Instytucja może używać protokołu Security Assertion Markup Language (SAML) do uwierzytelniania użytkowników komputerów i autoryzowania dostępu do zasobów internetowych. Aby to umożliwić, jeden oparty na protokole SAML dostawca tożsamości zostaje skonfigurowany do obsługi uwierzytelniania użytkowników. Zasoby internetowe instytucji są hostowane przez jednego lub wielu dostawców usług, którzy obsługują uwierzytelnianie dostępu do tych zasobów internetowych. Instytucja w pełni kontroluje funkcje zarządzania swoimi dostawcami tożsamości i dostawcami usług. Aby umożliwić obsługę opartego na protokole SAML uwierzytelniania i autoryzacji, wszyscy dostawcy usług instytucji muszą być zarejestrowani do pracy z ich dostawcami tożsamości. Każdy dostawca usług może być zarejestrowany tylko u jednego dostawcy tożsamości.
Protokołu SAML można także używać do udostępniania zasobów między wieloma niezależnie zarządzanymi instytucjami. Jest to możliwe dzięki jednostkom zarządzania federacją, które zapewniają oparte na protokole SAML udostępnianie zasobów między instytucjami członkowskim. Instytucja członkowska, która chce udostępniać swoje zasoby internetowe za pośrednictwem federacji, rezerwuje jednego lub większą liczbę dostawców usług do pracy wyłącznie w ramach federacji. Aby uzyskać dostęp do zabezpieczonego zasobu udostępnionego w ramach federacji, użytkownik uwierzytelnia swoją tożsamość przy użyciu dostawcy tożsamości instytucji macierzystej. Po pomyślnym uwierzytelnieniu, ta zweryfikowana tożsamość jest przedstawiana dostawcy usług hostującemu zabezpieczony zasób. Następnie dostawca usług nadaje dostęp do zasobu po zweryfikowaniu uprawnień dostępu użytkownika.
W wersji 10.6.1 portal ArcGIS Enterprise można skonfigurować przy użyciu opartej na protokole SAML federacji dostawców tożsamości. Portal uzyskuje dostęp do hostowanej przez federację usługi wykrywania, która zapewnia listę dostawców tożsamości oraz dostawców usług uczestniczących w federacji.
Niektóre popularne oparte na protokole SAML federacje dostawców tożsamości to InCommon, eduGAIN, SWITCHaai, DFN-AAI oraz UK Access Management Federation.
Konfigurowanie federacji w portalu
Wykonaj poniższe czynności, aby skonfigurować opartą na protokole SAML federację dostawców tożsamości w portalu:
- Zaloguj się do portalu jako administrator i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy kliknij przycisk Nowy login SAML i wybierz opcję Jeden dostawca tożsamości. Na stronie Podaj właściwości wprowadź nazwę federacji. Opis jest wyświetlany użytkownikom, którzy uzyskują dostęp do portalu przy użyciu opcji logowania SAML.
- Wybierz sposób, w jaki użytkownicy mogą dołączyć do instytucji portalu:
- Automatycznie — umożliwia użytkownikom logowanie się w instytucji za pomocą loginów specyficznych dla instytucji bez potrzeby uzyskania uprawnienia od administratora, ponieważ ich konta zostają zarejestrowane w portalu automatycznie podczas pierwszego logowania.
- Na zaproszenie administratora — wymaga zarejestrowania przez administratora instytucji wymaganych kont w instytucji za pomocą narzędzia wiersza poleceń albo skryptu w języku Python.
Notatka:
Firma Esri zaleca wyznaczenie co najmniej jednego konta SAML jako administratora portalu oraz wyłączenie przycisku Utwórz konto w portalu, dzięki czemu użytkownicy nie będą mogli tworzyć własnych kont. Aby uzyskać więcej informacji, należy zapoznać się z poniższą sekcją Nadawanie uprawnień administracyjnych dla konta SAML.
- Wprowadź adres URL scentralizowanej usługi wykrywania dostawcy tożsamości hostowanej przez federację, na przykład https://wayf.samplefederation.com/WAYF.
- Podaj adres URL metadanych federacji, czyli agregowanych metadanych wszystkich dostawców tożsamości i dostawców usług uczestniczących w federacji.
- Skopiuj i wklej certyfikat zakodowany w formacie Base64, który umożliwia portalowi zweryfikowanie poprawności metadanych federacji.
- Skonfiguruj odpowiednio ustawienia zaawansowane:
- Szyfruj potwierdzenie — włącz tę opcję, aby wskazać dostawcy tożsamości używającemu protokołu SAML, że portal obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Po wybraniu tej opcji dostawca tożsamości szyfruje sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z portalu jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
- Włącz żądanie podpisu — włącz tę opcję, aby portal podpisywał żądanie uwierzytelniania SAML wysyłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez portal umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
- Prześlij wylogowanie do dostawcy tożsamości — włącz tę opcję, aby portal używał adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. W przypadku wybrania tej opcji wprowadź adres URL do używania w ustawieniu Adresu URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, opcja Włącz żądanie podpisu także musi być zaznaczona. Jeśli ta opcja nie jest wybrana, kliknięcie opcji Wyloguj się w portalu spowoduje wylogowanie użytkownika z portalu, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, kolejna próba ponownego zalogowania się do portalu przy użyciu loginu specyficznego dla instytucji spowoduje natychmiastowe zalogowanie bez konieczności podawania poświadczeń dostawcy tożsamości. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer łatwo dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
- Aktualizuj profile podczas logowania — włącz tę opcję, aby portal aktualizował atrybut givenName i atrybut adresu e-mail użytkownika, jeśli ulegną one zmianie od ostatniego zalogowania. Ta opcja jest wybrana domyślnie.
- Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji w federacji SAML.
Rejestracja portalu przy użyciu tej samej federacji SAML, w której zarejestrowany jest zaufany dostawca usług
Aby ukończyć proces konfiguracji, należy ustanowić relację zaufania z usługą wykrywania federacji i dostawcą tożsamości instytucji przez zarejestrowanie metadanych dostawcy usługi portalu u dostawcy. Istnieją dwa sposoby uzyskania tych metadanych:
- W sekcji Bezpieczeństwo strony Ustawienia instytucji kliknij przycisk Pobierz metadane dostawcy usług, aby pobrać plik metadanych instytucji.
- Otwórz adres URL metadanych i zapisz jako plik XML na komputerze. Adres URL ma format: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, na przykład https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Możesz wygenerować token, korzystając z adresu https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Wprowadzając adres URL na stronie Generowanie tokena, należy podać w polu Webapp URL w pełni kwalifikowaną nazwę domeny serwera dostawcy tożsamości. Wybór jakiejkolwiek innej opcji, na przykład Adres IP lub Adres IP źródła żądania, jest nieobsługiwany i może spowodować wygenerowanie nieprawidłowego tokena.
Po pobraniu metadanych dostawcy usług skontaktuj się z administratorami federacji SAML w celu uzyskania instrukcji dotyczących sposobu integracji metadanych z plikiem zagregowanych metadanych federacji. Konieczne jest także uzyskanie instrukcji dotyczących rejestrowania dostawcy tożsamości w federacji.
Nadawanie uprawnień administracyjnych dla konta SAML
Sposób nadawania uprawnień administratora portalu dla konta SAML zależy od tego, czy użytkownicy będą mogli dołączać do instytucji w sposób automatyczny (opcja Automatycznie), czy też po otrzymaniu zaproszenia (opcja Na zaproszenie administratora).
Automatyczne dołączanie do instytucji
Jeśli wybrano opcję umożliwiającą użytkownikom dołączanie do instytucji Automatycznie, należy otworzyć portal po zalogowaniu się do konta SAML, które ma być używane jako konto administratora instytucji.
Gdy konto zostaje po raz pierwszy automatycznie dodane do portalu, przypisywana jest do niego rola użytkownika. Tylko administrator instytucji może zmienić rolę przypisaną do konta. Dlatego też należy zalogować się do portalu za pomocą opcji początkowe konto administratora i przypisać konto SAML do roli administratora.
- Otwórz portal, kliknij opcję logowania przy użyciu dostawcy tożsamości SAML i podaj poświadczenia konta SAML, którego chcesz używać jako administrator. Jeśli to konto należy do kogoś innego, użytkownik ten powinien zalogować się na portal, aby konto tej osoby zostało zarejestrowane w portalu.
- Sprawdź, czy konto zostało dodane do portalu i kliknij Wyloguj się. Wyczyść pamięć podręczną i pliki cookie w przeglądarce.
- W przeglądarce otwórz portal, kliknij opcję logowania się przy użyciu wbudowanego konta portalu i podaj poświadczenia początkowego konta administratora utworzonego podczas konfiguracji oprogramowania Portal for ArcGIS.
- Odszukaj konto SAML, które będzie stosowane do zarządzania portalem i zmień rolę na Administrator. Kliknij Wyloguj się.
Wybrane konto SAML ma teraz funkcję administratora portalu.
Ręczne dodawanie kont SAML do portalu
Jeśli wybrana zostanie opcja pozwalająca użytkownikom na dołączanie do instytucji Na zaproszenie administratora, należy zarejestrować odpowiednie konta w instytucji, używając narzędzia wiersza poleceń lub przykładowego skryptu w języku Python. Pamiętaj, aby dla konta SAML, które ma być używane do zarządzania portalem, wybrać rolę Administrator.
Obniżanie uprawnień lub usuwanie konta administratora początkowego
Masz już kolejne konto administratora instytucji, dlatego możesz przypisać rolę Użytkownik do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.
Uniemożliwianie użytkownikom tworzenia własnych kont
Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.
Wyłączanie logowania na kontach ArcGIS
Aby uniemożliwić użytkownikom logowanie do portalu przy użyciu konta ArcGIS, można wyłączyć przycisk Login ArcGIS na stronie logowania, wykonując następujące czynności.
- Zaloguj się w portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy wyłącz przełącznik Login ArcGIS.
Na stronie logowania będzie wyświetlany przycisk logowania do portalu przy użyciu konta dostawcy tożsamości, a przycisk logowania przy użyciu konta Login ArcGIS będzie niedostępny. Możesz ponownie włączyć loginy użytkowników mających konta ArcGIS, włączając opcję Login ArcGIS w sekcji Loginy.
Modyfikowanie lub usuwanie dostawcy tożsamości używającego protokołu SAML
Po skonfigurowaniu federacji możesz zaktualizować te ustawienia, klikając znajdujący się obok niej przycisk Edytuj . Zaktualizuj ustawienia w oknie Edycja loginu SAML.
Aby usunąć federację z portalu, kliknij znajdujący się obok niej przycisk Edytuj i kliknij przycisk Usuń login w oknie Edytuj login SAML. Gdy federacja zostanie usunięta, można skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości, jeśli jest taka potrzeba.