Protokół Security Assertion Markup Language (SAML) to otwarty standard bezpiecznej wymiany danych używany do uwierzytelniania i autoryzacji między dostawcą tożsamości specyficznym dla instytucji a dostawcą usług (w tym przypadku instytucją ArcGIS Enterprise). Ten mechanizm jest znany jako jednokrotne logowanie internetowe SAML.
Instytucja jest zgodna z protokołem SAML 2.0 i współpracuje z dostawcami tożsamości obsługującymi internetowe logowanie jednokrotne SAML 2. Zaletą konfiguracji SAML jest brak konieczności tworzenia dodatkowych danych logowania dla użytkowników w instytucji. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w systemie przechowywania tożsamości. Ta procedura opisana jest w całej dokumentacji jako konfiguracja loginów specyficznych dla instytucji.
Podczas konfiguracji portalu można ewentualnie wprowadzić metadane dotyczące grup SAML w magazynie tożsamości. Umożliwi to tworzenie grup w portalu i tym samym użycie istniejących grup SAML w magazynie tożsamości.
Za każdym razem, gdy członkowie grup logują się do portalu, dostęp do zasobów, elementów i danych jest kontrolowany przez zasady członkostwa zdefiniowane w grupie SAML. Grupy można tworzyć także bez podawania wymaganych metadanych grupy SAML. W takim przypadku zasady są określane przez portal ArcGIS Enterprise, a nie przez magazyn tożsamości.
Notatka:
Można również skonfigurować federację dostawców tożsamości opartych na protokole SAML z portalem.
Uzgadnianie nazw użytkowników usługi ArcGIS Online z portalem ArcGIS Enterprise
Jeśli w instytucji ArcGIS Online i portalu jest używany ten sam dostawca tożsamości SAML, nazwy użytkowników specyficzne dla instytucji można skonfigurować w taki sposób, aby pasowały do siebie. Na końcu wszystkich nazw użytkowników specyficznych dla instytucji w usłudze ArcGIS Online jest dołączana nazwa skrócona instytucji. W portalu można używać tych samych nazw użytkowników specyficznych dla instytucji po zdefiniowaniu właściwości defaultIDPUsernameSuffix w konfiguracji zabezpieczeń portalu ArcGIS Enterprise i ustawieniu jej tak, aby była zgodna z nazwą skróconą instytucji. Jest to niezbędne, jeśli włączono śledzenie edycji dla usługi obiektowej edytowanej przez użytkowników specyficznych dla instytucji zarówno za pomocą usługi ArcGIS Online, jak i portalu.
Logowanie SAML
Oprogramowanie ArcGIS Enterprise obsługuje zarówno logowanie za pomocą loginów specyficznych dla instytucji inicjowane przez dostawcę usługi (SP), jak i logowanie za pomocą loginów specyficznych dla instytucji inicjowane przez dostawcę tożsamości (IdP). Te dwa rodzaje logowania różnią się od siebie.
Logowanie inicjowane przez dostawcę usługi
W przypadku logowania inicjowanego przez dostawcę usługi użytkownicy uzyskują bezpośredni dostęp do portalu i mają możliwość logowania się poprzez wbudowane konta portalowe (zarządzane przez portal) lub konta zarządzane u dostawców tożsamości zgodnych z protokołem SAML. Jeżeli dany użytkownik wybierze opcję dostawcy tożsamości zgodnego z protokołem SAML, nastąpi przekierowanie na stronę internetową (nazywaną menedżerem logowania), na której należy podać nazwę użytkownika oraz hasło SAML. Po dokonaniu weryfikacji poświadczeń użytkownika dostawca tożsamości zgodny z protokołem SAML informuje oprogramowanie ArcGIS Enterprise o zweryfikowanej tożsamości logującego się użytkownika i następuje przekierowanie go do witryny portalu.
Jeśli użytkownik wybierze opcję wbudowanych kont portalowych, otwarta zostanie strona logowania witryny portalu ArcGIS Enterprise. Po podaniu wbudowanej nazwy użytkownika i hasła, użytkownik uzyskuje dostęp do witryny. Opcja kont wbudowanych może być użyta jako zabezpieczenie w razie niedostępności dostawców tożsamości zgodnych z protokołem SAML, pod warunkiem, że opcja logowania z użyciem konta ArcGIS nie została wyłączona.
Logowanie inicjowane przez dostawcę tożsamości
W przypadku logowania zainicjowanego przez dostawcę tożsamości, użytkownicy uzyskują bezpośredni dostęp do menedżera logowania i mogą zalogować się na swoje konto. Po przesłaniu przez użytkownika odpowiednich informacji powiązanych z kontem dostawca tożsamości wysyła odpowiedź protokołu SAML bezpośrednio do oprogramowania ArcGIS Enterprise. Następnie użytkownik zostaje zalogowany i przekierowany do witryny portalu i ma bezpośredni dostęp do zawartych w niej zasobów, co oznacza, że nie musi ponownie logować się do instytucji.
Opcja logowania za pomocą wbudowanych kont jest niedostępna w menedżerze logowania. Aby zalogować się do instytucji przy użyciu wbudowanych kont, użytkownicy muszą uzyskać bezpośredni dostęp do witryny instytucji.
Notatka:
Jeśli loginy SAML nie działają z powodu problemów z dostawcą tożsamości i wyłączona jest opcja kont wbudowanych, nie można uzyskać dostępu do portalu ArcGIS Enterprise, dopóki ta opcja nie zostanie ponownie włączona. Instrukcje można znaleźć w tym pytaniu w sekcji Typowe problemy i rozwiązania.
Dostawcy tożsamości używający protokołu SAML
Oprogramowanie ArcGIS Enterprise obsługuje wszystkich dostawców tożsamości zgodnych z protokołem SAML. Szczegółowe instrukcje dotyczące konfiguracji niektórych popularnych dostawców tożsamości zgodnych z protokołem SAML można znaleźć w repozytorium GitHub ArcGIS/IdP.
Poniżej znajduje się opis procedury konfiguracji dostawcy tożsamości w oprogramowaniu ArcGIS Enterprise. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości SAML w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Na przykład, jeśli instytucja użytkownika korzysta z usługi Microsoft Active Directory, osobą, z którą należy się skontaktować w celu konfiguracji lub włączenia protokołu SAML dla dostawcy tożsamości specyficznego dla instytucji i uzyskania parametrów niezbędnych do konfiguracji witryny jest administrator odpowiedzialny za kwestie związane z użytkowaniem usługi Microsoft Active Directory.
Wymagane informacje
Oprogramowanie ArcGIS Enterprise wymaga uzyskania określonych atrybutów od dostawcy tożsamości (IdP) w przypadku logowania się użytkownika z wykorzystaniem loginów SAML. Atrybut NameID jest obowiązkowy i musi zostać przesłany przez dostawcę tożsamości w odpowiedzi SAML, aby federowanie przebiegło pomyślnie. Ponieważ oprogramowanie ArcGIS Enterprise używa wartości NameID w celu jednoznacznego zidentyfikowania nazwanego użytkownika, zalecane jest używanie stałej wartości identyfikującej użytkownika w sposób unikalny. Podczas logowania się użytkownika przy użyciu dostawcy tożsamości (IdP) instytucja ArcGIS Enterprise tworzy nowego użytkownika o nazwie NameID w swoim magazynie użytkowników. Dozwolone znaki, z których może składać się wartość wysyłana przez atrybut NameID, to znaki alfanumeryczne, _ (podkreślenie), . (kropka) i @ (małpa). W nazwach użytkowników utworzonych przez oprogramowanie ArcGIS Enterprise wszystkie inne znaki zostaną zastąpione znakiem podkreślenia.
Oprogramowanie ArcGIS Enterprise obsługuje dane przychodzące dotyczące adresu e-mail, członkostwa w grupie, imienia i nazwiska użytkownika od dostawcy tożsamości SAML.
Przyporządkowania profilu użytkownika
W następującej tabeli znajdują się informacje o wartościach potwierdzeń SAML, do których przyporządkowane są właściwości użytkowników portalu:
Właściwość użytkownika ArcGIS | Atrybut poświadczenia zdefiniowanego przez IdP |
---|---|
Adres e-mail | Adres e-mail emailaddress poczta urn:oid:0.9.2342.19200300.100.1.3 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Imię | givenName urn:oid:2.5.4.42 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Nazwisko | surname urn:oid:2.5.4.4 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Grupy | Grupa Grupy Rola Role MemberOf member-of http://wso2.com/claims/role http://schemas.xmlsoap.org/claims/Group urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:oid:2.16.840.1.113719.1.1.4.1.25 Notatka:Dla wielu poświadczeń grupy należy podać tylko jedną nazwę atrybutu. |
Konfigurowanie portalu z dostawcą tożsamości używającym protokołu SAML
Można skonfigurować portal w taki sposób, aby użytkownicy mogli logować się przy użyciu tej samej nazwy użytkownika i hasła, których używają w swoim systemie lokalnym. Przed skonfigurowaniem loginów specyficznych dla instytucji należy skonfigurować domyślny typ użytkownika dla instytucji.
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy kliknij przycisk Nowy login SAML i wybierz opcję Jeden dostawca tożsamości. Na stronie Podaj właściwości wpisz nazwę instytucji (na przykład Miasto Redlands).
Gdy użytkownik uzyskuje dostęp do witryny portalu, nazwa instytucji jest wyświetlana jako jedna z opcji logowania za pomocą protokołu SAML (na przykład Konto City of Redlands).
- Wybierz opcję Automatycznie lub opcję Na zaproszenie administratora, aby określić, czy użytkownicy mogą dołączać do instytucji automatycznie, czy po otrzymaniu zaproszenia.Pierwsza opcja pozwala użytkownikowi logować się do instytucji z wykorzystaniem loginu specyficznego dla instytucji bez ingerencji ze strony administratora. Ich konta zostają zarejestrowane w instytucji automatycznie podczas pierwszego logowania. Druga opcja wymaga od administratora zarejestrowania odpowiednich kont instytucji za pomocą narzędzia wiersza poleceń. Po zarejestrowaniu kont użytkownicy będą mogli zalogować się w instytucji.
Wskazówka:
Zaleca się, aby przynajmniej jedno konto SAML wyznaczyć na konto administratora portalu oraz obniżyć uprawnienia początkowego konta administratora lub usunąć to konto. Zaleca się również wyłączenie przycisku Utwórz konto w witrynie portalu, aby użytkownicy nie mogli tworzyć własnych kont. Aby uzyskać instrukcje, należy zapoznać się z poniższą sekcją Nadawanie uprawnień administracyjnych dla konta specyficznego dla instytucji.
- Określ źródło, z którego portal uzyska informacje o metadanych. Udostępnia to odpowiednie metadane dostawcy tożsamości obsługującego protokół SAML. Instrukcje dotyczące uzyskiwania metadanych od certyfikowanych dostawców można znaleźć w repozytorium GitHub ArcGIS/IdP. Istnieją trzy potencjale źródła metadanych:
- Adres URL — wprowadź adres URL zwracający metadane dostawcy tożsamości.
Notatka:
Jeśli dostawca tożsamości korzysta z certyfikatu z podpisem własnym, podczas podawania adresu URL metadanych protokołu HTTPS może wystąpić błąd. Przyczyną tego błędu jest fakt, że oprogramowanie ArcGIS Enterprise nie może zweryfikować certyfikatu z podpisem własnym dostawcy tożsamości. Aby go uniknąć, możesz podać adres URL protokołu HTTP, skorzystać z jednej z innych opcji opisanych poniżej lub skonfigurować dla dostawcy tożsamości zaufany certyfikat.
- Plik — prześlij plik zawierający metadane dostawcy tożsamości.
- Parametry podane tutaj — wprowadź bezpośrednio metadane dostawcy tożsamości, podając następujące parametry:
- Adres URL logowania (przekierowanie) — podaj adres URL dostawcy tożsamości (z obsługą powiązania przekierowania HTTP), którego oprogramowanie ArcGIS Enterprise będzie używać, aby umożliwić zalogowanie się członkowi.
- Adres URL logowania (POST) — podaj adres URL dostawcy tożsamości (z obsługą powiązania HTTP POST), którego oprogramowanie ArcGIS Enterprise będzie używać, aby umożliwić zalogowanie się członkowi.
- Certyfikat — podaj certyfikat zakodowany w formacie BASE 64 dla dostawcy tożsamości. Certyfikat umożliwia oprogramowaniu ArcGIS Enterprise zweryfikowanie podpisu cyfrowego odpowiedzi protokołu SAML wysyłanych do niego przez dostawcę tożsamości.
Notatka:
Skontaktuj się z administratorem dostawcy tożsamości, jeżeli nie masz pewności, jakie źródło metadanych należy podać.
- Adres URL — wprowadź adres URL zwracający metadane dostawcy tożsamości.
- Zarejestruj metadane dostawcy usług u dostawcy tożsamości, aby zakończyć proces konfiguracji i ustanowić relację zaufania z dostawcą tożsamości. Aby pobrać metadane z portalu, wykonaj jedną z następujących czynności:
- W sekcji Bezpieczeństwo na karcie Ustawienia instytucji kliknij przycisk Pobierz metadane dostawcy usług, aby pobrać plik metadanych instytucji.
- Otwórz adres URL metadanych i zapisz jako plik .xml na komputerze. Adres URL ma format: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, na przykład https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Możesz wygenerować token, korzystając z adresu https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Wprowadzając adres URL na stronie Generowanie tokena, należy podać w polu tekstowym Webapp URL w pełni kwalifikowaną nazwę domeny serwera dostawcy tożsamości. Wybór żadnej innej opcji, na przykład Adres IP lub Adres IP źródła żądania, nie jest obsługiwany i może spowodować wygenerowanie nieprawidłowego tokena.
Instrukcje dotyczące rejestrowania metadanych dostawców usług portalu z certyfikowanymi dostawcami znajdują się w repozytorium GitHub ArcGIS/IdP.
- Skonfiguruj odpowiednio ustawienia zaawansowane:
- Zezwalaj na zaszyfrowane potwierdzenie — wskazanie dostawcy tożsamości używającemu protokołu SAML, że oprogramowanie ArcGIS Enterprise obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Gdy ta opcja jest wybrana, dostawca tożsamości będzie szyfrował sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z oprogramowania ArcGIS Enterprise jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
Wskazówka:
Niektórzy dostawcy tożsamości domyślnie nie szyfrują asercji. Zaleca się, aby poprosić administratora dostawcy tożsamości o upewnienie się, że szyfrowane asercje są włączone.
- Włącz żądanie podpisu — oprogramowanie ArcGIS Enterprise ma podpisywać żądanie uwierzytelniania SAML wysyłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez oprogramowanie ArcGIS Enterprise umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
- Prześlij informację o wylogowaniu do dostawcy tożsamości — oprogramowanie ArcGIS Enterprise ma używać adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. Wprowadź adres URL, który będzie używany w ustawieniu Adres URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, ustawienie Aktywuj żądanie podpisania także musi być wybrane. Gdy to ustawienie nie jest zaznaczone, kliknięcie opcji Wyloguj się w oprogramowaniu ArcGIS Enterprise spowoduje wylogowanie użytkownika z oprogramowania ArcGIS Enterprise, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, natychmiastowe ponowne zalogowanie się do oprogramowania ArcGIS Enterprise przy użyciu loginu specyficznego dla instytucji spowoduje zalogowanie bez podawania poświadczeń użytkownika dostawcy tożsamości SAML. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
- Aktualizuj profile podczas logowania — oprogramowanie ArcGIS Enterprise ma aktualizować atrybuty givenName i email address użytkowników, jeśli ulegną one zmianie od ostatniego zalogowania. Ta opcja jest domyślnie włączona.
- Włącz przynależność do grup na podstawie protokołu SAML — pozwalaj administratorom portalu na łączenie grup w dostawcy tożsamości SAML z grupami utworzonymi w portalu ArcGIS Enterprise. Gdy to ustawienie jest włączone, oprogramowanie ArcGIS Enterprise analizuje odpowiedź na potwierdzenie SAML w celu określenia grup, do których należy dany członek. Następnie można określić jedną lub większą liczbę grup SAML udostępnianych przez dostawcę tożsamości w obszarze Kto może dołączyć do tej grupy? podczas tworzenia nowej grupy w portalu.Funkcja ta jest domyślnie wyłączona.
Notatka:
Podczas tworzenia nowej grupy w portalu ArcGIS Enterprise wprowadzona nazwa grupy musi być zgodna z dokładną wartością zewnętrznej grupy SAML zwróconą w wartości atrybutu potwierdzenia SAML. Jeśli nie masz pewności, jaka jest prawidłowa wartość, skontaktuj się z administratorem, który konfigurował system SAML Twojej instytucji.
- Adres URL wylogowania — wprowadź adres URL dostawcy tożsamości używany do wylogowania bieżącego użytkownika. Jeśli ta właściwość jest określona w pliku metadanych dostawcy tożsamości, jest ona ustawiana automatycznie.
- Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji ArcGIS Enterprise w dostawcy tożsamości SAML.
- Zezwalaj na zaszyfrowane potwierdzenie — wskazanie dostawcy tożsamości używającemu protokołu SAML, że oprogramowanie ArcGIS Enterprise obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Gdy ta opcja jest wybrana, dostawca tożsamości będzie szyfrował sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z oprogramowania ArcGIS Enterprise jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
Nadawanie uprawnień administracyjnych dla konta specyficznego dla instytucji
Sposób nadawania uprawnień administratora portalu dla konta specyficznego dla instytucji zależy od tego, czy użytkownicy mogą dołączyć do instytucji automatycznie lub na zaproszenie administratora.
Automatyczne dołączanie do instytucji
Jeśli wybrano opcję Automatycznie umożliwiającą użytkownikom dołączanie do instytucji automatycznie, należy zalogować się do konta specyficznego dla instytucji, które ma być używane jako konto administratora portalu, a następnie otworzyć stronę główną witryny portalu.
Gdy konto zostaje po raz pierwszy automatycznie dodane do portalu, przypisywana jest do niego domyślna rola skonfigurowana dla nowych członków. Tylko administrator instytucji może zmienić rolę przypisaną do konta. Dlatego też należy zalogować się do portalu za pomocą Początkowego konta administratora i przypisać konto specyficzne dla instytucji do roli administratora.
- Otwórz witrynę portalu, kliknij opcję logowania przy użyciu dostawcy tożsamości SAML i podaj poświadczenia konta SAML, którego chcesz używać jako administrator. Jeśli to konto należy do kogoś innego, użytkownik ten powinien zalogować się na portal, aby konto tej osoby zostało zarejestrowane w portalu.
- Sprawdź, czy konto zostało dodane do portalu i kliknij Wyloguj się. Wyczyść pamięć podręczną i pliki cookie w przeglądarce.
- Na poziomie przeglądarki otwórz witrynę portalu, kliknij opcję logowania przy użyciu wbudowanego konta portalowego i wprowadź poświadczenia początkowego konta administratora, które zostało utworzone podczas konfiguracji oprogramowania ArcGIS Enterprise.
- Odszukaj konto SAML, które chcesz stosować do zarządzania portalem i zmień rolę na Administrator. Kliknij Wyloguj się.
Wybrane konto SAML ma teraz funkcję administratora portalu.
Ręczne dodawanie kont specyficznych dla instytucji do portalu
Jeśli wybrana zostanie opcja Na zaproszenie administratora pozwalająca użytkownikom na dołączanie do instytucji na zaproszenie, należy zarejestrować odpowiednie konta w instytucji, używając narzędzia wiersza poleceń. Wybierz dla konta SAML, które ma być używane do zarządzania portalem, rolę Administrator.
Obniżanie uprawnień lub usuwanie konta administratora początkowego
Masz już kolejne konto administratora, dlatego możesz przypisać inną rolę do początkowego konta administratora lub usunąć to konto. Więcej informacji można znaleźć w temacie Informacje o początkowym koncie administratora.
Uniemożliwianie użytkownikom tworzenia własnych kont
Można zabronić użytkownikom tworzenia własnych kont wbudowanych, wyłączając im tę możliwość w ustawieniach instytucji.
Uniemożliwianie użytkownikom logowania się z użyciem konta ArcGIS
Aby uniemożliwić użytkownikom logowanie do portalu przy użyciu konta ArcGIS, należy wyłączyć przełącznik Login ArcGIS na stronie logowania.
- Zaloguj się w witrynie portalu jako administrator instytucji i kliknij opcję Instytucja > Ustawienia > Zabezpieczenia.
- W sekcji Loginy wyłącz przełącznik opcji Login ArcGIS.
Na stronie logowania wyświetlany jest przycisk logowania do portalu przy użyciu konta dostawcy tożsamości, a przycisk Login ArcGIS jest niedostępny. Aby ponownie włączyć możliwość logowania się członków z użyciem kont ArcGIS, włącz przełącznik Login ArcGIS w sekcji Loginy.
Modyfikowanie lub usuwanie dostawcy tożsamości SAML
Po skonfigurowaniu dostawcy tożsamości SAML możesz zaktualizować jego ustawienia, klikając przycisk Edytuj obok aktualnie zarejestrowanego dostawcy tożsamości SAML. Zaktualizuj ustawienia w oknie Edycja loginu SAML.
Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij przycisk Edytuj obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu SAML. Po usunięciu dostawcy tożsamości można opcjonalnie skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości.
Najważniejsze wskazówki dotyczące zabezpieczeń SAML
Aby włączyć loginy SAML, można skonfigurować oprogramowanie ArcGIS Enterprise jako dostawcę usługi (service provider — SP) dostawcy tożsamości (identity provider — IdP) SAML. Aby zagwarantować niezawodne zabezpieczenia, zwróć uwagę na poniższe najważniejsze wskazówki.
Cyfrowe podpisywanie żądań logowania i wylogowania SAML oraz podpisywanie odpowiedzi na potwierdzenia SAML
Podpisy zapewniają integralność komunikatów SAML i pełnią rolę zabezpieczenia przed atakami typu MITM (man-in-the-middle). Dzięki cyfrowym podpisom żądań SAML można mieć także pewność, że zostały one wysłane przez zaufanych dostawców usług, co pozwala dostawcom tożsamości lepiej radzić sobie z atakami typu DOS (denial-of-service). Włącz opcję Włącz żądania podpisane w ustawieniach zaawansowanych podczas konfigurowania loginów SAML.
Notatka:
Gdy żądania podpisane są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat podpisywania używany przez dostawcę usług jest odnawiany lub zastępowany.
Skonfiguruj dostawcę tożsamości SAML tak, aby podpisywał odpowiedź SAML, co zapobiegnie modyfikowaniu przesyłanych odpowiedzi na potwierdzenia SAML.
Notatka:
Gdy żądania podpisane są włączone, należy aktualizować dostawcę usług (ArcGIS Enterprise) za każdym razem, gdy certyfikat podpisywania używany przez dostawcę usług jest odnawiany lub zastępowany.
Korzystanie z punktu końcowego HTTPS dostawcy tożsamości
Cała komunikacja między dostawcą usług, dostawcą tożsamości i przeglądarką użytkownika przesyłana przez sieć wewnętrzną lub Internet w niezaszyfrowanej formie może zostać przechwycona przez nieuprawniony podmiot. Jeśli dostawca tożsamości SAML obsługuje protokół HTTPS, zaleca się użycie punktu końcowego HTTPS do zapewnienia poufności danych przesyłanych podczas operacji logowania SAML.
Szyfrowanie odpowiedzi na potwierdzenia SAML
Korzystanie z protokołu HTTPS do obsługi komunikacji SAML zabezpiecza komunikaty SAML przesyłane między dostawcą tożsamości i dostawcą usług. Jednak zalogowani użytkownicy nadal mogą dekodować i wyświetlać komunikaty SAML w przeglądarce internetowej. Włączenie szyfrowania odpowiedzi na potwierdzenia uniemożliwia użytkownikom wyświetlanie poufnych lub wrażliwych informacji przesyłanych między dostawcą tożsamości i dostawcą usług.
Notatka:
Gdy szyfrowane potwierdzenia są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat szyfrowania używany przez dostawcę usług (ArcGIS Enterprise) jest odnawiany lub zastępowany.
Bezpieczne zarządzanie certyfikatami podpisywania i szyfrowania
Należy używać certyfikatów z silnymi kluczami kryptograficznymi do cyfrowego podpisywania i szyfrowania komunikatów SAML. Certyfikaty należy odnawiać lub zastępować co trzy do pięciu lat.