Skip To Content

Настройка Okta

Вы можете настроить Okta в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.

Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций. Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Если вы не предоставите необходимых метаданных о корпоративных группах, вы все равно сможете создавать группы. Однако правила участия будут определяться Portal for ArcGIS, а не хранилищем идентификаций.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Если входит пользователь IDP, Portal for ArcGIS создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.

Регистрация Okta в качестве провайдера корпоративной идентификации IDP в Portal for ArcGIS

  1. Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Моя организация > Изменить настройки > Безопасность.
  2. В разделе Корпоративные учетные записи через SAML щелкните кнопку Установить провайдера идентификации и введите в открывшемся окне имя вашей организации (к примеру, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный IDP для портала.

  3. Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учетных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учетной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.

  4. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файл – Скачайте или получите копию файла метаданных Okta и загрузите его на Portal for ArcGIS с помощью опции Файл.
      Примечание:
      Если вы регистрируете провайдера сервиса в Okta в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS с Okta.
    • Параметры – Выберите данную опцию, если файл метаданных недоступен. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат. Для получения этих значений свяжитесь с администратором Okta.
  5. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Okta SAML.
    • Включить подписанный запрос – выберите эту опцию, чтобы Portal for ArcGIS подписывал запрос аутентификации SAML, который отправляется в Okta.
    • Произвести выход в провайдер идентификации – Выберите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя.
    • ID объекта – обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Okta.

    Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  6. Когда закончите, щелкните Обновить провайдера идентификации.
  7. Щелкните кнопку Получить провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса в Okta.
  8. Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций:
    1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
    2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
    3. Поместите информацию о конфигурации группы в формате JSON в текстовое поле Хранилище конфигурации группы (в формате JSON).
      • Скопируйте приведенный текст и измените его с учетом настроек вашего сайта:

        {
          "type": "LDAP",  "properties": {
            "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "cn",    "caseSensitive": "false",    "userSearchAttribute": "cn",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
          }
        }

        В большинстве случаев вам будет необходимо изменить только значения для параметров user, userPassword, ldapURLForUsers и ldapURLForRoles. URL для вашего LDAP должен предоставляться администратором LDAP.

        В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе:

        "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

        Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Несмотря на то, что вы вводите пароль в виде текста, он будет зашифрован при сохранении в директорию конфигурации портала и при просмотре.

        Если ваш LDAP не чувствителен к регистру, установите для параметра caseSensitive значение false.

    4. После того как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию для сохранения изменений и повторного запуска портала.

Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса в Okta

  1. Войдите в организацию Okta как участник с правами администратора.
  2. На вкладке Приложения щелкните кнопку Добавить приложение.
  3. Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
  4. В Общих настройках введите Имя приложения для развертывания вашего портала и щелкните Далее.
  5. На вкладке Настройка SAML выполните следующее:
    1. Введите значение Адрес URL единого входа, например, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    2. Введите значение для URL аудитории. По умолчанию значение установлено на portalhostname.domain.com.portalcontext. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    3. Оставьте значение параметра Формат ID имени равным Не указано.
    4. В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
    5. В разделе Выражения атрибутов добавьте следующие выражения атрибутов:

      givenName равно user.firstName + " " + user.lastName

      email равно user.email

  6. Щелкните Далее и выберите Готово.
  7. Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для IDP для Okta, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
  8. Щелкните вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашему порталу.