Instytucja może używać protokołu Security Assertion Markup Language (SAML) do uwierzytelniania użytkowników komputerów i autoryzowania dostępu do zasobów internetowych. Aby to umożliwić, jeden oparty na protokole SAML dostawca tożsamości zostaje skonfigurowany do obsługi uwierzytelniania użytkowników. Zasoby internetowe instytucji są hostowane przez jednego lub wielu dostawców usług, którzy obsługują uwierzytelnianie dostępu do tych zasobów internetowych. Instytucja w pełni kontroluje funkcje zarządzania swoimi dostawcami tożsamości i dostawcami usług. Aby umożliwić obsługę opartego na protokole SAML uwierzytelniania i autoryzacji, wszyscy dostawcy usług instytucji muszą być zarejestrowani do pracy z ich dostawcami tożsamości. Każdy dostawca usług może być zarejestrowany tylko u jednego dostawcy tożsamości.
Protokołu SAML można także używać do udostępniania zasobów między wieloma niezależnie zarządzanymi instytucjami. Jest to możliwe dzięki jednostkom zarządzania federacją, które zapewniają oparte na protokole SAML udostępnianie zasobów między instytucjami członkowskim. Instytucja członkowska, która chce udostępniać swoje zasoby internetowe za pośrednictwem federacji, rezerwuje jednego lub większą liczbę dostawców usług do pracy wyłącznie w ramach federacji. Aby uzyskać dostęp do zabezpieczonego zasobu udostępnionego w ramach federacji, użytkownik uwierzytelnia swoją tożsamość przy użyciu dostawcy tożsamości instytucji macierzystej. Po pomyślnym uwierzytelnieniu, ta zweryfikowana tożsamość jest przedstawiana dostawcy usług hostującemu zabezpieczony zasób. Następnie dostawca usług nadaje dostęp do zasobu po zweryfikowaniu uprawnień dostępu użytkownika.
W wersji 10.6.1 portal ArcGIS Enterprise można skonfigurować przy użyciu opartej na protokole SAML federacji dostawców tożsamości. Portal uzyskuje dostęp do hostowanej przez federację usługi wykrywania, która zapewnia listę dostawców tożsamości oraz dostawców usług uczestniczących w federacji.
Niektóre popularne oparte na protokole SAML federacje dostawców tożsamości to InCommon, eduGAIN, SWITCHaai, DFN-AAI oraz UK Access Management Federation.
Konfigurowanie federacji w portalu
Aby skonfigurować opartą na protokole SAML federację dostawców tożsamości z portalem, wykonaj następujące czynności.
- Zaloguj się do witryny portalu jako administrator i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy w obszarze Korporacyjne kliknij przycisk Skonfiguruj login korporacyjny i wybierz opcję Federacja dostawców tożsamości. Na stronie Podaj właściwości wprowadź nazwę federacji. Opis jest wyświetlany użytkownikom, którzy uzyskują dostęp do witryny portalu przy użyciu opcji logowania SAML.
- Wybierz sposób, w jaki użytkownicy mogą dołączyć do instytucji portalu:
- Automatycznie — umożliwia użytkownikom logowanie się w instytucji za pomocą loginów korporacyjnych bez potrzeby uzyskania uprawnienia od administratora, ponieważ ich konta zostają zarejestrowane w portalu automatycznie podczas pierwszego logowania.
- Na zaproszenie administratora — wymaga zarejestrowania przez administratora portalu wymaganych kont w instytucji za pomocą narzędzia wiersza poleceń albo skryptu języka Python.
Notatka:
Firma Esri zaleca wyznaczenie co najmniej jednego konta korporacyjnego jako administratora portalu oraz wyłączenie przycisku Utwórz konto w witrynie portalu, dzięki czemu użytkownicy nie będą mogli tworzyć własnych kont. Aby uzyskać więcej informacji, należy zapoznać się z poniższą sekcją Nadawanie uprawnień administracyjnych dla konta korporacyjnego.
- Podaj adres URL scentralizowanej usługi wykrywania dostawcy tożsamości hostowanej przez federację, na przykład: https://wayf.samplefederation.com/WAYF.
- Podaj adres URL metadanych federacji, czyli agregowanych metadanych wszystkich dostawców tożsamości i dostawców usług uczestniczących w federacji.
- Skopiuj i wklej certyfikat zakodowany w formacie Base64, który umożliwia portalowi zweryfikowanie poprawności metadanych federacji.
- Skonfiguruj odpowiednio ustawienia zaawansowane:
- Szyfruj potwierdzenie — włącz tę opcję, aby wskazać dostawcy tożsamości używającemu protokołu SAML, że portal obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Po wybraniu tej opcji dostawca tożsamości szyfruje sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z portalu jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
- Włącz żądanie podpisu — włącz tę opcję, aby portal podpisywał żądanie uwierzytelniania SAML wysyłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez portal umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
- Prześlij wylogowanie do dostawcy tożsamości — włącz tę opcję, aby portal używał adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. W przypadku wybrania tej opcji wprowadź adres URL do używania w ustawieniu Adresu URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, opcja Włącz żądanie podpisu także musi być zaznaczona. Gdy ta opcja nie jest wybrana, kliknięcie opcji Wyloguj się w witrynie portalu spowoduje wylogowanie użytkownika z portalu, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, kolejna próba ponownego zalogowania się do portalu przy użyciu loginu korporacyjnego spowoduje natychmiastowe zalogowanie bez konieczności podawania poświadczeń dostawcy tożsamości. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer łatwo dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
- Aktualizuj profile podczas logowania — włącz tę opcję, aby portal aktualizował atrybut givenName i atrybut adresu e-mail użytkownika, jeśli ulegną one zmianie od ostatniego zalogowania. Ta opcja jest wybrana domyślnie.
- Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji w federacji SAML.
Rejestracja portalu przy użyciu tej samej federacji SAML, w której zarejestrowany jest zaufany dostawca usług
Aby ukończyć proces konfiguracji, należy ustanowić relację zaufania z usługą wykrywania federacji i dostawcą tożsamości instytucji przez zarejestrowanie metadanych dostawcy usługi portalu u dostawcy. Istnieją dwa sposoby uzyskania tych metadanych:
- W sekcji Bezpieczeństwo strony Ustawienia instytucji kliknij przycisk Pobierz metadane dostawcy usług, aby pobrać plik metadanych instytucji.
- Otwórz adres URL metadanych i zapisz jako plik XML na komputerze. Adres URL ma format: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, na przykład, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Możesz wygenerować token, korzystając z adresu https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Wprowadzając adres URL na stronie Generowanie tokena, należy podać w polu Webapp URL w pełni kwalifikowaną nazwę domeny serwera dostawcy tożsamości. Wybór jakiejkolwiek innej opcji, na przykład Adres IP lub Adres IP źródła żądania, jest nieobsługiwany i może spowodować wygenerowanie nieprawidłowego tokena.
Po pobraniu metadanych dostawcy usług skontaktuj się z administratorami federacji SAML w celu uzyskania instrukcji dotyczących sposobu integracji metadanych z plikiem zagregowanych metadanych federacji. Konieczne jest także uzyskanie instrukcji dotyczących rejestrowania dostawcy tożsamości w federacji.
Nadawanie uprawnień administracyjnych dla konta korporacyjnego
Sposób nadawania uprawnień administratora portalu dla konta korporacyjnego zależy od tego, czy użytkownicy będą mogli dołączyć do instytucji Automatycznie lub Na zaproszenie administratora.
Automatyczne dołączanie do instytucji
Jeśli wybrano opcję umożliwiającą użytkownikom dołączanie do instytucji Automatycznie, należy zalogować się do konta korporacyjnego, które ma być używane jako konto administratora portalu, a następnie otworzyć stronę główną witryny portalu.
Gdy konto zostaje po raz pierwszy automatycznie dodane do portalu, przypisywana jest do niego rola użytkownika. Tylko administrator instytucji może zmienić rolę przypisaną do konta. Dlatego też należy zalogować się do portalu za pomocą Początkowego konta administratora i przypisać konto korporacyjne do roli administratora.
- Otwórz witrynę portalu, kliknij opcję logowania przy użyciu dostawcy tożsamości SAML i podaj poświadczenia konta korporacyjnego, którego chcesz używać jako administrator. Jeśli to konto należy do kogoś innego, użytkownik ten powinien zalogować się na portal, aby konto tej osoby zostało zarejestrowane w portalu.
- Sprawdź, czy konto zostało dodane do portalu i kliknij Wyloguj się. Wyczyść pamięć podręczną i pliki cookie w przeglądarce.
- Na poziomie przeglądarki otwórz witrynę portalu, kliknij opcję logowania przy użyciu wbudowanego konta portalowego i wprowadź poświadczenia początkowego konta administratora, które zostało utworzone podczas konfiguracji Portal for ArcGIS.
- Odszukaj konto korporacyjne, które będzie stosowane do zarządzania portalem i zmień rolę na Administrator. Kliknij Wyloguj się.
Wybrane konto korporacyjne ma teraz funkcję administratora portalu.
Ręczne dodawanie kont korporacyjnych do portalu
Jeśli wybrana zostanie opcja pozwalająca użytkownikom na dołączanie do instytucji Na zaproszenie administratora, należy zarejestrować odpowiednie konta w instytucji, używając narzędzia wiersza poleceń lub przykładowego skryptu języka Python. Upewnij się, że dla konta korporacyjnego, które ma być używane do zarządzania portalem, wybrano rolę Administrator.
Obniżanie uprawnień lub usuwanie konta administratora początkowego
Masz już kolejne konto administratora, dlatego możesz przypisać rolę użytkownika do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.
Uniemożliwianie użytkownikom tworzenia własnych kont
Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.
Wyłączanie logowania na kontach ArcGIS
Aby uniemożliwić użytkownikom logowanie do portalu przy użyciu konta ArcGIS, można wyłączyć przycisk Przy użyciu swojego konta ArcGIS na stronie logowania, wykonując następujące czynności.
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy w obszarze Opcje logowania wyłącz przełącznik opcji Loginy <Organization name>.
Na stronie logowania będzie wyświetlany przycisk logowania do portalu przy użyciu konta dostawcy tożsamości, a przycisk logowania Przy użyciu swojego konta ArcGIS będzie niedostępny. Możesz ponownie włączyć loginy członków posiadających konta ArcGIS, włączając ustawienie Loginy <Organization name> opcji Loginy > Opcje logowania.
Modyfikowanie lub usuwanie dostawcy tożsamości używającego protokołu SAML
Po skonfigurowaniu federacji możesz zaktualizować te ustawienia, klikając przycisk Więcej opcji 
obok niej, a następnie klikając przycisk Edytuj. Zaktualizuj ustawienia w oknie Edycja loginu korporacyjnego. Przyciski te są wyświetlane po skonfigurowaniu federacji w portalu.
Aby usunąć federację z portalu, kliknij przycisk Więcej opcji obok niej, a następnie kliknij przycisk Usuń. Gdy federacja zostanie usunięta, można skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości, jeśli jest taka potrzeba.