalu i kliknij Wyloguj się. Wyczyść pamięć podręczną i pliki cookie w przeglądarce.
  3. Na poziomie przeglądarki otwórz witrynę portalu, kliknij opcję logowania przy użyciu wbudowanego konta portalowego i wprowadź poświadczenia początkowego konta administratora, które zostało utworzone podczas konfiguracji Portal for ArcGIS.
  4. Odszukaj konto korporacyjne, które będzie stosowane do zarządzania portalem i zmień rolę na Administrator. Kliknij Wyloguj się.

Wybrane konto korporacyjne ma teraz funkcję administratora portalu.

Ręczne dodawanie kont korporacyjnych do portalu

Jeżeli wybrano opcję pozwalającą użytkownikom na dołączanie do instytucji Po dodaniu kont do portalu, należy zarejestrować odpowiednie konta w instytucji, używając narzędzia wiersza poleceń lub przykładowego skryptu w języku Python. Upewnij się, że dla konta korporacyjnego, które ma być używane do zarządzania portalem, wybrano rolę Administrator.

Obniżanie uprawnień lub usuwanie konta administratora początkowego

Masz już kolejne konto administratora, dlatego możesz przypisać rolę użytkownika do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.

Uniemożliwianie użytkownikom tworzenia własnych kont

Po zabezpieczeniu dostępu do portalu zaleca się wyłączyć przycisk Utwórz konto oraz stronę rejestracji (signup.html) w witrynie portalu, aby użytkownicy nie mogli tworzyć własnych kont. Oznacza to, że wszyscy członkowie będą logować się w portalu za pomocą kont i poświadczeń korporacyjnych, a tworzenie zbędnych wbudowanych kont członków nie będzie możliwe. Aby uzyskać dokładne instrukcje, zapoznaj się z tematem Wyłączanie możliwości tworzenia wbudowanych kont portalu przez użytkowników.

Wyłączanie logowania na kontach ArcGIS

Aby uniemożliwić użytkownikom logowanie do portalu przy użyciu konta ArcGIS, można wyłączyć przycisk Przy użyciu swojego konta ArcGIS na stronie logowania, wykonując następujące czynności.

  1. Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Edytuj ustawienia > Zabezpieczenia.
  2. W sekcji Opcje logowania zaznacz przycisk radiowy dla opcji Tylko konto ich IDP SAML, gdzie IDP (dostawca tożsamości) będzie różnił się w zależności od konfiguracji portalu.
  3. Kliknij przycisk Zapisz.

Na stronie logowania będzie wyświetlany przycisk logowania do portalu przy użyciu konta dostawcy tożsamości, a przycisk logowania Przy użyciu swojego konta ArcGIS będzie niedostępny. Logowanie członków na kontach ArcGIS można ponownie włączyć, wybierając opcję Konto ich IDP SAML lub Konto Portal for ArcGIS w obszarze Opcje logowania, gdzie IDP (dostawca tożsamości) i nazwa portalu będą różnić się w zależności od konfiguracji.

Modyfikowanie lub usuwanie dostawcy tożsamości używającego protokołu SAML

Za pomocą przycisku Edycja loginu korporacyjnego można zaktualizować ustawienia federacji. Za pomocą przycisku Usuwanie loginu korporacyjnego można usunąć federację z portalu. Przyciski te są wyświetlane po skonfigurowaniu federacji w portalu. Gdy federacja zostanie usunięta, można skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości, jeśli jest taka potrzeba.