Язык Security Assertion Markup Language (SAML) является открытым стандартом безопасного обмена данными аутентификации и авторизации между корпоративным провайдером идентификации и провайдером сервиса (в данном случае, Portal for ArcGIS). Этот подход называется также SAML Web Single Sign On (Технологией единого веб-входа SAML). Портал совместим с SAML 2.0 и работает с провайдерами идентификации, поддерживающими стандарт SAML 2 Web Single Sign On. Преимущество настройки SAML состоит в том, что вам не нужно создавать для пользователей дополнительные учетные записи для доступа к Portal for ArcGIS; они могут использовать уже настроенную в корпоративном хранилище учетную запись. Данный процесс называют в документации настройкой корпоративных учетных записей.
Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Если вы не предоставите необходимых метаданных о корпоративных группах, вы все равно сможете создавать группы. Однако правила участия будут определяться Portal for ArcGIS, а не хранилищем идентификаций.
Вход с использованием SAML
Portal for ArcGIS поддерживает корпоративные учетные записи, полученные от провайдеров сервиса (SP) и провайдеров идентификаций (IDP). Процедуры входа с их использованием отличаются.
Учетные записи, полученные от провайдера сервиса
При использовании учетных записей провайдера сервиса пользователи получают доступ к порталу напрямую, и у них есть возможность входа с использованием встроенных учетных записей (управляемых порталом) или учетных записей, которые хранятся в провайдере идентификации с поддержкой SAML. Если участники выбирают опцию использования провайдера сервиса, они перенаправляются на веб-страницу (менеджер корпоративной аутентификации), на которой им предлагается ввести корпоративное имя пользователя и пароль. После проверки учетной записи пользователя провайдер корпоративной аутентификации передает в Portal for ArcGIS проверенные данные входящего пользователя, и пользователь снова перенаправляется на веб-сайт портала организации.
Если участник выбирает опцию использования встроенной учетной записи, то открывается страница входа на веб-сайт портала организации. Пользователь может ввести свое встроенное имя пользователя и пароль для доступа к веб-сайту. Эта опция не может быть отключена. Опция входа с помощью встроенной учетной записи может быть использована в случае, когда провайдер идентификации с поддержкой SAML будет недоступен.
Учетные записи, полученные от провайдера аутентификации
С учетными записями, полученными от провайдера идентификации, пользователи сразу производят доступ к менеджеру корпоративной аутентификации и производят вход с использованием их учетных записей. Когда пользователь передает сведения о своей учетной записи, провайдер идентификации отправляет SAML-ответ напрямую в Portal for ArcGIS. Пользователь входит и перенаправляется на веб-сайт портала своей организации, где он может сразу получить доступ к ресурсам без необходимости выполнения повторного входа в организацию.
Опция входа с помощью встроенных учетных записей из менеджера корпоративной аутентификации будет недоступна. Чтобы войти в организацию с использованием встроенных учетных записей, участники должны произвести доступ к веб-сайту портала напрямую.
Провайдеры аутентификации SAML
В следующих руководствах описывается применение нескольких SAML-совместимых провайдеров идентификации с Portal for ArcGIS:
- NetIQ Access Manager версии 3.2 и выше
- OpenAM версии 10.1.0 и выше
- Shibboleth версии 2.3.8 и выше
- SimpleSAMLphp версии 1.10 и выше
Процесс получения необходимых метаданных от провайдера идентификации, перечисленных выше, описан в каждой ссылке. Процесс настройки провайдера аутентификации для работы с Portal for ArcGIS описан ниже. Перед продолжением рекомендуется связаться с администратором вашего корпоративного провайдера идентификации для получения параметров, необходимых для настройки.
Поддержка нескольких провайдеров идентификации SAML
Вы можете контролировать доступ к вашему порталу с использованием сразу нескольких хранилищ идентификации с помощью SAML. Это может быть удобно для управления доступом пользователей, сведения о которых могут храниться как в вашей организации, так и за ее пределами.
Это можно осуществить при организации доверенной связи между хранилищами идентификации, которые вы хотите сделать доступными для портала. За это отвечает администратор по безопасности; настройка доверенной связи не производится в Portal for ArcGIS. Как только доверенная связь будет установлена, вам будет нужно произвести настройку только одного из доверенных хранилищ идентификации для работы с порталом (как описано ниже). Когда пользователи получают доступ к веб-сайту портала или сайту провайдера идентификации, им будет доступна опция входа с использованием корпоративной учетной записи, управление которым осуществляется любым из доверенных провайдеров идентификации.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от провайдера аутентификации, когда пользователь входит с использованием корпоративной учетной записи. NameID это обязательный атрибут, который должен отправляться провайдером аутентификации в SAML-ответе для интеграции с Portal for ArcGIS. При входе пользователя IDP в хранилище пользователей Portal for ArcGIS будет создан новый пользователь с именем NameID. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание), . (точка) и @ (собачка). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от провайдера идентификации. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом регистре), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от провайдера идентификации. Рекомендуем указывать email address от провайдера идентификации, чтобы пользователь мог получать уведомления.
Настройка SAML-совместимого провайдера идентификации для работы с порталом
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Моя Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи щелкните кнопку Установить провайдера идентификации и введите в открывшемся окне имя вашей организации (к примеру, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
- Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учетных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учетной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Инструкции см. в статье Отключение первичной учетной записи администратора сайта.
- Передайте необходимые метаданные о SAML-совместимом провайдере корпоративной аутентификации. Сделайте это, указав источник, из которого портал сможет получить метаданные о провайдере корпоративной аутентификации. Для доступа к инструкции о получении метаданных от сертифицированных провайдеров перейдите к разделу Провайдеры аутентификации SAML выше. Имеется три возможных источника этих метаданных:
- URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере корпоративной аутентификации.
Примечание:
Если ваш провайдер идентификации имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверяющийся сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте провайдер идентификации на работу с доверенным сертификатом.
- Файл – загрузите файл, который содержит метаданные о провайдере корпоративной аутентификации.
- Параметры – метаданные провайдера корпоративной аутентификации вводятся в следующем виде:
- URL учетной записи – введите URL, который будет использовать Portal for ArcGIS для возможности входа пользователя.
- Сертификат – укажите X.509 сертификат корпоративного провайдера идентификации. Этот сертификат позволит Portal for ArcGIS проверять цифровые подписи в ответах SAML, направляемых к нему провайдером корпоративной аутентификации.
Примечание:
Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.
- URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере корпоративной аутентификации.
- Для завершения процесса настройки и установки доверенной связи с провайдером идентификации необходимо зарегистрировать метаданные провайдера сервиса портала в корпоративном провайдере идентификации. Существует два способа получить метаданные от вашего портала.
- В разделе Безопасность страницы Редактировать настройки вашей организации щелкните кнопку Получить провайдер сервиса. Это предоставит вам метаданные для вашей организации, которые вы можете сохранить в виде файла XML на вашем компьютере.
- Перейдите по URL-ссылке метаданных и сохраните его как файл XML на вашем компьютере. URL-адрес – это https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptor.domain.com/arcgis/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера идентификации в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры аутентификации SAML выше.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – Выберите эту опцию для шифровки ответов утверждений SAML провайдера аутентификации.
- Включить подписанный запрос – Выберите эту опцию, чтобы Portal for ArcGIS подписал запрос аутентификации SAML, направленный провайдеру аутентификации.
- URL-адрес выхода – Обновите это значение, если провайдер аутентификации настроен на использование пользовательского URL адреса выхода.
- ID объекта – Обновите это значение, чтобы для уникальной идентификации портала провайдеру аутентификации использовать новый ID объекта.
Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций:
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Поместите информацию о конфигурации группы в формате JSON в текстовое поле Хранилище конфигурации группы (в формате JSON).
Скопируйте приведенный текст и измените его с учетом настроек вашего сайта:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
В большинстве случаев, вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP. Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Несмотря на то, что вы вводите пароль в виде текста, он будет зашифрован при сохранении в директорию конфигурации портала и при просмотре.
Если ваш LDAP не чувствителен к регистру, установите для параметра caseSensitive значение "false".
- После того, как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию для сохранения изменений и повторного запуска портала.
Назначение корпоративной учетной записи прав администратора
Процесс определения для корпоративной учетной записи прав администратора портала зависит от того, смогут ли ваши пользователи зарегистрироваться в организации Автоматически или После того, как вы добавите их учетные записи в портал.
Автоматическое присоединение к организации
Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.
При первом добавлении учетной записи в портал автоматически ей назначается роль Пользователь. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль Администратора.
- Откройте веб-сайт портала и щелкните на опции входа с использованием провайдера идентификации SAML и введите учетные данные корпоративной учетной записи, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
- Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
- Не выходя из браузера, откройте веб-сайт портала , щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при настройке Portal for ArcGIS.
- Найдите корпоративную учетную запись, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор. Щелкните Выйти.
Выбранная вами корпоративная учетная запись будет теперь иметь права администратора портала.
Добавление корпоративных учетных записей на портал вручную
Если вы выбрали опцию, которая позволит пользователям стать членами организации После добавления в портал учетных записей, то вам будет нужно зарегистрировать соответствующие учетные записи в организации с помощью утилиты командной строки или скрипта Python. Убедитесь в том, что для корпоративной учетной записи, которая будет использоваться для администрирования портала, была выбрана роль Администратор.
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить первичной учетной записи администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
После настройки безопасного доступа к порталу, рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все пользователи портала используют корпоративные учетные записи: создать дополнительные встроенные учетные записи будет нельзя. Подробные инструкции см. в разделе Отключение пользователям возможности создавать встроенные учетные записи портала.
Отключение входа под учетными записями ArcGIS
Чтобы запретить пользователям вход на портал под учетными записями ArcGIS, выключите кнопку Использование учетной записи ArcGIS, находящуюся на странице входа. Для этого выполните следующие шаги:
- Откройте ArcGIS Portal Directory и войдите с учетной записью участника портала, имеющего административные права доступа. URL-адрес имеет вид https://webadaptor.domain.com/arcgis/sharing.
- Перейдите На главную > Порталы > Авто и прокрутите страницу вниз до кнопки на этой странице. Щелкните Обновить.
- Найдите опцию Вход через ArcGIS. Установите значение False.
- Щелкните Обновить Организацию.
На странице появится кнопка для входа на портал под учетной записью провайдера аутентификации, а кнопка для входа Под учетной записью ArcGIS станет недоступной.
Изменение провайдера корпоративной аутентификации SAML
Вы можете удалить зарегистрированного провайдера аутентификации с помощью кнопки Удалить провайдера аутентификации. Эта кнопка станет активной только после настройки SAML-совместимого провайдера аутентификации. После удаления провайдера аутентификации можно произвести настройку нового провайдера, если это необходимо.