Protokół Security Assertion Markup Language (SAML) to otwarty standard bezpiecznej wymiany danych używany do uwierzytelniania i autoryzacji między dostawcą tożsamości specyficznym dla instytucji a dostawcą usług (w tym przypadku z oprogramowaniem Portal for ArcGIS). Ten mechanizm jest znany jako jednokrotne logowanie internetowe SAML.
Portal jest zgodny z protokołem SAML 2.0 i współpracuje z dostawcami tożsamości obsługującymi internetowe logowanie jednokrotne SAML 2. Zaletą konfiguracji SAML jest brak konieczności tworzenia dodatkowych danych logowania dla użytkowników w portalu ArcGIS Enterprise. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w systemie przechowywania tożsamości. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów specyficznych dla instytucji.
Podczas konfiguracji portalu można ewentualnie wprowadzić metadane dotyczące grup firmy w magazynie tożsamości. Umożliwi to tworzenie grup w portalu i tym samym użycie istniejących grup firmy w magazynie tożsamości.
Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie firmy. Grupy można tworzyć także bez podawania wymaganych metadanych grupy firmy. W takim przypadku zasady są określane przez portal ArcGIS Enterprise, a nie przez magazyn tożsamości.
Notatka:
W wersji 10.6.1 można również skonfigurować federację dostawców tożsamości opartych na protokole SAML z portalem.
Uzgadnianie nazw użytkowników usługi ArcGIS Online z portalem ArcGIS Enterprise
Jeśli w instytucji ArcGIS Online i portalu jest używany ten sam dostawca tożsamości SAML, nazwy użytkowników specyficzne dla instytucji można skonfigurować w taki sposób, aby pasowały do siebie. Na końcu wszystkich nazw użytkowników specyficznych dla instytucji w usłudze ArcGIS Online jest dołączana nazwa skrócona instytucji. W portalu można używać tych samych nazw użytkowników specyficznych dla instytucji po zdefiniowaniu właściwości defaultIDPUsernameSuffix w konfiguracji zabezpieczeń portalu ArcGIS Enterprise i ustawieniu jej tak, aby była zgodna z nazwą skróconą instytucji. Jest to niezbędne, jeśli włączono śledzenie edycji dla usługi obiektowej edytowanej przez użytkowników specyficznych dla instytucji zarówno za pomocą usługi ArcGIS Online, jak i portalu.
Logowanie SAML
Oprogramowanie Portal for ArcGIS obsługuje zarówno logowanie za pomocą loginów w specyficznych dla instytucji inicjowane przez dostawcę usługi (SP), jak i logowanie za pomocą loginów specyficznych dla instytucji inicjowane przez dostawcę tożsamości (IDP). Te dwa rodzaje logowania różnią się od siebie.
Logowanie inicjowane przez dostawcę usługi
W przypadku logowania inicjowanego przez dostawcę usługi użytkownicy uzyskują bezpośredni dostęp do portalu i mają możliwość logowania się poprzez wbudowane konta portalowe (zarządzane przez portal) lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML. Jeżeli dany użytkownik wybierze opcję dostawcy tożsamości zgodnego z protokołem SAML, nastąpi przekierowanie na stronę internetową (nazywaną menedżerem logowania), na której należy podać nazwę użytkownika oraz hasło SAML. Po dokonaniu weryfikacji poświadczeń użytkownika dostawca tożsamości zgodny z protokołem SAML informuje oprogramowanie Portal for ArcGIS o zweryfikowanej tożsamości logującego się użytkownika i następuje przekierowanie go do witryny portalu.
Jeśli użytkownik wybierze opcję wbudowanych kont portalowych, otwarta zostanie strona logowania witryny portalu ArcGIS Enterprise. Po podaniu wbudowanej nazwy użytkownika i hasła, użytkownik uzyskuje dostęp do witryny. Opcja kont wbudowanych może być użyta jako zabezpieczenie w razie niedostępności dostawców tożsamości zgodnych z protokołem SAML, pod warunkiem, że opcja logowania z użyciem konta ArcGIS nie została wyłączona.
Logowanie inicjowane przez dostawcę tożsamości
W przypadku logowania zainicjowanego przez dostawcę tożsamości, użytkownicy uzyskują bezpośredni dostęp do menedżera logowania i mogą zalogować się na swoje konto. Po przesłaniu przez użytkownika odpowiednich informacji powiązanych z kontem dostawca tożsamości wysyła odpowiedź protokołu SAML bezpośrednio do oprogramowania Portal for ArcGIS. Następnie użytkownik zostaje zalogowany i przekierowany do witryny portalu i ma bezpośredni dostęp do zawartych w niej zasobów, co oznacza, że nie musi ponownie logować się do instytucji.
Opcja logowania za pomocą wbudowanych kont jest niedostępna w menedżerze logowania. Aby zalogować się do instytucji przy użyciu wbudowanych kont, użytkownicy muszą uzyskać bezpośredni dostęp do witryny instytucji.
Notatka:
Jeśli loginy SAML nie działają z powodu problemów z dostawcą tożsamości i wyłączona jest opcja kont wbudowanych, nie można uzyskać dostępu do portalu ArcGIS Enterprise, dopóki ta opcja nie zostanie ponownie włączona. Instrukcje można znaleźć w tym pytaniu w sekcji Typowe problemy i rozwiązania.
Dostawcy tożsamości używający protokołu SAML
Oprogramowanie Portal for ArcGIS obsługuje wszystkich dostawców tożsamości zgodnych z protokołem SAML. Szczegółowe instrukcje dotyczące konfiguracji niektórych popularnych dostawców tożsamości zgodnych z protokołem SAML można znaleźć w repozytorium GitHub ArcGIS/idp.
Poniżej znajduje się opis procedury konfiguracji dostawcy tożsamości w oprogramowaniu ArcGIS Enterprise. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości SAML w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Na przykład, jeśli instytucja użytkownika korzysta z usługi Microsoft Active Directory, osobą, z którą należy się skontaktować w celu konfiguracji lub włączenia protokołu SAML dla dostawcy tożsamości specyficznego dla instytucji i uzyskania parametrów niezbędnych do konfiguracji witryny jest administrator odpowiedzialny za kwestie związane z użytkowaniem usługi Microsoft Active Directory.
Wymagane informacje
Oprogramowanie Portal for ArcGIS wymaga uzyskania określonych atrybutów od dostawcy tożsamości (IDP) w przypadku logowania się użytkownika z wykorzystaniem loginów SAML. Atrybut NameID jest obowiązkowy i musi zostać przesłany przez dostawcę tożsamości w odpowiedzi SAML, aby integracja z oprogramowaniem Portal for ArcGIS przebiegła pomyślnie. Ponieważ oprogramowanie Portal for ArcGIS używa wartości NameID w celu jednoznacznego zidentyfikowania nazwanego użytkownika, zalecane jest używanie stałej wartości identyfikującej użytkownika w sposób unikalny. Podczas logowania się użytkownika przy użyciu dostawcy tożsamości (IDP) oprogramowanie Portal for ArcGIS tworzy nowego użytkownika o nazwie NameID w swoim magazynie użytkowników. Dozwolone znaki, z których może składać się wartość wysyłana przez atrybut NameID, to znaki alfanumeryczne, _ (podkreślenie), . (kropka) i @ (małpa). W nazwach użytkowników utworzonych przez oprogramowanie Portal for ArcGIS wszystkie inne znaki zostaną zastąpione znakiem podkreślenia.
Usługa Portal for ArcGIS obsługuje dane przychodzące dotyczące adresu e-mail, członkostwa w grupie, imienia i nazwiska użytkownika od dostawcy tożsamości SAML.
Konfigurowanie portalu z dostawcą tożsamości używającym protokołu SAML
Można skonfigurować portal w taki sposób, aby użytkownicy mogli logować się przy użyciu tej samej nazwy użytkownika i hasła, których używają w swoim systemie lokalnym. Przed skonfigurowaniem loginów specyficznych dla instytucji należy skonfigurować domyślny typ użytkownika dla instytucji.
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy kliknij przycisk Nowy login SAML i wybierz opcję Jeden dostawca tożsamości. Na stronie Podaj właściwości wpisz nazwę instytucji (na przykład Miasto Redlands).
Gdy użytkownik uzyskuje dostęp do witryny portalu, nazwa instytucji jest wyświetlana jako jedna z opcji logowania za pomocą protokołu SAML (na przykład Konto City of Redlands).
- Wybierz opcję Automatycznie lub opcję Na zaproszenie administratora, aby określić, czy użytkownicy mogą dołączać do instytucji automatycznie, czy po otrzymaniu zaproszenia.Pierwsza opcja pozwala użytkownikowi logować się do instytucji z wykorzystaniem loginu specyficznego dla instytucji bez ingerencji ze strony administratora. Ich konta zostają zarejestrowane w instytucji automatycznie podczas pierwszego logowania. Druga opcja wiąże się z koniecznością zarejestrowania przez administratora odpowiedniego konta instytucji za pomocą narzędzia wiersza poleceń albo przykładu skryptu języka Python. Po zarejestrowaniu kont użytkownicy będą mogli zalogować się w instytucji.
Wskazówka:
Zaleca się, aby przynajmniej jedno konto SAML wyznaczyć na konto administratora portalu oraz obniżyć uprawnienia początkowego konta administratora lub usunąć to konto. Zaleca się również wyłączenie przycisku Utwórz konto w witrynie portalu, aby użytkownicy nie mogli tworzyć własnych kont. Aby uzyskać instrukcje, należy zapoznać się z poniższą sekcją Nadawanie uprawnień administracyjnych dla konta specyficznego dla instytucji.
- Podaj źródło, z którego portal będzie pozyskiwał metadane. Dzięki temu będą dostępne odpowiednie metadane dostawcy tożsamości obsługującego protokół SAML. Instrukcje dotyczące uzyskiwania metadanych od certyfikowanych dostawców można znaleźć w repozytorium GitHub ArcGIS/idp. Istnieją trzy potencjale źródła metadanych:
- Adres URL — wprowadź adres URL zwracający metadane dostawcy tożsamości.
Notatka:
Jeśli dostawca tożsamości korzysta z certyfikatu z podpisem własnym, podczas podawania adresu URL metadanych protokołu HTTPS może wystąpić błąd. Przyczyną tego błędu jest fakt, że oprogramowanie Portal for ArcGIS nie może zweryfikować certyfikatu z podpisem własnym dostawcy tożsamości. Aby go uniknąć, możesz podać adres URL protokołu HTTP, skorzystać z jednej z innych opcji opisanych poniżej lub skonfigurować dla dostawcy tożsamości zaufany certyfikat.
- Plik — prześlij plik zawierający metadane dostawcy tożsamości.
- Parametry podane tutaj — wprowadź bezpośrednio metadane dostawcy tożsamości, podając następujące parametry:
- Adres URL logowania (przekierowanie) — podaj adres URL dostawcy tożsamości (z obsługą powiązania przekierowania HTTP), którego oprogramowanie Portal for ArcGIS będzie używać, aby umożliwić zalogowanie się członkowi.
- Adres URL logowania (POST) — podaj adres URL dostawcy tożsamości (z obsługą powiązania HTTP POST), którego oprogramowanie Portal for ArcGIS będzie używać, aby umożliwić zalogowanie się członkowi.
- Certyfikat — podaj certyfikat zakodowany w formacie BASE 64 dla dostawcy tożsamości. Certyfikat umożliwia oprogramowaniu Portal for ArcGIS zweryfikowanie podpisu cyfrowego odpowiedzi protokołu SAML wysyłanych do serwisu przez dostawcę tożsamości.
Notatka:
Skontaktuj się z administratorem dostawcy tożsamości, jeżeli nie masz pewności, jakie źródło metadanych należy podać.
- Adres URL — wprowadź adres URL zwracający metadane dostawcy tożsamości.
- Zarejestruj metadane dostawcy usług u dostawcy tożsamości, aby zakończyć proces konfiguracji i ustanowić relację zaufania z dostawcą tożsamości. Aby pobrać metadane z portalu, wykonaj jedną z następujących czynności:
- W sekcji Bezpieczeństwo na karcie Ustawienia instytucji kliknij przycisk Pobierz metadane dostawcy usług, aby pobrać plik metadanych instytucji.
- Otwórz adres URL metadanych i zapisz jako plik .xml na komputerze. Adres URL ma format: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, na przykład https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Możesz wygenerować token, korzystając z adresu https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Wprowadzając adres URL na stronie Generowanie tokena, należy podać w polu tekstowym Webapp URL w pełni kwalifikowaną nazwę domeny serwera dostawcy tożsamości. Wybór żadnej innej opcji, na przykład Adres IP lub Adres IP źródła żądania, nie jest obsługiwany i może spowodować wygenerowanie nieprawidłowego tokena.
Instrukcje dotyczące rejestrowania metadanych dostawców usług portalu z certyfikowanymi dostawcami znajdują się w repozytorium GitHub ArcGIS/idp.
- Skonfiguruj odpowiednio ustawienia zaawansowane:
- Szyfruj potwierdzenie — wskazanie dostawcy tożsamości używającemu protokołu SAML, że oprogramowanie Portal for ArcGIS obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Gdy ta opcja jest wybrana, dostawca tożsamości będzie szyfrował sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z oprogramowania Portal for ArcGIS jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
- Włącz żądanie podpisu — oprogramowanie Portal for ArcGIS ma podpisywać żądanie uwierzytelniania SAML wysyłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez oprogramowanie Portal for ArcGIS umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
Wskazówka:
Włącz to ustawienie, aby zapewnić integralność żądań SAML. Opcję tę można włączyć w dowolnym momencie w ustawieniach zaawansowanych, nawet jeśli została ona pominięta podczas początkowej konfiguracji portalu.
- Prześlij informację o wylogowaniu do dostawcy tożsamości — oprogramowanie Portal for ArcGIS ma używać adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. Wprowadź adres URL, który będzie używany w ustawieniu Adres URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, ustawienie Aktywuj żądanie podpisania także musi być wybrane. Gdy ta opcja nie jest wybrana, kliknięcie opcji Wyloguj się w oprogramowaniu Portal for ArcGIS spowoduje wylogowanie użytkownika z oprogramowania Portal for ArcGIS, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, natychmiastowe ponowne zalogowanie się do oprogramowania Portal for ArcGIS przy użyciu loginu specyficznego dla instytucji spowoduje zalogowanie bez podawania poświadczeń użytkownika dostawcy tożsamości SAML. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
- Aktualizuj profile podczas logowania — oprogramowanie Portal for ArcGIS ma aktualizować atrybuty givenName i email address użytkowników, jeśli ulegną one zmianie od ostatniego zalogowania. Ta opcja jest domyślnie włączona.
- Włącz przynależność do grup na podstawie protokołu SAML — pozwalaj administratorom portalu na łączenie grup w dostawcy tożsamości SAML z grupami utworzonymi w portalu ArcGIS Enterprise. Gdy to ustawienie jest włączone, oprogramowanie Portal for ArcGIS analizuje odpowiedź na potwierdzenie SAML w celu określenia grup, do których należy dany członek. Następnie można określić jedną lub większą liczbę grup firmy udostępnianych przez dostawcę tożsamości w obszarze Kto może dołączyć do tej grupy podczas tworzenia nowej grupy w portalu. Funkcja ta jest domyślnie wyłączona.
- Adres URL wylogowania — wprowadź adres URL dostawcy tożsamości używany do wylogowania bieżącego użytkownika. Jeśli ta właściwość jest określona w pliku metadanych dostawcy tożsamości, jest ona ustawiana automatycznie.
- Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji Portal for ArcGIS w dostawcy tożsamości SAML.
Konfigurowanie dostawcy tożsamości zgodnego z protokołem SAML dla portalu o wysokiej dostępności
Portal for ArcGIS korzysta z certyfikatów z aliasem samlcert podczas wysyłania podpisanych żądań (na potrzeby logowania i wylogowywania się) do dostawcy tożsamości (IDP) oraz podczas deszyfrowania zaszyfrowanych odpowiedzi od dostawcy tożsamości. Jeśli konfigurowany jest wysoko dostępny portal ArcGIS Enterprise i używany jest dostawca tożsamości zgodny z SAML, należy zadbać o to, by każda instancja oprogramowania Portal for ArcGIS używała tego samego certyfikatu podczas komunikacji z dostawcą tożsamości.
Najlepszym sposobem na zapewnienie tego, że wszystkie instancje będą używały identycznego certyfikatu SAML, jest wygenerowanie nowego certyfikatu z aliasem samlcert i zaimportowanie go do każdej instancji Portal for ArcGIS w wysoko dostępnym wdrożeniu.
- Zaloguj się do aplikacji Portal Administrator Directory pod adresem https://example.domain.com:7443/arcgis/portaladmin.
- Przejdź do opcji Bezpieczeństwo > sslcertificates i kliknij istniejący certyfikat samlcert.
- Kliknij przycisk usuń.
- Powtórz etapy od 1 do 3, aby usunąć istniejące certyfikaty samlcert ze wszystkich instancji portalu o wysokiej dostępności.
- Wygeneruj nowy certyfikat samopodpisany w aplikacji ArcGIS Portal Administrator Directory.
- Podczas konfigurowania certyfikatu podaj samlcert jako alias, jako również nazwę hosta systemu równoważenia obciążenia wdrożenia zarówno jako nazwę w polu Nazwa zwykła, jak i alias DNS w polu Alternatywna nazwa podmiotu.
- Po wygenerowaniu certyfikatu wyeksportuj go do pliku .pfx:
- Zaloguj się do komputera, na którym zainstalowano oprogramowanie Portal for ArcGIS.
- Otwórz wiersz poleceń na tym komputerze z użyciem opcji Uruchom jako administrator.
- Przejdź do folderu SSL portalu: cd <Portal installation directory>\etc\ssl.
- Wprowadź następującą komendę, aby wyeksportować certyfikat samlcert w formacie .pfx:
....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Zaimportuj nowy certyfikat do każdej instancji oprogramowania Portal for ArcGIS ze strony Bezpieczeństwo > sslcertificates > Importuj istniejący certyfikat serwera.
- Zrestartuj oprogramowanie Portal for ArcGIS w każdej instancji w portalu o wysokiej dostępności.
W portalu ArcGIS Enterprise można użyć pliku metadanych dostawcy usług, aby sprawdzić, czy w całym wdrożeniu do komunikowania się z dostawcą tożsamości SAML są używane te same certyfikaty.
- Na karcie Instytucja przejdź do opcji Edytuj ustawienia > Bezpieczeństwo.
- W elemencie Loginy korporacyjne za pośrednictwem protokołu SAML na stronie Bezpieczeństwo kliknij Edytuj dostawcę tożsamości. Otwórz menu Pokaż ustawienia zaawansowane i upewnij się, że zaznaczono opcję Szyfruj potwierdzenie. Jeśli nie, zaznacz ją i kliknij Zaktualizuj dostawcę tożsamości, aby zapisać zmianę.
- Wróć do elementów Loginy korporacyjne za pośrednictwem protokołu SAML i wybierz Uzyskaj dostawcę tożsamości. Spowoduje to wyeksportowanie metadanych dostawcy tożsamości w formie pliku .xml na komputerze.
- Otwórz pobrany plik .xml. Sprawdź, czy znajduje się w nim następująca fraza: <md:KeyDescriptor use="encryption">. Wskazuje ona, że szyfrowanie certyfikatów działa.
- Zwróć uwagę na wartości w sekcji podrzędnej <ds:KeyInfo>.
- Powtórz te czynności dla każdej instancji oprogramowania Portal for ArcGIS we wdrożeniu, aby pobrać plik metadanych dostawcy usług z każdej z nich.
Wszystkie wyeksportowane pliki metadanych powinny zawierać te same informacje w sekcji podrzędnej <ds:KeyInfo>. Każda instancja oprogramowania Portal for ArcGIS powinna korzystać z tego samego certyfikatu podczas komunikowania się z dostawcą usług zgodnym z protokołem SAML.
Nadawanie uprawnień administracyjnych dla konta specyficznego dla instytucji
Sposób nadawania uprawnień administratora portalu dla konta specyficznego dla instytucji zależy od tego, czy użytkownicy mogą dołączyć do instytucji automatycznie lub na zaproszenie administratora.
Automatyczne dołączanie do instytucji
Jeśli wybrano opcję Automatycznie umożliwiającą użytkownikom dołączanie do instytucji automatycznie, należy zalogować się do konta specyficznego dla instytucji, które ma być używane jako konto administratora portalu, a następnie otworzyć stronę główną witryny portalu.
Gdy konto zostaje po raz pierwszy automatycznie dodane do portalu, przypisywana jest do niego domyślna rola skonfigurowana dla nowych członków. Tylko administrator instytucji może zmienić rolę przypisaną do konta. Dlatego też należy zalogować się do portalu za pomocą Początkowego konta administratora i przypisać konto specyficzne dla instytucji do roli administratora.
- Otwórz witrynę portalu, kliknij opcję logowania przy użyciu dostawcy tożsamości SAML i podaj poświadczenia konta SAML, którego chcesz używać jako administrator. Jeśli to konto należy do kogoś innego, użytkownik ten powinien zalogować się na portal, aby konto tej osoby zostało zarejestrowane w portalu.
- Sprawdź, czy konto zostało dodane do portalu i kliknij Wyloguj się. Wyczyść pamięć podręczną i pliki cookie w przeglądarce.
- Na poziomie przeglądarki otwórz witrynę portalu, kliknij opcję logowania przy użyciu wbudowanego konta portalowego i wprowadź poświadczenia początkowego konta administratora, które zostało utworzone podczas konfiguracji oprogramowania Portal for ArcGIS.
- Odszukaj konto SAML, które chcesz stosować do zarządzania portalem i zmień rolę na Administrator. Kliknij Wyloguj się.
Wybrane konto SAML ma teraz funkcję administratora portalu.
Ręczne dodawanie kont specyficznych dla instytucji do portalu
Jeśli wybrana zostanie opcja Na zaproszenie administratora pozwalająca użytkownikom na dołączanie do instytucji na zaproszenie, należy zarejestrować odpowiednie konta w instytucji, używając narzędzia wiersza poleceń lub przykładowego skryptu języka Python. Wybierz dla konta SAML, które ma być używane do zarządzania portalem, rolę Administrator.
Obniżanie uprawnień lub usuwanie konta administratora początkowego
Masz już kolejne konto administratora, dlatego możesz przypisać inną rolę do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.
Uniemożliwianie użytkownikom tworzenia własnych kont
Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.
Uniemożliwianie użytkownikom logowania się z użyciem konta ArcGIS
Aby uniemożliwić użytkownikom logowanie do portalu przy użyciu konta ArcGIS, należy wyłączyć przełącznik Login ArcGIS na stronie logowania.
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy wyłącz przełącznik opcji Login ArcGIS.
Na stronie logowania wyświetlany jest przycisk logowania do portalu przy użyciu konta dostawcy tożsamości, a przycisk Login ArcGIS jest niedostępny. Aby ponownie włączyć możliwość logowania się członków z użyciem kont ArcGIS, włącz przełącznik Login ArcGIS w sekcji Loginy.
Modyfikowanie lub usuwanie dostawcy tożsamości SAML
Po skonfigurowaniu dostawcy tożsamości SAML możesz zaktualizować jego ustawienia, klikając przycisk Edytuj obok aktualnie zarejestrowanego dostawcy tożsamości SAML. Zaktualizuj ustawienia w oknie Edycja loginu SAML.
Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij przycisk Edytuj obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu SAML. Po usunięciu dostawcy tożsamości można opcjonalnie skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości.
Najważniejsze wskazówki dotyczące zabezpieczeń SAML
Aby włączyć loginy SAML, można skonfigurować oprogramowanie ArcGIS Enterprise jako dostawcę usługi (service provider - SP) dostawcy tożsamości (identity provider - IDP) SAML. Aby zagwarantować niezawodne zabezpieczenia, zwróć uwagę na poniższe najważniejsze wskazówki.
Cyfrowe podpisywanie żądań logowania i wylogowania SAML oraz podpisywanie odpowiedzi na potwierdzenia SAML
Podpisy zapewniają integralność komunikatów SAML i pełnią rolę zabezpieczenia przed atakami typu MITM (man-in-the-middle). Dzięki cyfrowym podpisom żądań SAML można mieć także pewność, że zostały one wysłane przez zaufanych dostawców usług, co pozwala dostawcom tożsamości lepiej radzić sobie z atakami typu DOS (denial-of-service). Włącz opcję Włącz żądania podpisane w ustawieniach zaawansowanych podczas konfigurowania loginów SAML.
Notatka:
Gdy żądania podpisane są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat podpisywania używany przez dostawcę usług jest odnawiany lub zastępowany.
Skonfiguruj dostawcę tożsamości SAML tak, aby podpisywał odpowiedź SAML, co zapobiegnie modyfikowaniu przesyłanych odpowiedzi na potwierdzenia SAML.
Notatka:
Gdy żądania podpisane są włączone, należy aktualizować dostawcę usług (oprogramowanie ArcGIS Enterprise) za każdym razem, gdy certyfikat podpisywania używany przez dostawcę usług jest odnawiany lub zastępowany.
Korzystanie z punktu końcowego HTTPS dostawcy tożsamości
Cała komunikacja między dostawcą usług, dostawcą tożsamości i przeglądarką użytkownika przesyłana przez sieć wewnętrzną lub Internet w niezaszyfrowanej formie może zostać przechwycona przez nieuprawniony podmiot. Jeśli dostawca tożsamości SAML obsługuje protokół HTTPS, zaleca się użycie punktu końcowego HTTPS do zapewnienia poufności danych przesyłanych podczas operacji logowania SAML.
Szyfrowanie odpowiedzi na potwierdzenia SAML
Korzystanie z protokołu HTTPS do obsługi komunikacji SAML zabezpiecza komunikaty SAML przesyłane między dostawcą tożsamości i dostawcą usług. Jednak zalogowani użytkownicy nadal mogą dekodować i wyświetlać komunikaty SAML w przeglądarce internetowej. Włączenie szyfrowania odpowiedzi na potwierdzenia uniemożliwia użytkownikom wyświetlanie poufnych lub wrażliwych informacji przesyłanych między dostawcą tożsamości i dostawcą usług.
Notatka:
Gdy szyfrowane potwierdzenia są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat szyfrowania używany przez dostawcę usług (oprogramowanie ArcGIS Enterprise) jest odnawiany lub zastępowany.
Bezpieczne zarządzanie certyfikatami podpisywania i szyfrowania
Należy używać certyfikatów z silnymi kluczami kryptograficznymi do cyfrowego podpisywania i szyfrowania komunikatów SAML. Certyfikaty należy odnawiać lub zastępować co trzy do pięciu lat.